Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Google Forms est l'outil gratuit de Google pour créer des sondages, des formulaires et des quiz, utilisé par des millions d'organisations pour collecter des réponses et générer des leads. Les formulaires peuvent être intégrés via iframe ou partagés par lien. Lorsqu'ils sont intégrés, Google dépose des cookies et transfère les données vers les serveurs de Google LLC aux États-Unis, déclenchant des obligations au titre du RGPD et de la directive ePrivacy.
Google Forms fait partie de la suite Google Workspace et permet de créer des sondages, des quiz, des formulaires d'inscription et des questionnaires de satisfaction via une interface simple de glisser, déposer. Les formulaires sont hébergés sur docs.google.com et peuvent être diffusés via un lien partageable, une invitation par email ou, plus fréquemment sur les sites web, intégrés dans une iframe. Chaque réponse est stockée dans un fichier Google Sheets associé ou directement dans le panneau de réponses Forms.
Lorsqu'un formulaire Google Forms se charge sur votre site (que ce soit via une iframe ou une visite directe), Google dépose plusieurs cookies sur les domaines docs.google.com et google.com, notamment NID, CONSENT, SOCS, AEC et 1P_JAR. Au, delà des cookies, Google collecte l'adresse IP du répondant, le user agent, le referrer, la résolution d'écran et, si le répondant est connecté, l'identifiant du compte Google. Toutes les réponses au formulaire sont stockées sur les serveurs de Google.
Étant donné que des cookies sont écrits sur l'appareil de l'utilisateur dès le chargement de la page, l'article 5(3) de la directive ePrivacy (transposé dans les lois nationales sur les cookies à travers l'UE) exige un consentement préalable, éclairé et libre avant que Google Forms puisse être chargé dans un contexte intégré. Google agit comme sous-traitant pour les réponses au formulaire au titre du DPA Google Workspace, mais comme responsable indépendant pour certaines télémétries, ce qui signifie que les éditeurs restent responsables de la transparence et doivent proposer un refus aussi simple que l'acceptation.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
En pratique, un Google Forms intégré doit être bloqué derrière une plateforme de gestion du consentement jusqu'à ce que le visiteur ait activement opté pour la catégorie pertinente (généralement Fonctionnel ou Marketing selon la classification retenue). Une solution dite à deux clics, où un placeholder explique ce qu'implique le chargement du formulaire et laisse l'utilisateur accepter explicitement, est le motif le plus courant et s'aligne sur les recommandations de la CNIL, du BfDI et d'autres régulateurs européens.
Les données de Google Forms sont traitées sur l'infrastructure de Google LLC principalement aux États-Unis. Les transferts s'appuient sur les Clauses Contractuelles Types au titre de l'article 46(2)(c) RGPD et sur le Data Privacy Framework UE, États-Unis lorsque Google LLC y est certifié. Les responsables de traitement doivent réaliser une analyse d'impact des transferts, envisager des mesures supplémentaires (par exemple pseudonymiser les champs du formulaire) et documenter la base légale du transfert dans leur registre des activités de traitement.
Concrètement, listez Google Forms dans votre politique cookies et votre registre des traitements, bloquez l'iframe tant que le consentement n'est pas recueilli, présentez un placeholder à deux clics, conservez le DPA Google Workspace, effectuez une analyse d'impact des transferts et évitez de collecter des catégories sensibles via Google Forms sans condition forte au titre de l'art. 9. Pour les cas à risque élevé (enquêtes santé, retours salariés, mineurs), envisagez d'héberger les formulaires sur une alternative basée dans l'UE.
Les sites web utilisant Google Forms doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Google Forms traite les réponses aux formulaires (y compris toute donnée personnelle saisie par les répondants), les adresses IP, les empreintes navigateur et les identifiants de compte Google lorsque les répondants sont connectés. Les formulaires intégrés héritent des cookies du domaine docs.google.com. Points clés pour l'AIPD : (1) les catégories de données collectées via les champs du formulaire peuvent inclure des données sensibles (santé, opinions politiques, religion) selon l'usage, nécessitant une condition de licéité au titre de l'art. 9 RGPD ; (2) transfert hors UE vers Google LLC aux États-Unis, à évaluer via une analyse d'impact des transferts ; (3) Google agit comme sous-traitant au titre du DPA Google Workspace mais peut aussi traiter certaines métadonnées techniques en tant que responsable indépendant ; (4) identifiants persistants via les cookies NID et CONSENT permettant un suivi inter-services sur les propriétés Google ; (5) journalisation de l'adresse IP dans les analyses et soumissions de formulaire. Une AIPD est recommandée lorsque les formulaires collectent des données sensibles, sont utilisés à grande échelle ou ciblent des populations vulnérables.
Exemple de texte de consentement
Nous utilisons Google Forms pour collecter vos réponses. Lors du chargement de ce formulaire, Google dépose des cookies sur votre appareil et peut transférer les données du formulaire et des métadonnées techniques vers Google LLC aux États-Unis. Vous pouvez retirer votre consentement à tout moment via nos paramètres de cookies.
Domaines tiers contactes
docs.google.comforms.google.comgoogle.comfonts.gstatic.comaccounts.google.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| NID | Preference | 6 months | Stores user preferences (language, region, number of search results) used by Google to personalise responses across services including Google Forms. |
| CONSENT | Functional | 2 years | Records the visitor consent state for Google services and persists choices made in Google's own consent interfaces across sessions. |
| SOCS | Functional | 13 months | Stores the user's consent state for Google services, including which Google product consent dialogs the user has interacted with. |
| AEC | Security | 6 months | Ensures that requests within a browsing session are made by the user and not by other sites, mitigating cross-site request forgery on Google services. |
| 1P_JAR | Marketing | 1 month | Used by Google for advertising measurement, including aggregating site statistics on Google services and properties. |
Google Forms collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Oui. Lorsqu'une iframe Google Forms se charge sur votre site, Google écrit plusieurs cookies sur les domaines docs.google.com et google.com, notamment NID, CONSENT, SOCS, AEC et 1P_JAR. Certains assurent des fonctions techniques (langue, état de consentement), d'autres servent à Google pour la mesure publicitaire.
Oui. Comme des cookies sont déposés sur l'appareil dès le chargement et que les données sont transférées vers Google aux États-Unis, l'article 5(3) de la directive ePrivacy et l'article 6(1)(a) du RGPD exigent un consentement préalable, éclairé et libre avant le chargement de l'iframe. Un placeholder à deux clics est le motif recommandé.
Pour les formulaires intégrés qui déposent des cookies non essentiels et transfèrent des données aux États-Unis, le consentement au titre de l'art. 6(1)(a) RGPD est la base standard. Si le formulaire est au cœur d'une relation contractuelle (candidature, inscription à un service), l'art. 6(1)(b) peut également s'appliquer aux données de réponse, mais le consentement reste requis pour les cookies.
Les réponses Google Forms sont stockées sur l'infrastructure de Google LLC, principalement dans des centres de données aux États-Unis. Les transferts s'appuient sur les Clauses Contractuelles Types (CCT) au titre de l'art. 46(2)(c) RGPD et sur le Data Privacy Framework UE, États-Unis. Une analyse d'impact des transferts est nécessaire et des mesures supplémentaires doivent être documentées.
Une AIPD est recommandée lorsque les formulaires recueillent des catégories sensibles (santé, religion, opinions politiques), traitent des données à grande échelle, ciblent des populations vulnérables (mineurs, salariés) ou servent à une surveillance systématique. Pour les formulaires de contact ou de retour basiques avec peu de données personnelles, l'AIPD n'est généralement pas obligatoire mais la documenter est une bonne pratique.
Bloquez l'iframe derrière votre plateforme de gestion du consentement, présentez un placeholder à deux clics expliquant ce qu'implique le chargement, listez Google Forms dans votre politique cookies et votre registre des traitements, conservez le DPA Google Workspace, réalisez une analyse d'impact des transferts et évitez les données sensibles sans condition forte au titre de l'art. 9.
Les alternatives hébergées dans l'UE incluent Tally, Typeform (option de résidence des données en Europe), Formbricks, JotForm (centre de données UE), LimeSurvey et SurveyMonkey EU. Elles réduisent ou éliminent la problématique de transfert vers les États-Unis et proposent souvent des DPA alignés sur les attentes européennes par défaut.
Listez Google Forms par son nom, les catégories de cookies déposés (fonctionnels, marketing), les données collectées (réponses, adresse IP, métadonnées de l'appareil), la relation responsable, sous-traitant avec Google LLC, la durée de conservation (selon les conditions Google Workspace), le pays de destination (États-Unis), le mécanisme de transfert (CCT, Data Privacy Framework) et un lien vers la politique de confidentialité de Google.