Le consentement est l’une des six bases légales prévues par le RGPD pour autoriser le traitement de données personnelles. C’est aussi celle qui fait l’objet du plus grand nombre de contrôles et de sanctions de la part de la CNIL. La raison est simple : le consentement tel que défini par le RGPD est soumis à des conditions strictes que la plupart des organisations ne respectent pas correctement.

Cases pré-cochées, consentements enfouis dans des conditions générales, absence de mécanisme de retrait, preuves insuffisantes – les manquements sont nombreux et les conséquences juridiques réelles. La CNIL a prononcé des amendes significatives pour des défauts de consentement, y compris à l’encontre de grandes entreprises.

Cet article examine les conditions de validité du consentement RGPD, les modalités pratiques de recueil et de gestion, et les erreurs à éviter.

Les conditions de validité du consentement RGPD

Définition légale

L’article 4(11) du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Chaque terme de cette définition a une portée juridique précise. Le non-respect d’une seule de ces conditions invalide le consentement dans son ensemble.

Libre

Le consentement doit être donné sans contrainte ni pression. L’article 7(4) du RGPD précise que, pour évaluer si le consentement est librement donné, il convient de vérifier notamment si l’exécution d’un contrat est subordonnée au consentement au traitement de données non nécessaires à l’exécution de ce contrat.

Concrètement, cela signifie que :

• Vous ne pouvez pas conditionner l’accès à un service au consentement pour de la prospection commerciale (pratique dite du “bundling”).
• Le refus de consentir ne doit entraîner aucune conséquence négative pour la personne.
• Il doit exister un déséquilibre minimal entre le responsable de traitement et la personne concernée – ce qui pose des questions spécifiques dans le contexte employeur/salarié.

Spécifique

Le consentement doit être recueilli pour chaque finalité distincte de traitement. Un consentement global couvrant simultanément l’envoi de newsletters, le profilage publicitaire et le partage avec des tiers n’est pas valide. Chaque finalité nécessite un acte de consentement séparé et identifiable.

Éclairé

La personne doit disposer de toutes les informations nécessaires pour prendre une décision en connaissance de cause. Conformément aux bonnes pratiques de l’article 12, l’information doit être présentée de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

Les informations minimales à fournir avant le recueil du consentement sont :

• L’identité du responsable de traitement.
• La finalité de chaque traitement pour lequel le consentement est demandé.
• Les catégories de données collectées.
• L’existence du droit de retirer son consentement à tout moment.
• Le cas échéant, l’existence de transferts vers des pays tiers.

Univoque

Le consentement doit résulter d’un acte positif clair. Le silence, l’inactivité, les cases pré-cochées ou le simple fait de continuer à naviguer sur un site ne constituent pas un consentement valide. Le Comité européen de la protection des données (EDPB) a confirmé cette interprétation dans ses lignes directrices 05/2020.

Quand le consentement est-il la base légale appropriée ?

Le consentement n’est pas la base légale par défaut. Il ne doit être utilisé que lorsqu’aucune autre base légale n’est plus appropriée. En pratique, le consentement est la base légale pertinente dans les cas suivants :

• Prospection commerciale par email (sauf exception B2B pour les clients existants dans le cadre de l’article L.34-5 du Code des postes et des communications électroniques).
• Cookies et traceurs non strictement nécessaires au fonctionnement du service.
• Traitement de données sensibles lorsqu’aucune autre exception de l’article 9(2) ne s’applique.
• Profilage à des fins de marketing personnalisé.
• Transferts de données vers des pays tiers en l’absence de décision d’adéquation ou de garanties appropriées.

A l’inverse, le consentement est rarement la base légale appropriée pour :

• Le traitement de données nécessaires à l’exécution d’un contrat (utilisez l’article 6(1)(b)).
• Les obligations légales comme la conservation de données comptables (utilisez l’article 6(1)©).
• La relation employeur/salarié, où le déséquilibre de pouvoir rend le consentement difficilement “libre”.

Comment recueillir un consentement conforme

Les mécanismes de recueil

Le recueil du consentement doit reposer sur un mécanisme technique clair et documenté. Les principaux mécanismes sont :

Les cases à cocher (checkboxes) – Le mécanisme le plus courant. La case doit être décochée par défaut. Elle doit être associée à un texte d’information clair et spécifique à chaque finalité. Chaque formulaire de collecte doit comporter ses propres cases de consentement.

Les bandeaux cookies (Consent Management Platform) – Pour les cookies et traceurs, un bandeau conforme doit offrir un choix réel entre accepter et refuser, avec le même niveau de facilité pour les deux options. Les boutons “Accepter” et “Refuser” doivent être présentés de manière équivalente.

Le double opt-in – Particulièrement recommandé pour les inscriptions aux newsletters. La personne confirme son consentement en cliquant sur un lien reçu par email après son inscription initiale. Ce mécanisme renforce la preuve du consentement.

La preuve du consentement

L’article 7(1) du RGPD impose au responsable de traitement d’être en mesure de démontrer que la personne a consenti. Cette obligation de preuve est essentielle. En cas de contrôle ou de litige, c’est à vous de prouver que le consentement a été valablement recueilli.

Les éléments de preuve à conserver incluent :

• L’horodatage du consentement (date et heure).
• L’identité de la personne (adresse email, identifiant utilisateur).
• Le texte exact qui accompagnait la demande de consentement au moment du recueil.
• Le mécanisme utilisé (capture d’écran du formulaire, version du bandeau cookies).
• L’adresse IP de la personne au moment du recueil (dans le respect du principe de minimisation).

L’utilisation d’un logiciel de conformité RGPD comme Legiscope permet d’automatiser la gestion des preuves de consentement et d’assurer leur traçabilité dans le temps.

Le retrait du consentement

Le principe : aussi simple que le recueil

L’article 7(3) du RGPD est catégorique : « Il est aussi simple de retirer que de donner son consentement. » Ce principe est systématiquement contrôlé par la CNIL et les autres autorités européennes.

Si le consentement a été recueilli en un clic, le retrait doit pouvoir s’effectuer en un clic. Un lien de désinscription dans chaque email, un bouton de gestion des préférences dans l’espace personnel, un accès direct au paramétrage des cookies – autant de mécanismes qui doivent être opérationnels et facilement accessibles.

Les conséquences du retrait

Le retrait du consentement n’a pas d’effet rétroactif. Les traitements réalisés avant le retrait restent licites. En revanche, tout traitement postérieur au retrait fondé sur le consentement doit cesser immédiatement.

En pratique, le retrait du consentement implique :

• La cessation immédiate du traitement concerné.
• La suppression des données si aucune autre base légale ne justifie leur conservation.
• La mise à jour du registre des traitements.

Le consentement pour les cookies et traceurs

La question des cookies mérite un développement spécifique. Les recommandations de la CNIL de 2020, confirmées par le Conseil d’État, imposent des règles précises :

• Le dépôt de cookies non essentiels nécessite un consentement préalable.
• L’utilisateur doit pouvoir refuser les cookies avec la même facilité qu’il les accepte.
• Le simple fait de continuer à naviguer ne vaut pas consentement.
• Les “cookie walls” (conditionner l’accès au contenu à l’acceptation des cookies) sont admis sous conditions strictes.
• La durée de validité du consentement aux cookies est de 13 mois maximum.
• Le refus doit être mémorisé pendant la même durée que l’acceptation.

La mise en conformité des cookies est souvent le point de départ visible de la conformité RGPD d’un site web. Un audit RGPD permet de vérifier rapidement si votre bandeau cookies répond à ces exigences.

Le consentement des mineurs

L’article 8 du RGPD prévoit des règles spécifiques pour le consentement des mineurs dans le cadre des services de la société de l’information. En France, l’âge du consentement numérique est fixé à 15 ans par la loi Informatique et Libertés.

En dessous de cet âge, le consentement doit être donné ou autorisé par le titulaire de la responsabilité parentale. Le responsable de traitement doit mettre en oeuvre des efforts raisonnables pour vérifier que le consentement a été donné par le titulaire de la responsabilité parentale, compte tenu des moyens technologiques disponibles.

Les erreurs les plus fréquentes

Erreur 1 : Le consentement “fourre-tout”

Un seul consentement pour plusieurs finalités n’est pas conforme. Chaque finalité doit faire l’objet d’un consentement distinct. Vous ne pouvez pas regrouper l’inscription à une newsletter, l’acceptation de cookies publicitaires et le partage de données avec des partenaires dans un même acte de consentement.

Erreur 2 : L’absence de mécanisme de retrait effectif

Avoir un lien de désinscription qui ne fonctionne pas, ou qui renvoie vers un formulaire complexe nécessitant une identification, viole l’article 7(3). Le retrait doit être opérationnel, immédiat et simple.

Erreur 3 : Ne pas renouveler le consentement

Le consentement n’est pas éternel. Il doit être renouvelé si la finalité du traitement change, si de nouvelles catégories de données sont collectées, ou si les conditions du traitement évoluent significativement. Pour les cookies, le renouvellement est imposé tous les 13 mois.

Erreur 4 : Confondre consentement et information

Informer une personne du traitement de ses données n’équivaut pas à recueillir son consentement. L’information est une obligation distincte, prévue par les articles 13 et 14 du RGPD, qui s’applique quelle que soit la base légale utilisée.

Consentement et privacy by design

L’article 25 du RGPD impose la prise en compte de la protection des données dès la conception des systèmes. En matière de consentement, cela implique d’intégrer les mécanismes de recueil, de gestion et de retrait du consentement dès la phase de conception de tout nouveau service, application ou fonctionnalité.

Legiscope facilite cette approche en intégrant les vérifications de conformité du consentement dans le workflow de développement, permettant aux équipes techniques et juridiques de collaborer efficacement sur ces questions.

FAQ

Une case pré-cochée constitue-t-elle un consentement valide ?

Non. La Cour de justice de l’Union européenne a expressément jugé, dans l’arrêt Planet49 (C-673/17) du 1er octobre 2019, qu’une case pré-cochée ne constitue pas un consentement valide au sens du RGPD. Le consentement doit résulter d’un acte positif clair de la personne concernée, ce qui exclut toute forme de consentement par défaut ou par inaction.

Peut-on conditionner un service à l’acceptation des cookies publicitaires ?

La pratique du “cookie wall” est admise sous conditions par la CNIL depuis sa délibération de 2020, à condition qu’une alternative réelle soit proposée à l’utilisateur (par exemple, un accès payant au contenu sans cookies). Si aucune alternative n’est offerte, le consentement n’est pas considéré comme libre et n’est donc pas valide.

Comment gérer le consentement dans une relation B2B ?

En B2B, le consentement n’est pas toujours la base légale appropriée. Pour la prospection commerciale par email entre professionnels, l’article L.34-5 du Code des postes et des communications électroniques prévoit une exception : l’envoi de sollicitations commerciales est autorisé sans consentement préalable si le message est en rapport avec la fonction professionnelle du destinataire. En revanche, le consentement reste requis pour les cookies et pour tout traitement qui ne relève pas de cette exception.

Quelle est la durée de validité d’un consentement RGPD ?

Le RGPD ne fixe pas de durée de validité générale du consentement. Cependant, le consentement doit rester valide, c’est-à-dire que les conditions dans lesquelles il a été recueilli ne doivent pas avoir changé. Pour les cookies, la CNIL recommande un renouvellement tous les 13 mois. Pour les autres traitements, une bonne pratique consiste à renouveler le consentement périodiquement, par exemple tous les 2 à 3 ans, ou dès que les finalités ou conditions du traitement évoluent.