Vous ajoutez reCAPTCHA à votre formulaire de contact pour réduire le spam — et vous découvrez ensuite qu'il transfère des données comportementales vers des serveurs américains, ce qui soulève des questions de conformité RGPD. Il existe une autre approche : filtrer le spam après l'envoi du formulaire, côté e-mail, sans aucun script tiers sur votre site. Ce billet n'est pas un avis juridique ; il présente les principes généraux et une méthode pratique.

Le spam de formulaire et la tentation du CAPTCHA

Dès qu'un formulaire de contact est en ligne, les sollicitations s'accumulent : agences SEO, démarchage commercial, bots automatisés. La première réaction est souvent d'ajouter reCAPTCHA ou des règles de filtrage manuelles. Ces solutions ont deux limites importantes.

Côté spam, reCAPTCHA bloque les bots automatisés, mais pas les sollicitations humaines — agences, prospecteurs, relances — qui représentent souvent la majorité du bruit. Les règles de mots-clés vieillissent vite et génèrent des faux positifs.

Côté RGPD, reCAPTCHA de Google exécute des scripts dans le navigateur du visiteur, collecte des données comportementales (mouvements de souris, empreinte du navigateur, cookies) et les transfère vers des serveurs aux États-Unis. Pour les sites ciblant des visiteurs européens, cela implique des obligations supplémentaires : information dans la politique de confidentialité, base légale pour le transfert, et selon certaines autorités de contrôle, un consentement explicite avant le chargement du widget.

Le cadre RGPD en trois points essentiels

Sans entrer dans le détail juridique, trois principes du RGPD orientent le choix d'un outil de filtrage :

• Minimisation des données : ne collecter que ce qui est strictement nécessaire à la finalité poursuivie. Un filtre qui n'a pas besoin de tracer le comportement du visiteur est plus aligné avec ce principe.
• Information : les personnes dont les données sont traitées doivent en être informées. Tout outil qui lit le contenu des e-mails reçus doit être mentionné dans votre politique de confidentialité.
• Sous-traitance : si un tiers traite des données personnelles pour votre compte, un contrat de sous-traitance (DPA — Data Processing Agreement) est requis par l'article 28 du RGPD.

Ces trois points s'appliquent à n'importe quel outil de filtrage, qu'il soit côté formulaire ou côté e-mail.

Pourquoi « tout gérer au niveau du formulaire » est risqué

Filtrer au niveau du formulaire — via des scripts dans le navigateur, des plugins, ou des listes de mots-clés — concentre plusieurs risques :

• Scripts tiers dans le navigateur : chaque script exécuté côté client peut collecter des données sur le visiteur, ce qui nécessite une base légale et, souvent, un bandeau de consentement.
• Friction pour les vrais utilisateurs : les défis CAPTCHA ajoutent des étapes supplémentaires, ce qui peut décourager des contacts légitimes.
• Entretien continu : les listes de règles doivent être mises à jour régulièrement ; les faux positifs bloquent parfois de vraies demandes sans que vous le sachiez.

Solution : filtrer côté e-mail, avec quarantaine

L'approche alternative déplace le filtrage après l'envoi du formulaire, au niveau de l'e-mail de notification. Le formulaire fonctionne normalement — aucun script tiers, aucune interaction de consentement supplémentaire pour le visiteur. C'est l'e-mail généré par le formulaire qui est analysé par un classificateur IA avant d'atteindre votre boîte.

Cette méthode présente plusieurs avantages :

• Aucune donnée supplémentaire collectée côté visiteur : le formulaire ne collecte que ce que vous avez défini. Aucune donnée comportementale ne quitte le navigateur du visiteur pour alimenter le filtre.
• Relation de sous-traitance claire : le service de filtrage traite des e-mails que vous recevez déjà, dans le cadre d'un DPA — une relation bien définie par le RGPD.
• Quarantaine, pas suppression aveugle : les messages classés comme spam sont conservés dans un tableau de bord consultable. Vous ne perdez aucune vraie demande en cas de faux positif.
• Compatible avec n'importe quel formulaire : le filtre ne dépend pas de votre CMS, de votre constructeur de formulaires ou de votre stack technique.

Mise en œuvre en quelques étapes

La mise en place ne nécessite aucune modification de votre site :

1. Créez un compte et un projet sur un service de filtrage par e-mail (par exemple formpuppy).
2. Obtenez une adresse de réception dédiée, par exemple vous@votreprojet.formpuppy.com.
3. Dans les paramètres de notification de votre formulaire, remplacez votre adresse personnelle par cette adresse dédiée.
4. Indiquez votre vraie boîte mail comme adresse de transfert dans le tableau de bord. Seuls les messages légitimes vous seront envoyés.

À partir de là, chaque soumission passe par le filtre. Aucun nouveau script sur votre site, aucun widget CAPTCHA, aucune mise à jour du bandeau de consentement nécessaire.

Ce qu'il faut vérifier chez un prestataire

Si la conformité RGPD est un critère de sélection, voici les points à vérifier :

• Contrat de sous-traitance (DPA) : le prestataire doit pouvoir en fournir un sur demande, ou l'inclure dans ses conditions générales. C'est une exigence de l'article 28 du RGPD.
• Localisation du traitement : préférez un prestataire qui traite les données dans l'UE ou l'EEE, ou qui peut justifier d'un mécanisme de transfert adéquat.
• Durée de conservation : le contenu des e-mails ne doit pas être conservé indéfiniment. Cherchez une politique claire (par exemple 30 à 90 jours pour les éléments en quarantaine).
• Pas de revente ou de réutilisation des données : confirmez que le prestataire n'utilise pas le contenu de vos e-mails pour entraîner des modèles partagés ou revendre des données.

Synthèse

reCAPTCHA réduit le volume de bots automatisés, mais il introduit des obligations RGPD supplémentaires — transferts vers des serveurs américains, mentions dans la politique de confidentialité, potentiellement un consentement explicite — sans résoudre le démarchage humain qui représente souvent la majorité du bruit. Le filtrage côté e-mail traite les deux : il analyse le contenu après l'envoi du formulaire, sans scripts dans le navigateur, et s'inscrit dans une relation de sous-traitance claire. La mise en place se résume à un seul changement de champ dans les paramètres de notification de votre formulaire.

Si vous souhaitez essayer cette approche, formpuppy propose un filtrage par IA pour les soumissions de formulaires de contact, sans modification de code et sans CAPTCHA.

Questions fréquentes

Le filtrage par e-mail est-il conforme au RGPD ?

Aucune solution de filtrage n'élimine toutes les obligations RGPD, et cet article ne constitue pas un avis juridique. Ce que fait le filtrage côté e-mail, c'est supprimer un point de friction courant — le transfert de données comportementales lié à reCAPTCHA — tout en maintenant la logique de filtrage du côté des e-mails que vous recevez. L'ensemble de votre traitement des données doit être examiné par un conseiller qualifié.

Dois-je mentionner le service de filtrage dans ma politique de confidentialité ?

Oui. Tout prestataire qui traite des données personnelles pour votre compte doit être mentionné. La mention d'un filtre d'e-mail est généralement plus simple que celle de reCAPTCHA, car elle ne porte pas sur un traitement de données comportementales de vos visiteurs. Vérifiez avec votre modèle de politique ou un conseiller juridique la formulation exacte.

Que se passe-t-il si un vrai message est classé comme spam ?

Les messages filtrés sont conservés en quarantaine et accessibles depuis le tableau de bord à tout moment. Vous pouvez les marquer comme légitimes et ils seront transmis immédiatement. Cette approche garantit que vous ne perdez aucune vraie demande par erreur.

Cela fonctionne-t-il avec n'importe quel formulaire ?

Oui. Le filtre opère au niveau de l'e-mail, indépendamment de votre CMS, constructeur de formulaires ou stack technique. Contact Form 7, Webflow, Typeform, Tally, un formulaire HTML personnalisé : si votre formulaire peut envoyer une notification e-mail à une adresse, la solution est compatible.

Faut-il supprimer reCAPTCHA pour utiliser le filtrage par e-mail ?

Non, les deux approches sont compatibles. reCAPTCHA réduit le volume de bots bruts ; le filtrage par e-mail gère les sollicitations humaines et les bots qui passent. Beaucoup d'équipes maintiennent les deux dans un premier temps, puis décident si elles souhaitent retirer le CAPTCHA pour améliorer l'expérience de leurs visiteurs.