WordPressFORMULAIRES RGPD ANTI-SPAM
Prérequis
- Plugin formulaire installé (Contact Form 7, WPForms, Gravity Forms)
- Politique de confidentialité publiée et à jour
- Service email transactionnel (SMTP configuré, pas de mail() brut)
- 30 minutes pour tests accessibilité clavier et envoi réel
Un formulaire de contact WordPress mal configuré expose à la fois le spam massif et des risques RGPD : données sans base légale, stockage non maîtrisé, consentement absent. L’agence doit livrer des formulaires accessibles, protégés et documentés. Vous allez paramétrer collecte conforme, couches anti-spam et preuves de recette pour la passation client.
Cadrage : finalité et base légale
Chaque formulaire a une finalité documentée : demande de devis, contact support, candidature. La politique de confidentialité décrit durée de conservation, destinataires et droits des personnes.
Distinguez formulaire contact (intérêt légitime ou exécution précontractuelle) et inscription newsletter (consentement explicite). Ne mélangez pas les deux dans un même écran sans cases séparées.
Validez avec le client DPO ou référent juridique si collecte de données sensibles ou transfert hors UE via plugin tiers.
Configurer le plugin et les champs
Structurez les champs : labels visibles, attributs autocomplete, messages d’erreur associés aux champs (pas uniquement en rouge). Testez navigation clavier et lecteur d’écran.
Ajoutez la case consentement avec lien vers la politique. Configurez l’email admin et la confirmation utilisateur sans exposer les adresses en copie visible.
Forcez l’envoi via SMTP authentifié. Loggez les échecs d’envoi sans conserver le contenu des messages en clair dans les logs publics.
Anti-spam et preuves de recette
Activez honeypot natif du plugin ou extension dédiée. Complétez par Akismet, Turnstile ou reCAPTCHA v3 selon le niveau de spam observé en staging.
Testez envoi valide, rejet honeypot, champ obligatoire vide, format email invalide. Vérifiez que les messages d’état sont annoncés (aria-live) .
Documentez dans la passation : plugin utilisé, durée conservation, procédure export/suppression données sur demande.
Erreurs fréquentes
Case consentement pré-cochée : non conforme CNIL.
reCAPTCHA seul sans label accessible : bloque utilisateurs et lecteurs d’écran.
Stockage illimité des entrées dans la base sans politique de purge.
Formulaire envoyé en HTTP sur page HTTPS : avertissement navigateur et données exposées.
Copie de tous les champs en clair dans l’email admin incluant données inutiles.
Ce qu’il faut retenir
Finalité claire, consentement explicite si besoin, politique de confidentialité liée.
Accessibilité labels/erreurs + honeypot + CAPTCHA si nécessaire.
SMTP fiable ; stockage minimal des soumissions.
Recette documentée pour conformité et passation client.
FAQ
Oui pour des formulaires simples si vous ajoutez honeypot, SMTP et accessibilité. WPForms ou Gravity offrent plus d’ergonomie éditeur pour des parcours multi-étapes.
Le client responsable de traitement doit documenter la finalité et la durée de conservation. L’agence fournit la configuration technique et les recommandations.
Commencez par honeypot et filtrage serveur. Montez en CAPTCHA seulement si le spam persiste. Surveillez les faux positifs via les logs d’envoi.
Cursor