Données personnelles

Article 7 RGPD : les 4 conditions du consentement valide

Article 7 RGPD : 4 conditions du consentement valide — démontrabilité, demande intelligible, retrait facile, libre. Guide pratique 2026.

Aussi disponible en :English·Deutsch
TD
Dr. Thiébaut Devergranne
17 mai 20267 min read

En une phrase. L’article 7 RGPD énonce quatre conditions qui élèvent le consentement (défini à l’article 4(11)) au rang de base légale valide : (1) le responsable doit pouvoir démontrer que le consentement a été donné, (2) la demande de consentement doit être intelligible et clairement distinguable des autres sujets, (3) la personne concernée doit pouvoir retirer son consentement aussi facilement qu’elle l’a donné, et (4) le consentement doit être librement donné — non groupé, non contraint, non préalable à l’accès au service.

L’article 7 rend l’article 6(1)(a) opérationnel. La plupart des sanctions CNIL pour « consentement invalide » citent en réalité les conditions de l’article 7 : absence de preuve, mécanisme de retrait plus difficile que l’opt-in, CGV groupées avec consentement marketing, ou accès au service conditionné au consentement.

Pour des exemples de formulations pratiques, voir exemples de formulations de consentement RGPD. Pour le cadre général, article 6 RGPD bases légales.

Points clés

  • L’article 7 élève le consentement de « tout accord » à démontrable, distinguable, retirable et librement donné.
  • La charge de la preuve incombe au responsable — conserver des enregistrements horodatés de chaque consentement.
  • Le retrait doit être aussi facile que la collecte — même friction, même nombre de clics.
  • « Librement donné » exclut le consentement groupé, le consentement employeur-employé, et le consentement comme condition d’accès au service.
  • Les violations de l’article 7 sont sanctionnées au titre de l’article 83(5) — jusqu’à 4 % du chiffre d’affaires mondial.

1. Texte de l’article 7 — les quatre conditions

Article 7 — Conditions applicables au consentement

  1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

  2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples.

  3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. Il est aussi simple de retirer que de donner son consentement.

  4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir si l’exécution d’un contrat est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

2. Condition 1 — Démontrabilité (article 7 §1)

Le responsable doit conserver la preuve du consentement.

Ce que « démontrable » signifie en pratique :

  • Qui a consenti (ID utilisateur, email, hash)
  • Quand le consentement a été donné (horodatage)
  • À quoi ils ont consenti (finalité spécifique + version du texte de consentement)
  • Comment ils ont consenti (canal : formulaire web, in-app, papier)

3. Condition 2 — Intelligible et distinguable (article 7 §2)

La demande de consentement doit être :

  • Clairement distinguable des autres questions (conditions générales)
  • Intelligible — un utilisateur typique comprend ce avec quoi il est d’accord
  • Aisément accessible — pas enterré
  • Termes clairs et simples — pas de jargon juridique

La CJUE dans Planet49 (Affaire C-673/17, octobre 2019) a invalidé les cases pré-cochées spécifiquement sur les motifs de l’article 7 §2.

4. Condition 3 — Retrait aussi facile que la collecte (article 7 §3)

C’est la condition la plus souvent violée.

Mécanismes de retrait conformes :

  • Lien de désabonnement en un clic dans chaque email marketing
  • Lien « Préférences cookies » dans le footer
  • Toggle de désactivation dans paramètres de compte, effectif sous 24h

Mécanismes non conformes (sanctionnés par la CNIL) :

  • Courrier postal requis
  • Appel à une ligne client payante
  • Suppression de compte comme seul moyen
  • Retrait prenant 30+ jours pour prendre effet

5. Condition 4 — Librement donné (article 7 §4)

Le consentement n’est pas librement donné si :

  • Service conditionné au consentement (pour un traitement non essentiel)
  • Déséquilibre de pouvoir existe — typiquement employeur-employé
  • Plusieurs finalités sont groupées
  • Conséquences préjudiciables découlent du refus

Cookie walls : EDPB et CNIL ont une position nuancée. Un cookie wall n’est pas automatiquement invalide si une alternative payante à un prix raisonnable est offerte.

6. Paysage répressif

Année Sanction Violation Article 7 citée
2019 Google (CNIL) — 50M€ Consentement inadéquat pour publicité personnalisée
2020 TIM SpA (Garante) — 27,8M€ Consentement marketing sans base valide
2021 WhatsApp Ireland (DPC, EDPB) — 225M€ Transparence sur consentement
2023 Meta Platforms Ireland (DPC) — 390M€ Base légale sur publicité comportementale
2024-2025 21 sanctions CNIL cookies Asymétrie de retrait, groupement, dark patterns

7. Checklist d’implémentation

  • ☐ Consentement enregistré avec : ID utilisateur, horodatage, finalité, version de la politique
  • ☐ UI de consentement distingue la demande de consentement des CGV
  • ☐ Une finalité = un consentement (pas de groupement)
  • ☐ Cases pré-cochées supprimées partout
  • ☐ Mécanisme de retrait documenté et testé (fonctionne en <24h)
  • ☐ Utilisateur informé du mécanisme de retrait avant consentement
  • ☐ Accès au service non conditionné au consentement optionnel
  • ☐ Consentement employeur-employé révisé par le DPO (rarement valide)
  • ☐ Cookie wall (si utilisé) a une alternative payante raisonnable
  • ☐ Enregistrements de consentement conservés tant que le consentement est actif + période de preuve raisonnable

8. Article 7 vs article 4(11) : définition vs conditions

Article 4(11) définit le consentement : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

Article 7 énonce les conditions opérationnelles pour maintenir ce consentement valide dans le temps. Les deux fonctionnent ensemble — l’article 4(11) dit ce qu’est le consentement ; l’article 7 dit quoi faire pour le préserver.

9. Outillage

Pour les CMP qui automatisent les conditions de l’article 7 : Axeptio, Didomi, OneTrust, Cookiebot, Tarteaucitron (gratuit).

Legiscope maintient un journal de consentement par utilisateur, alerte sur les consentements groupés détectés dans les formulaires de collecte, et audite les bandeaux cookies contre les critères CNIL.

Pour les guides connexes : exemples de formulations de consentement RGPD, article 6 RGPD bases légales, guide opt-in opt-out, bandeau cookies CNIL.

Conclusion

L’article 7 est la discipline opérationnelle derrière le consentement. Les quatre conditions — démontrabilité, intelligibilité, retrait facile, liberté — se lisent en court mais chacune requiert un système : un journal de consentement, un design UI, un flux de retrait, et un choix architectural de ne pas grouper. La plupart des sanctions cookies CNIL de 2024-2025 sont des violations de l’article 7 déguisées en « problèmes de cookies ».

FAQ

Qu’est-ce que l’article 7 RGPD ?

L’article 7 énonce quatre conditions pour qu’un consentement soit valide comme base légale : il doit être démontrable, intelligible et clairement distinguable, retirable aussi facilement qu’il est donné, et librement donné.

L’article 7 s’applique-t-il à tout consentement RGPD ?

Oui — chaque fois que le consentement est invoqué comme base légale au titre de l’article 6(1)(a) ou comme condition de consentement explicite au titre de l’article 9(2)(a), les conditions de l’article 7 s’appliquent.

Puis-je exiger le consentement pour utiliser mon service ?

Uniquement si le consentement couvre un traitement strictement nécessaire au service. Conditionner le service au consentement à un traitement optionnel viole l’article 7 §4 — le consentement n’est pas « librement donné » dans ce scénario.

Combien de temps dois-je conserver les enregistrements de consentement ?

Pour la durée du consentement + une période de conservation de preuve raisonnable après le retrait. La pratique CNIL suggère 24-36 mois après le retrait comme valeur par défaut défendable.

Les employés peuvent-ils donner un consentement valide ?

Le CEPD a déclaré que le consentement dans une relation employeur-employé est rarement valide en raison du déséquilibre de pouvoir.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →