<form action="http://example.com/"> enviaria os dados de maneira insegura, mesmo que a página em que <form> esteja seja HTTPS. Os dados enviados dessa maneira podem ser interceptados / MITMed.
Pelas mesmas razões, <form action="https://example.com/"> em uma página HTTP é enviada com segurança. No entanto, a página em que o <form> está hospedado nessa situação pode ser MITMed para injetar JavaScript malicioso ou um action alterado que poderia enviar os dados para outro lugar.
Se você estiver trabalhando com dados confidenciais, a página com o formulário e a ação de formulário precisam ser HTTPS.