Formulaire de Contact et RGPD

Bonjour,

Après plusieurs recherches Internet, j’ai l’impression que la mise en place d’un formulaire de contact enregistrant le message et l’adresse de l’utilisateur en db requiert, dans la page des données personnelles :

• l’affichage de la Durée de conservation des données "DUA" (durée d’utilité administrative) de 3 ans respective à la procédure de "Traitements des données du formulaire de contact"

• l’affichage d’une partie "Finalités de traitement de vos données personnelles" avec en particulier ce texte :

Traitements des données du formulaire de contact

La collecte, la transmission et l’enregistrement des données pour entrer en contact avec l’entreprise

=> Envoi d’un email de réponse

• la possibilité technique de supprimer le message / l’email car :

Chaque individu dispose d’un droit d’accès, de rectification et de suppression des données qui le concerne. Il peut demander la portabilité de ces dernières. Il a également le droit de vous opposer aux traitements réalisés ou d’en demander la limitation.

Aussi, il peut émettre des directives sur la conservation, la suppression ou la communication de vos données personnelles après votre décès.

• la possibilité de contacter le DPO

• afficher les cookies, donc notamment ceux du formulaire de contact

Mes questions

On voit bien que tout ça est démesuré car mon site, c’est juste un portfolio, j’vais pas être DPO pour un simple formulaire de contact quand même. Et puis je ne stocke aucune donnée en base, dès que le gars soumet le formulaire de contact, ça m’envoie un mail c’est tout. Or, le support de donnée ne m’exempt en rien de prendre les dispositions ci-dessus de e que j’ai pu lire sur le site de la CNIL.

C’est pourquoi j’ai carrément décidé de ne pas afficher de formulaire de contact, momentanément en tout cas.

Mes questions sont donc : dois-je conserver mes mails pendant 3 ans suite au DUA de 3 ans requis pour un formulaire de contact ? Dois-je me déclarer DPO ? Comment permettre à l’utilisateur de supprimer à tout moment son message et son mail vu que mon script ne fait qu’envoyer le formulaire de contact par mail sans rien enregistrer en db (dans le as éventuel où je réactiverai le formulaire de contact) ?

D’une manière globale j’ai l’impression que c’est beaucoup de travail à faire techniquement et administrativement, pour rien dans le cadre de mon site qui actuellement ne va même pas afficher de formulaire de contact (ce qui aurait été la seule fonctionnalité).

Merci d’avance, bonne soirée.

Hello, tu te prends vraiment trop la tête pour rien … j’en sais rien juridiquement mais concrètement, est-ce que tu crois vraiment que la CNIL va perdre du temps à envoyer un mail (je n’évoque même pas le contrôle) à un particulier qui possède un simple formulaire de contact sur son site web personnel ? Non ! Elle a déjà du mal a recadrer les institutions publiques.

Ton dernier message posait la question de la loi sur le traitement des données de santé sur Discord… Ok on était sur un sujet sensible. Là c’est rien, nada. Réactive-le ton formulaire.

Ton site est-il édité par toi-même ou par ta société (si tu en as une) ?

@Yarflam que l’on soit ou non susceptible d’être poursuivi ne dispense en rien de respecter la loi.

Sauf que la loi dit aussi qu’un particulier n’est pas soumis au RGPD, donc il n’y a aucun besoin de toutes ces informations.

En fait il y a deux conditions pour être exempté de l’application du RGPD (voir article 2 dudit règlement) :

1. il faut être une personne physique ;
2. le traitement doit être fait dans le cadre d’une activité strictement personnelle ou domestique.

Donc sans connaître le cas d’usage particulier applicable à l’auteur du sujet, on ne peut pas vraiment supposer. En particulier, le Règlement est techniquement applicable aux auto-entrepreneurs & consorts, car bien qu’ils soient des personnes physiques, il s’agit d’un traitement dans le cadre d’activités marchandes.

Ici, c’est un formulaire sur une page personnel. Et même si c’est dans le cadre d’une activité marchande.

C’est un formulaire de contact. Quand tu cliques sur Envoyer, tu as forcément donné ton consentement à e que le message soit envoyé, tu veux une réponse ! Une simple mention “Votre message ne sera pas stocké mais transmit sur ma boite e-mails.” devrait suffire.

Les données n’étant ni stockées ni traitées de manières inattendue, tu ne peux pas avoir de problème.

Ici, on est clairement dans du chipotage et on s’éloigne de l’idée du texte.

PS: Si tu commences à stocker le message en BDD de ton site, c’est que tu cherches les problèmes aussi, car là tu es soumis au RGPD.

Mmmmmmh alors suite à vos retours j’ai décidé de persister dans l’élaboration de la page Données Personnelles . Partout où je dois parler de conservation de données, traitements etc, j’ai rajouté ce préfixe : "Actuellement aucune donnée personnelle n’est utilisée mais à l’avenir ça pourrait être le cas. Dès lors, […]" <—- et là je continue avec le blabla de la page Données Personnelles.

Notez qu’évidemment j’utilise la page donnée persos toute faite que tous les sites utilisent hein.

Et du coup à un moment donné il est question d’afficher les coordonnées du DPO (moi du coup vu que c’est mon site perso portfolio). Et il est plus particulièrement question d’afficher la DUA de la procédure "Saisine du responsable de traitement" qui serait de 3 ans. Sauf que je rappelle que j’ai désactivé le formulaire de contact donc aucune donnée personnelle n’est utilisée sur le site ! Alors dois-je vraiment afficher cette DUA de 3 ans pour cette fameuse "Saisine du responsable de traitement" (moi) , sachant qu’en plus il n’y a aucun traitement de donnée perso sur le site vu qu’il n’y a même pas de donnée perso… ?

On t’a déjà dit que tu n’étais pas soumis au rgpd, à partir de là, qu’est-ce que tu veux de plus ?

Je dirais même que la FAQ de la CNIL est particulièrement claire à ce sujet.

Ouais enfin après ça reste encouragé @SpaceFox .

Relis la réponse de @Stalone , stp

et pour la réponse d' @ache, j’avais justement lu sur le site de la CNIL que TOUT doit être considéré comme un support de stockage, pas que les bdd. Donc le courrier électronique probablement en fait partie (ce n’était pas dit clairement).

Du coup bon, je préfère quand même mettre ça en place.

J’ai trouvé l’astuce : je fais un petit préambule dans ma page Données Personnelles indiquant , en gros, qu’actuellement y a pas de donnée personnelle utilisée, donc la RGPD ne s’applique pas vraiment mais que je préfère en gros anticiper en affichant cette page, tout en rappelant au lecteur que comme aucune donnée perso n’est actuellement utilisée, les dispositions énoncées dans cette page ne s’appliquent pas encore pour certaines (notamment tout le système DPO) mais que ça viendra dès qu’une fonctionnalité soumise au RGPD sera mise en ligne

EDIT : https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-qui-sapplique-t-il => comme c’est mon portfolio de dev avec mes projets et tout, je préfère quand même effectivement mettre en place le RPGD, ça me semble nécessaire suite à leur définition (y a justele fait que je ne sois pas encore auto-entrepreneur mais juste salarié et que mon site est bien un site d’une personne physique du coup, mais ça peut changer rapidement donc autant que j’applique le rgpd en anticipant donc)

On t’a déjà dit que tu n’étais pas soumis au rgpd, à partir de là, qu’est-ce que tu veux de plus ?

Relis la réponse de @Stalone , stp

Je me permets justement de rebondir à propos de cela : la réponse de @Stalone précise bien que « sans connaître le cas d’usage particulier applicable à l’auteur du sujet, on ne peut pas vraiment supposer. ». Sauf erreur de ma part, nous n’avons pas obtenu ces éléments de contexte qui auraient pu nous aider (ou aider @Moté en l’occurrence) à mieux t’orienter. Nous ne savons pas si tu édites ton site en tant que personne physique, en tant que professionnel ou en tant qu’entreprise.

Cela ne va pas de soi, car un portfolio peut être aussi bien un site perso qu’un site pro ou commercial.

Tu es une personne physique, et tu fais ton portfolio personnel. Tu n’es pas soumis au RGPD.

Franchement, vu comment tu galères, si tu comptes passer auto-entrepreneur un jour, tu ferais surtout mieux de suivre une formation sur le RGPD. Par ailleurs, je te déconseille de passer auto-entrepreneur, je ne pense pas que ce soit fait pour toi.

Et dans tous les cas, tu n’as rien à anticiper. Le jour où tu passerais auto-entrepreneur, à ce moment-là tu pourrais mettre les bonnes dispositions, en attendant tout le monde s’en fout que tu indiques ça.

(Par ailleurs, un auto-entrepreneur est une personne morale, il me semble.)

Justement : recommandé ≠ obligatoire. Et si c’est trop compliqué à gérer pour toi (et de toute évidence ça l’est, cf ce sujet) tu peut tout à fait éviter le problème en ne faisant rien, et ce légalement.

Ah oui pardon. j’édite moi-même mon site effectivement !

@SpaceFox et @Moté : c’est pas tellement que c’est "compliqué" à gérer, c’est plutôt que j’ai jamais fait ça et en fait je regarde sur un site déjà existant dont je sais qu’il respecte à 200% la RGPD comment ils ont fichu ça (c’est un ancien collègue qui s’en était occupé en fait et que je connais personnellement). Du coup j’essaie d’adapter son truc à mon truc. Là où ça me posait pb c’est juste que je ne suis pas une entreprise et aussi que pour satisfaire à la rgpd, il faut tenir un registre, afficher des mentions sous les formulaires, faire un système de désactivation/activation de cookies etc. : tout ça , j’aimerais le faire sous forme de plugin Laravel. Et pour l’instant j’ai pas ça sous la main (pas le temps de le faire), d’où toutes mes interrogations. Mais du coup j’ai trouvé la clé pour adapter sa page "Données Personnelles" (cf. mon message ci-dessus : le fameux préambule dont je parle).

Franchement, vu comment tu galères, si tu comptes passer auto-entrepreneur un jour, tu ferais surtout mieux de suivre une formation sur le RGPD. Par ailleurs, je te déconseille de passer auto-entrepreneur, je ne pense pas que ce soit fait pour toi.

Par contre c’est pas super cool ça :-( Je sais bien que c’est pas dit méchamment mais je pense quand même avoir les capacités intellectuelles d’être auto-entrepreneur et de répondre face à la charge administrative et comptable que ça représente Au moins j’aurais essayé

Du coup je passe le sujet en résolu, je pense vraiment que mon p’tit préambule sera suffisant.

PS : je tiens à faire cette page "Données Personnelles" pour être sûr d’être dans les clous car c’est un portfolio de dév où je montre mes projets etc., alors certaines ça reste perso et tout, mais si jamais un jour je fais un article un peu commercial ou quoi, ou si jamais un jour je transforme mon site en un truc pour me contacter pour faire des devis etc. là ça va être moins facile de ne pas être conforme RGPD. Autant prendre de l’avance et anticiper et puis ça me servira sur d’autres projets

Alors oui effectivement, c’est absolument pas dit méchamment, et c’est plus un conseil personnel. Je vais pas épiloguer ici en public, sauf si tu me le demandes, mais on peut en parler rapidement par MP si jamais. Mais absolument aucune remarque par rapport à tes compétences intellectuelles, c’est plutôt une histoire de personnalité, certains sont faits pour et d’autres non (je pense que je fais également partie de la 2e catégorie, si jamais).