Un prestataire vous demande prénom, nom, email, téléphone et RIB sans RGPD ?

⚠️ Cas concret 2026 — Le formulaire de contact de gofoodup.com (marque “FoodUp”) collecte 6 champs de données personnelles (prénom, nom, email, téléphone, nom du restaurant, message libre) sans aucune politique de confidentialité visible, ni au-dessus du formulaire, ni en footer, ni nulle part sur le site. C’est une violation flagrante de l’art. 13 RGPD sanctionnable par la CNIL. Voir l’étude de cas factuelle complète →

Quand un site collecte la moindre donnée personnelle — votre prénom, votre nom, votre email, votre téléphone — il doit, à l’instant même de la collecte, fournir une information complète au sens du RGPD. Pas un lien minuscule en bas de page. Pas un “en soumettant ce formulaire vous acceptez nos conditions” sans rien derrière. Une information claire, complète et facilement accessible sur ce qui va être fait de vos données.

En 2026, sur le marché des prestataires “gestion livraison” pour restaurateurs, cette obligation est encore très inégalement respectée. Voici comment la vérifier et comment l’interpréter.

Ce que la loi exige (article 13 RGPD)

L’article 13 du Règlement Général sur la Protection des Données liste 11 informations qu’un responsable de traitement (celui qui collecte les données) doit communiquer à la personne concernée au moment de la collecte :

1. Identité et coordonnées du responsable de traitement
2. Coordonnées du DPO (Délégué à la Protection des Données) si désigné
3. Finalités du traitement (à quoi va servir la donnée)
4. Base légale du traitement (consentement, contrat, intérêt légitime…)
5. Destinataires des données (sous-traitants, hébergeur, CRM, etc.)
6. Transfert hors UE le cas échéant, avec les garanties prévues
7. Durée de conservation des données
8. Droits de la personne (accès, rectification, effacement, opposition, portabilité)
9. Droit de retirer son consentement à tout moment
10. Droit de réclamation auprès de la CNIL
11. Conséquences si la personne refuse de fournir les données

Concrètement : un lien “Politique de confidentialité” doit être présent directement au-dessus du bouton de soumission du formulaire, ou intégré au formulaire lui-même avec une case à cocher (pour le consentement) si pertinent.

Les sanctions

L’article 83 du RGPD prévoit jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le plus élevé des deux) pour défaut d’information de la personne concernée.

En France, la CNIL applique ces sanctions de manière graduée mais réelle. Pour les PME, les amendes les plus fréquentes oscillent entre 3 000 € et 20 000 € assorties d’obligations de mise en conformité sous astreinte (par exemple : 500 € par jour de retard).

Surtout, le simple signalement à la CNIL est gratuit, rapide, et déclenche une procédure d’enquête formelle. Tout restaurateur ayant constaté une collecte abusive peut le faire en 5 minutes sur cnil.fr/fr/plaintes.

Comment vérifier sur un site de prestataire

1. Trouvez le formulaire de contact (demande de démo, audit gratuit, contact direct…).
2. Listez les champs demandés : prénom, nom, email, téléphone, nom du restaurant, adresse, message… Chacun est une donnée personnelle.
3. Regardez juste au-dessus du bouton de soumission : y a-t-il un lien “Politique de confidentialité” ou similaire ? Y a-t-il une case à cocher pour le consentement ?
4. Si rien : c’est en infraction. Le restaurateur qui soumet ce formulaire transmet ses données personnelles à un responsable de traitement qui ne respecte pas son obligation d’information.

Vérification complémentaire : cherchez un lien “Politique de confidentialité” en footer ou dans le menu. S’il n’existe nulle part sur le site, c’est un manquement caractérisé.

Cas observé en 2026 : gofoodup.com (marque “FoodUp”)

Lors de notre audit de l’écosystème “boost livraison” en mai 2026, le formulaire de contact de gofoodup.com est emblématique d’une violation RGPD caractérisée (analyse complète dans l’étude de cas dédiée). Concrètement, le formulaire :

• Collecte 6 champs de données personnelles : prénom, nom, adresse email, téléphone, nom du restaurant, message libre
• N’affiche aucune politique de confidentialité (ni au-dessus du formulaire, ni en footer, ni nulle part sur le site — les URLs /privacy, /politique-confidentialite retournent HTTP 404)
• N’identifie aucun responsable de traitement (pas de SIRET, pas de raison sociale, pas d’adresse — donc la personne dont les données sont collectées ne sait même pas QUI traite ses données)
• N’affiche aucune information sur les destinataires des données collectées
• N’affiche aucune information sur la durée de conservation
• N’affiche aucune mention des droits des personnes (accès, rectification, suppression, opposition, portabilité)
• N’identifie aucun DPO (alors que le volume de collecte et la sensibilité — téléphone professionnel + nom commercial — peuvent rendre la désignation pertinente au sens art. 37 RGPD)

C’est ce qu’on appelle une violation flagrante du RGPD au sens de l’article 13. Le nombre de champs (6) et la sensibilité (téléphone professionnel + nom commercial du restaurant = re-identification immédiate) ne laissent aucune ambiguïté. La CNIL peut être saisie en 5 minutes depuis cnil.fr/fr/plaintes par tout internaute, sans avoir à être victime — il suffit d’avoir constaté la violation.

Pourquoi vous, restaurateur, êtes concerné personnellement

Si vous transmettez à un prestataire vos données + celles de votre établissement (et plus tard les données clients de votre profil Uber Eats), vous prenez deux risques cumulés :

1. Risque direct : vos données sont entre les mains d’un acteur qui ne respecte pas ses obligations RGPD. Pas de durée de conservation = potentiellement gardées indéfiniment. Pas de destinataires listés = potentiellement revendues à des tiers (data brokers, autres prestataires). Pas de DPO = personne à contacter en cas d’incident.
2. Risque indirect (le plus grave) : à partir du moment où vous confiez à un prestataire les données de vos clients (commandes, adresses, téléphones de livraison), VOUS êtes responsable de traitement pour ces données. Le prestataire est votre sous-traitant au sens de l’article 28 du RGPD. Cela implique un contrat formel obligatoire (DPA) qui doit lister 10 obligations spécifiques du sous-traitant. Sans politique de confidentialité publique, il y a très peu de chances que ce prestataire vous fournisse un DPA conforme. En cas de contrôle CNIL chez vous, c’est vous qui serez sanctionné (responsable de traitement) pour avoir confié vos données clients à un sous-traitant non conforme.

C’est donc votre intérêt direct, juridiquement, financièrement, et opérationnellement, de ne pas signer avec un prestataire qui ne tient pas la conformité RGPD de base.

Que faire si vous identifiez un cas

1. Ne soumettez pas le formulaire. Si vous voulez les contacter, faites-le via un canal alternatif (LinkedIn message direct au fondateur si vous le trouvez, par exemple), en évitant de leur transmettre des données personnelles tant qu’aucune politique de confidentialité n’est en ligne.
2. Documentez : capture d’écran datée du formulaire et du footer du site, archive sur archive.org/web qui horodate et conserve la preuve gratuitement.
3. Signalez à la CNIL : cnil.fr/fr/plaintes, procédure en ligne, gratuite. Vous n’avez pas besoin d’être victime — n’importe quel internaute peut signaler une violation observée.
4. Choisissez un prestataire conforme : Fooderise affiche sa politique de confidentialité depuis le footer de chaque page, fournit un DPA standard avec ses clients, et identifie son DPO. C’est le minimum auquel vous avez droit pour confier les données de vos clients en livraison.

En résumé

Un formulaire de contact qui collecte 6 champs personnels sans politique de confidentialité n’est pas un “détail technique” — c’est une violation flagrante du RGPD, qui expose le prestataire à des sanctions CNIL, et qui vous expose vous-même dès lors que vous lui confiez ensuite des données clients.

Avant de remplir le moindre formulaire chez un prestataire restaurateurs, cherchez le lien “Politique de confidentialité”. S’il n’existe nulle part, ne soumettez rien.