Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 23 avril 2026
Accueil/RGPD/Article 7 RGPD : les 4 conditions du consentement
RGPD

Article 7 RGPD : les 4 conditions du consentement

Article 7 du RGPD : les 4 conditions que tout consentement doit remplir, analysées paragraphe par paragraphe avec sanctions CNIL et cas pratiques.

Par Thiebaut DevergrannePublie le 23 avril 2026Mis a jour le 23 avril 202613 min de lecture
Sommaire
  1. Ce que dit l’article 7 du RGPD
  2. Art. 7(1) : démontrer que la personne a consenti
  3. Art. 7(2) : forme de la demande de consentement
  4. Art. 7(3) : le droit au retrait du consentement
  5. Art. 7(4) : interdiction du conditionnement
  6. Sanctions et risques associés
  7. Erreurs récurrentes à auditer dans votre organisation
  8. Ce qu’il faut retenir
  9. FAQ

Quand la CNIL sanctionne un défaut de consentement, elle cite presque toujours l’Art. 7 du RGPD. Ce n’est pas l’article le plus connu du règlement, mais c’est celui qui fait tomber les entreprises qui croient avoir coché la case « consentement » en ajoutant un bouton d’acceptation. L’Art. 4(11) définit ce qu’est un consentement valable ; l’Art. 7 impose quatre conditions cumulatives pour qu’il reste valable dans le temps. Les confondre est la source d’une part importante des amendes prononcées depuis 2018.

Ce que dit l’article 7 du RGPD

L’Art. 7 du RGPD s’intitule « Conditions applicables au consentement ». Il comporte quatre paragraphes, chacun portant une obligation distincte à la charge du responsable de traitement :

  • l’Art. 7(1) impose de pouvoir démontrer que la personne a consenti ;
  • l’Art. 7(2) encadre la forme de la demande de consentement ;
  • l’Art. 7(3) consacre le droit au retrait et ses modalités ;
  • l’Art. 7(4) interdit le conditionnement d’un contrat à un consentement non nécessaire.

Ces conditions s’ajoutent à la définition de l’Art. 4(11) — consentement libre, spécifique, éclairé et univoque. Un consentement peut être conforme à l’Art. 4(11) au moment de sa collecte et pourtant cesser d’être valable ensuite, par exemple parce que le retrait n’est pas aussi simple que le recueil. Les deux articles se lisent ensemble.

Les sanctions prévues sont du plafond haut : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)(a)), au même titre qu’une violation de base légale ou d’un principe de l’Art. 5.

Art. 7(1) : démontrer que la personne a consenti

Le paragraphe 1 est d’apparence anodine. Il énonce simplement que le responsable de traitement doit être « en mesure de démontrer » que la personne a consenti. C’est pourtant le manquement le plus fréquent dans les contrôles CNIL. La charge de la preuve incombe au responsable de traitement, non à la personne qui conteste.

Ce qu’il faut conserver

Un registre de consentement doit permettre de reconstituer, pour chaque personne concernée :

  • l’identifiant de la personne (email, identifiant interne, etc.) ;
  • la date et l’heure du consentement ;
  • la formulation exacte du texte affiché au moment du recueil ;
  • la finalité précise pour laquelle le consentement a été donné ;
  • le canal utilisé (formulaire web, bannière cookies, email de double opt-in…) ;
  • la preuve technique (log d’action, horodatage de la bannière, checksum du formulaire).

Si l’un de ces éléments manque, la démonstration est fragile. Dans la délibération SAN-2022-009 (Discord Inc.), la CNIL a explicitement reproché l’absence de mécanisme permettant de prouver individuellement le consentement des utilisateurs.

Le piège des modifications ultérieures

Modifier la finalité, la formulation ou les destinataires d’un traitement après avoir recueilli le consentement invalide ce dernier. Il faut alors recollecter. En pratique, cela signifie qu’un CMS ou un gestionnaire de newsletter doit conserver l’historique des textes de consentement utilisés, version par version. Un simple horodatage associé à une case cochée ne suffit pas — il faut savoir à quoi la personne a consenti ce jour-là.

C’est un travail fastidieux que peu d’organisations documentent correctement. C’est aussi le type de tâche répétitive que Legiscope automatise, via un journal des consentements versionné et interrogeable.

Art. 7(2) : forme de la demande de consentement

Quand le consentement est demandé dans le cadre d’une déclaration écrite contenant aussi d’autres éléments — typiquement des conditions générales d’utilisation ou un contrat — la demande de consentement doit être « présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Le problème classique : le consentement enfoui

Intégrer une phrase du type « En acceptant les CGU, vous consentez au traitement de vos données à des fins marketing » n’est pas conforme. La demande de consentement n’est pas distincte des autres clauses, elle n’est pas clairement formulée, et elle ne porte pas sur une finalité identifiée.

Dans la sanction Google du 21 janvier 2019 (délibération SAN-2019-001, 50 millions d’euros), la CNIL a notamment retenu que le consentement au profilage publicitaire était « dilué » dans une acceptation globale des conditions d’utilisation. Le même raisonnement a été appliqué à de nombreuses autres entreprises depuis.

Exigence de granularité

Chaque finalité distincte nécessite une case à cocher distincte. L’EDPB l’a rappelé dans ses Guidelines 05/2020 sur le consentement : un seul bouton « J’accepte » pour plusieurs finalités — prospection, profilage, partage avec partenaires — rend l’ensemble du consentement invalide.

Pour un formulaire web, cela se traduit concrètement par :

  • une case pour la finalité principale (création de compte) ;
  • une case distincte pour la newsletter, non pré-cochée ;
  • une case distincte pour le profilage publicitaire, non pré-cochée ;
  • aucune de ces cases ne doit conditionner la validation du formulaire — sauf si le traitement est indispensable au service.

Les modèles que je propose dans le guide consentement RGPD et les modèles de formulaire de contact respectent cette granularité.

Sanction automatique en cas de formulation non conforme

Le dernier alinéa de l’Art. 7(2) est souvent négligé : « Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante. » En clair, une clause de consentement non conforme est réputée non écrite. Le traitement se retrouve alors sans base légale et tombe sous le coup de l’Art. 6 — avec les sanctions qui y sont attachées.

Art. 7(3) : le droit au retrait du consentement

L’Art. 7(3) consacre un principe simple en apparence : « la personne concernée a le droit de retirer son consentement à tout moment ». Trois précisions majeures l’accompagnent.

Le retrait doit être aussi simple que le recueil

C’est l’exigence la plus contrôlée par la CNIL. Si le consentement a été donné en un clic via une bannière cookies, son retrait doit se faire en un clic via un mécanisme équivalent. Obliger l’utilisateur à envoyer un email, à se connecter à un espace dédié caché dans trois sous-menus, ou à appeler un service client est une violation directe de l’Art. 7(3).

Dans la délibération SAN-2021-023 (Amazon Europe Core, 35 millions d’euros), la CNIL a notamment retenu que le retrait du consentement aux cookies était plus difficile à exprimer que l’acceptation, ce qui rendait le dispositif non conforme. Le même raisonnement s’applique aux taux de consentement artificiellement gonflés par des bannières où « Accepter » est proéminent et « Refuser » masqué — ce que la CNIL qualifie désormais de dark pattern interdit.

Information préalable obligatoire

Avant de recueillir le consentement, la personne doit être informée de son droit au retrait et des modalités pour l’exercer. Cette mention doit figurer dans l’information au titre de l’Art. 13 du RGPD, ainsi que dans les mentions légales du site ou de l’application.

Effets du retrait

Le retrait vaut pour l’avenir : les traitements réalisés avant le retrait, sur la base d’un consentement valable, restent licites. Mais tout traitement postérieur au retrait devient illicite, sauf à s’appuyer sur une autre base légale compatible — ce qui est rarement possible, car un responsable qui avait choisi le consentement l’a généralement fait faute d’alternative.

À noter : le retrait du consentement ne vaut pas automatiquement droit à l’effacement. La personne doit le demander expressément. Mais en pratique, une organisation prudente supprime ou anonymise les données à réception du retrait, à moins qu’une obligation de conservation ne l’en empêche.

Art. 7(4) : interdiction du conditionnement

Le dernier paragraphe de l’Art. 7 est probablement le moins bien compris. Il dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat […] est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».

Le test de nécessité contractuelle

La règle : si un traitement est nécessaire à l’exécution du contrat, la base légale appropriée est l’Art. 6(1)(b) — exécution d’un contrat — et non le consentement. Si le traitement n’est pas nécessaire, le consentement peut être utilisé, mais il ne doit pas conditionner la conclusion ou l’exécution du contrat.

Concrètement :

  • Traiter l’adresse de livraison pour livrer un colis : base contractuelle, pas de consentement requis.
  • Utiliser l’adresse email du client pour lui envoyer de la prospection sur des produits tiers : consentement requis, sans conditionnement possible. Refuser la prospection ne peut pas empêcher l’achat.

La CJUE a précisé ce cadre dans l’arrêt Meta Platforms du 4 juillet 2023 (C-252/21), en jugeant que l’offre d’un service gratuit ne justifie pas le conditionnement du consentement à la publicité ciblée si une alternative raisonnable (par exemple une offre payante sans profilage) n’est pas proposée.

Ce modèle — accéder gratuitement au service contre consentement, ou payer pour ne pas consentir — fait l’objet de Guidelines 08/2024 de l’EDPB adoptées en avril 2024. La position est nuancée : le modèle n’est pas interdit per se, mais il doit offrir une alternative réellement équivalente et à un prix raisonnable. La CNIL a adopté la même approche dans ses recommandations pratiques et les contentieux restent ouverts.

Déséquilibres structurels

L’Art. 7(4) est particulièrement important dans les relations où un déséquilibre existe par nature : employeur/salarié, administration/administré, plateforme dominante/utilisateur captif. La CNIL a constamment refusé le consentement comme base légale dans la relation de travail, considérant que le salarié ne peut pas refuser librement une demande de son employeur. Je développe ce point dans le guide données personnelles et droit du travail.

Sanctions et risques associés

Un consentement irrégulier au sens de l’Art. 7 entraîne mécaniquement une cascade de manquements :

  • Absence de base légale (Art. 6) — le traitement devient illicite.
  • Violation du principe de licéité (Art. 5(1)(a)) — cumul de sanctions au même plafond.
  • Atteinte à la transparence (Art. 12, 13) — si l’information préalable était défaillante.
  • Sanction administrative jusqu’à 20 M€ ou 4 % du CA mondial (Art. 83(5)(a)).
  • Obligation de cessation immédiate du traitement — impact opérationnel souvent supérieur à l’amende elle-même.

Dans mon expérience de conseil auprès de PME, je constate que les montants d’amende ne sont pas le premier risque. Le vrai risque est l’obligation de recollecter le consentement, ce qui se traduit toujours par une perte significative de la base. Quand Google a dû remettre à plat ses bannières cookies en 2020, les taux de consentement ont chuté dans un premier temps de 15 à 20 points.

Erreurs récurrentes à auditer dans votre organisation

Voici les huit défauts que je retrouve quasi systématiquement en audit, par ordre de fréquence :

  1. Pas de registre des consentements — impossibilité de démontrer (Art. 7(1)).
  2. Version unique du texte de consentement — pas d’historique des modifications.
  3. Cases pré-cochées — violation directe de la jurisprudence Planet49 (C-673/17).
  4. Bouton « Refuser » absent ou masqué sur les bannières cookies — dark pattern.
  5. Retrait plus difficile que le recueil — procédure via email uniquement, sans équivalent du clic initial.
  6. Consentement groupé pour plusieurs finalités — violation de la granularité (Art. 7(2)).
  7. Consentement conditionné à la fourniture du service — violation de l’Art. 7(4).
  8. Absence de mention du droit au retrait dans l’information préalable — violation combinée Art. 7(3) et 13.

Cet audit doit être réalisé au moins une fois par an et chaque fois qu’un formulaire de contact, un chatbot ou une campagne marketing est déployé.

Ce qu’il faut retenir

  • L’Art. 7 impose quatre conditions cumulatives au consentement : démontrabilité, forme distincte, droit au retrait aussi simple que le recueil, interdiction du conditionnement.
  • La charge de la preuve du consentement pèse sur le responsable de traitement (Art. 7(1)). Sans registre horodaté et versionné, le consentement est juridiquement fragile.
  • Un consentement enfoui dans des CGU est réputé non écrit (Art. 7(2) in fine). Le traitement se retrouve alors sans base légale.
  • Le retrait doit pouvoir s’exercer au même niveau de friction que le recueil. Une procédure de retrait plus lourde est une violation à elle seule.
  • Conditionner un contrat à un consentement non nécessaire est interdit. L’alternative doit être réellement accessible.
  • Les sanctions relèvent du plafond haut : 20 M€ ou 4 % du CA mondial.

FAQ

Comment prouver un consentement RGPD conforme à l’article 7 ?

Il faut conserver, pour chaque consentement, l’identifiant de la personne, la date et l’heure, le texte exact affiché, la finalité précise, le canal de recueil et une preuve technique (log, horodatage, checksum). Un tableur Excel peut suffire au démarrage, mais les volumes et les modifications de texte imposent rapidement un outil dédié. Le registre des traitements n’est pas le bon support : il faut un journal des consentements distinct.

Le retrait du consentement oblige-t-il à supprimer les données ?

Non, pas automatiquement. Le retrait met fin à la possibilité de traiter les données sur la base du consentement, mais il n’emporte pas suppression. La personne doit exercer séparément son droit à l’effacement si elle souhaite la suppression. En pratique, une organisation prudente anonymise ou supprime à réception du retrait, sauf obligation légale de conservation.

Peut-on utiliser l’intérêt légitime à la place du consentement ?

Pas systématiquement. L’intérêt légitime exige un test de mise en balance documenté (LIA) et n’est pas compatible avec tous les traitements — notamment la prospection électronique vers des prospects non clients, qui reste soumise au consentement au titre de la directive ePrivacy. Le choix entre consentement et intérêt légitime doit être fait traitement par traitement, avant la collecte.

Un consentement donné par un mineur est-il valable ?

Oui, mais sous conditions. L’Art. 8 du RGPD fixe un âge plancher de 16 ans pour les services en ligne, avec possibilité pour les États membres de descendre jusqu’à 13 ans. La France a fixé le seuil à 15 ans (article 45 de la loi Informatique et Libertés). En-dessous de cet âge, le consentement doit être donné ou autorisé par le titulaire de l’autorité parentale, avec des mécanismes de vérification d’âge proportionnés.

Thiébaut Devergranne, docteur en droit (Paris II, 2007), est le fondateur de donneespersonnelles.fr et de Legiscope, logiciel de conformité RGPD. Il forme des DPO et accompagne des entreprises en mise en conformité depuis plus de vingt ans.

Articles lies

RGPD

Article 5 RGPD : les 7 principes à connaître

22 avril 2026 · 14 min
RGPD

RGPD et télétravail : obligations de l'employeur

22 avril 2026 · 13 min
RGPD

Microsoft Teams et RGPD : guide de conformité 2026

20 avril 2026 · 12 min