Comment prouver le consentement RGPD ? (2026)
Charge de la preuve du consentement (art. 7-1), éléments à conserver, attentes de la CNIL et conséquences d'une preuve manquante.
- La charge de la preuve : article 7(1) RGPD
- Ce qui constitue une preuve valable
- Le double opt-in : la preuve la plus robuste
- Les attentes de la CNIL
- Conservation de la preuve : combien de temps ?
- Que se passe-t-il quand la preuve manque ?
- Le cas particulier des cookies et traceurs
- Le consentement mineur et le consentement renouvelé
- Cas pratiques
- Erreurs fréquentes
- En résumé
- FAQ
L’essentiel. L’article 7(1) du RGPD impose au responsable de traitement de pouvoir démontrer que la personne a consenti. En pratique, la preuve repose sur un faisceau d’éléments conservés : horodatage de l’action, version exacte du formulaire présenté, source du consentement, et logs techniques (double opt-in, adresse IP). Sans cette preuve, le consentement est réputé inexistant et la CNIL peut ordonner l’effacement des données.
Le consentement est l’une des six bases légales du RGPD, et sans doute la plus fragile. Non parce qu’il serait difficile à obtenir, mais parce qu’il faut être capable de le prouver, parfois des années après. Or, la plupart des organismes recueillent un consentement… sans jamais conserver la trace de ce recueil. Le jour d’un contrôle ou d’une réclamation, ils ne peuvent rien démontrer. Cet article vous explique exactement ce qui constitue une preuve valable et comment la conserver.
Pour comprendre d’abord ce qu’est un consentement RGPD valide (libre, spécifique, éclairé, univoque), consultez notre article dédié. Ici, nous traitons uniquement de la preuve.
La charge de la preuve : article 7(1) RGPD
Le texte est limpide. L’article 7(1) RGPD dispose :
« Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. »
Deux conséquences juridiques majeures :
- La charge de la preuve pèse sur vous, pas sur la personne. Ce n’est pas à l’internaute de prouver qu’il n’a pas consenti ; c’est à vous de prouver qu’il a consenti.
- La preuve doit être disponible à tout moment. « Est en mesure de démontrer » signifie que, sur demande de la CNIL ou de la personne, vous produisez la preuve immédiatement. Une affirmation orale ou une reconstitution a posteriori ne suffit pas.
C’est une application directe du principe d’accountability (art. 5(2)). Le consentement non prouvé équivaut, juridiquement, à une absence de base légale.
Ce qui constitue une preuve valable
Aucun texte ne fixe une liste fermée. La preuve se construit comme un faisceau d’indices convergents. Voici les éléments que la CNIL et le CEPD attendent en pratique :
| Élément de preuve | Ce qu’il démontre |
|---|---|
| Horodatage (timestamp) | La date et l’heure précises du recueil |
| Version du formulaire | Le texte exact de la mention de consentement présentée ce jour-là |
| Contenu de la case | Le libellé de la case à cocher et son état (non pré-cochée) |
| Identifiant de la personne | E-mail, ID compte, permettant de relier le consentement à un individu |
| Source / point de collecte | La page, le canal, la campagne d’origine |
| Logs de double opt-in | La preuve que la personne a confirmé via un lien reçu par e-mail |
| Adresse IP (avec prudence) | Indice technique corroborant, à conserver de façon proportionnée |
Le point crucial souvent oublié : la version du formulaire. Prouver qu’une personne a coché une case le 12 mars 2024 ne sert à rien si vous ne pouvez pas montrer ce qu’elle a lu à ce moment-là. Vous devez donc versionner et archiver chaque itération de vos mentions de consentement.
Le double opt-in : la preuve la plus robuste
Pour la prospection par e-mail, le double opt-in est la méthode reine. Le mécanisme : la personne saisit son adresse, reçoit un e-mail de confirmation, et doit cliquer sur un lien pour valider. Vous conservez alors :
- l’horodatage de l’inscription initiale ;
- l’horodatage du clic de confirmation ;
- l’adresse IP de chaque étape ;
- le contenu de l’e-mail de confirmation.
Ce cheminement documenté rend le consentement quasi inattaquable, car il démontre une action positive et univoque de la personne, difficilement contestable. Pour bien distinguer les mécanismes, voyez notre comparatif opt-in / opt-out.
Les attentes de la CNIL
La CNIL a régulièrement rappelé, dans ses décisions et ses lignes directrices, que la preuve du consentement doit être contemporaine, individualisée et intelligible. Ses exigences concrètes :
- Individualisation. Une preuve globale (« nous avons envoyé un e-mail à toute la base ») ne vaut rien. Il faut pouvoir produire la preuve pour chaque personne prise isolément.
- Traçabilité de la mention exacte. La CNIL vérifie que le texte présenté était clair, distinct des CGU, et non pré-coché.
- Fraîcheur. Un consentement recueilli il y a de nombreuses années, jamais renouvelé, sur une finalité qui a évolué, est considéré comme périmé.
En pratique, lors d’un contrôle, la CNIL demande un échantillon : « Prouvez-moi le consentement de ces dix personnes. » Si vous ne pouvez pas, le manquement est caractérisé.
Conservation de la preuve : combien de temps ?
La preuve du consentement doit être conservée aussi longtemps que le traitement fondé sur ce consentement se poursuit, plus la durée nécessaire pour se défendre en cas de contentieux. Concrètement :
- Tant que la personne est active dans votre base et que vous utilisez le consentement → vous conservez la preuve.
- Après un retrait ou une désinscription → vous conservez la preuve un temps raisonnable (souvent aligné sur les délais de prescription) pour démontrer que le traitement était licite pendant sa durée.
Attention à ne pas conserver la preuve indéfiniment : la donnée de preuve est elle-même une donnée personnelle soumise au principe de limitation. Reportez-la dans votre tableau des durées de conservation.
Que se passe-t-il quand la preuve manque ?
C’est la situation la plus dangereuse. Absence de preuve = absence de consentement valable. Les conséquences :
- Le traitement devient illicite rétroactivement pour les personnes concernées.
- La CNIL peut ordonner l’effacement des données collectées sans base légale démontrable, ainsi que la mise en conformité.
- Sanction financière possible au titre de l’article 83.
- Effet domino : les e-mails envoyés, les profils enrichis, les données transmises à des partenaires deviennent tous illicites.
Un fichier de prospection acheté ou constitué sans preuve de consentement est, de ce point de vue, une bombe à retardement : à la première réclamation, vous ne pouvez rien opposer.
Le cas particulier des cookies et traceurs
La preuve du consentement aux cookies obéit à la même logique, avec une exigence renforcée du fait des lignes directrices et de la recommandation « cookies » de la CNIL. Vous devez pouvoir démontrer, pour chaque visiteur, qu’il a accepté les traceurs non essentiels via une action positive (clic sur « Accepter »), et non par simple poursuite de la navigation. Concrètement, votre plateforme de gestion du consentement (CMP) doit horodater et journaliser chaque choix, conserver la configuration exacte du bandeau présenté, et permettre de rejouer le parcours.
C’est un point de contrôle fréquent : la CNIL a sanctionné à plusieurs reprises des éditeurs incapables de prouver un recueil conforme, notamment pour les cookies de mesure d’audience et publicitaires. Voir à ce sujet notre analyse sur Google Analytics et le RGPD. La preuve conditionne ici directement la licéité du dépôt du traceur.
Le consentement mineur et le consentement renouvelé
Deux situations exigent une preuve renforcée. D’abord, lorsque le consentement concerne un mineur (services en ligne), vous devez pouvoir démontrer non seulement le consentement, mais aussi, en deçà de l’âge légal, l’autorisation du titulaire de l’autorité parentale — ce qui suppose un mécanisme de vérification traçable.
Ensuite, un consentement n’est pas éternel. Lorsqu’une finalité évolue, ou après une longue période d’inactivité, la CNIL considère qu’un renouvellement peut être nécessaire. Vous devez alors conserver la preuve du consentement initial et celle du consentement renouvelé, chacun horodaté avec sa version de formulaire. Traiter la preuve comme un historique versionné, et non comme un instantané unique, est la bonne posture.
Cas pratiques
Cas 1 — Newsletter B2C. Vous inscrivez des internautes via un formulaire web. Bonne pratique : double opt-in + conservation du timestamp, de la version du formulaire et de l’e-mail de confirmation. En cas de contrôle, vous produisez le parcours complet. Preuve solide.
Cas 2 — Base de prospection héritée. Vous récupérez un fichier de 50 000 contacts sans aucune trace de recueil. Vous ne pouvez rien prouver. La CNIL, saisie d’une plainte, ordonnera l’effacement. Ne jamais exploiter une base sans preuve.
Cas 3 — Formulaire papier en événementiel. Un visiteur remplit un bulletin papier avec case à cocher. Vous scannez et archivez le document daté et signé. La preuve est valable, à condition de conserver le scan et de pouvoir le relier à la personne.
Erreurs fréquentes
- Se contenter d’un « il a bien reçu nos e-mails ». L’envoi n’est pas la preuve du consentement.
- Ne pas versionner le formulaire. Sans le texte exact présenté, le timestamp est inexploitable.
- Utiliser une case pré-cochée. Un consentement recueilli par case pré-cochée est nul (CJUE, arrêt Planet49), et sa preuve ne vaut rien. Voir notre analyse sur la case à cocher.
- Mélanger consentement et acceptation des CGU. Un consentement « groupé » n’est pas spécifique et ne peut être valablement prouvé.
- Confondre consentement et intérêt légitime. Si vous vous fondez sur l’intérêt légitime, vous n’avez pas à prouver un consentement — mais vous devez alors documenter un test de mise en balance. Ne mélangez pas les deux régimes.
En résumé
Prouver le consentement, c’est conserver, pour chaque personne, un faisceau contemporain : horodatage, version du formulaire, source, et logs de confirmation. Le double opt-in reste la méthode la plus sûre. Sans preuve, votre consentement n’existe pas juridiquement, et la donnée doit être effacée. Traitez la preuve comme un actif à archiver dès la collecte, jamais à reconstituer après coup.
Recevez chaque semaine notre décryptage des obligations RGPD, signé d’un docteur en droit : inscrivez-vous à la newsletter.
Côté outillage, une plateforme comme Legiscope centralise et horodate les preuves de consentement liées à chaque traitement du registre, ce qui facilite leur production immédiate en cas de contrôle.
FAQ
Faut-il conserver l’adresse IP comme preuve du consentement ?
C’est un indice utile mais non indispensable et à manier avec prudence, car l’IP est elle-même une donnée personnelle. Conservez-la de manière proportionnée, en complément d’autres éléments (timestamp, version du formulaire), jamais comme preuve unique.
Le double opt-in est-il obligatoire pour la newsletter ?
Il n’est pas juridiquement obligatoire, mais c’est la méthode la plus robuste pour rapporter la preuve. La CNIL le recommande fortement pour la prospection par e-mail. Un simple opt-in bien tracé peut suffire, mais il est plus fragile.
Combien de temps garder la preuve du consentement ?
Pendant toute la durée du traitement fondé sur le consentement, puis le temps nécessaire pour se défendre en cas de litige. Documentez cette durée dans votre tableau des durées de conservation.
Un consentement oral peut-il être prouvé ?
Très difficilement. Le RGPD n’interdit pas le consentement oral, mais l’obligation de le démontrer le rend en pratique inexploitable, sauf enregistrement daté et conservé. Privilégiez toujours une trace écrite ou électronique.
Que faire si je n’ai aucune preuve pour une partie de ma base ?
Le plus prudent est de recontacter ces personnes pour recueillir un consentement propre et tracé (campagne de « re-permission »), et d’effacer les contacts qui ne confirment pas. Continuer à exploiter des données sans preuve vous expose à un effacement ordonné par la CNIL.
La preuve du consentement doit-elle être fournie à la personne qui la demande ?
Oui. Dans le cadre du droit d’accès, la personne peut demander sur quelle base et comment ses données sont traitées. Vous devez pouvoir lui indiquer et, le cas échéant, lui démontrer l’existence de son consentement.