Le consentement est la base légale la plus visible du RGPD et la plus mal mise en oeuvre. La CNIL a infligé 150 millions d’euros d’amende à Google (Délibération n°SAN-2022-009 du 6 janvier 2022) et 60 millions d’euros à Facebook pour des consentements aux cookies non conformes — preuve que les conditions de validité du consentement RGPD ne sont pas négociables. Voici ce que l’Art. 7 RGPD exige réellement, avec des exemples conformes et non conformes.
Points Clés
- Le consentement doit être libre, spécifique, éclairé et univoque (Art. 4(11) RGPD) — l’absence d’un seul critère l’invalide.
- Le responsable de traitement porte la charge de la preuve du consentement (Art. 7(1) RGPD).
- Le retrait du consentement doit être aussi simple que son octroi (Art. 7(3) RGPD).
- Les cases pré-cochées ne constituent jamais un consentement valide (CJUE, Planet49, C-673/17, 1er octobre 2019).
- Pour les mineurs de moins de 15 ans en France (Art. 8 RGPD et Art. 45 de la loi Informatique et Libertés), le consentement du titulaire de l’autorité parentale est requis.
Les quatre conditions cumulatives du consentement
L’Art. 4(11) RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Ces quatre conditions sont cumulatives.
Libre
Le consentement n’est pas libre s’il est conditionné à l’exécution d’un contrat ou d’un service qui n’exige pas ce traitement. L’Art. 7(4) RGPD précise que pour déterminer si le consentement est libre, il faut tenir compte de la question de savoir si l’exécution d’un contrat est subordonnée au consentement au traitement de données non nécessaires.
Exemple non conforme : un site e-commerce qui refuse de finaliser une commande si l’utilisateur ne consent pas à recevoir des newsletters. La newsletter n’est pas nécessaire à la livraison : le consentement n’est pas libre.
Exemple conforme : un formulaire d’inscription où la case newsletter est séparée du bouton de validation de commande, sans impact sur le processus d’achat.
Le CEPD (Lignes directrices 05/2020) ajoute que le déséquilibre de pouvoir entre l’organisme et la personne (employeur/salarié, administration/administré) peut compromettre le caractère libre du consentement.
Spécifique
Le consentement doit porter sur une finalité déterminée. Un consentement global (« J’accepte le traitement de mes données ») est invalide. Chaque finalité distincte nécessite un consentement distinct.
Exemple non conforme : une seule case pour « J’accepte de recevoir des offres commerciales et que mes données soient partagées avec des partenaires et utilisées à des fins de profilage. »
Exemple conforme : trois cases distinctes — (1) offres commerciales de l’organisme, (2) partage avec partenaires identifiés, (3) profilage pour personnalisation. Chacune activable indépendamment.
Éclairé
La personne doit disposer d’informations suffisantes pour prendre une décision en connaissance de cause. L’Art. 13 RGPD liste les informations minimales : identité du responsable de traitement, finalités, catégories de données, destinataires, durée de conservation, droits.
La CNIL insiste sur la lisibilité de l’information : un texte juridique de 15 pages en corps 8 ne remplit pas cette condition, même si toutes les informations y figurent.
Univoque
Le consentement doit résulter d’un acte positif clair : cocher une case, cliquer sur un bouton « J’accepte », activer un paramètre. Le silence, l’inaction ou les cases pré-cochées ne constituent pas un consentement.
La CJUE a tranché définitivement cette question dans l’arrêt Planet49 (C-673/17, 1er octobre 2019) : une case pré-cochée ne peut pas être considérée comme un consentement valide, même si l’utilisateur peut la décocher.
La preuve du consentement (Art. 7(1))
L’Art. 7(1) RGPD impose au responsable de traitement de démontrer que la personne a donné son consentement. Cette charge de la preuve implique :
- La conservation d’un horodatage (date, heure) du consentement
- L’enregistrement du mécanisme utilisé (formulaire, interface, version de la politique)
- La traçabilité de l’information fournie au moment du consentement
- L’identification de la personne ayant consenti
En pratique, le responsable de traitement doit conserver une trace technique complète : log du consentement, capture de l’interface présentée, version du texte d’information. Legiscope génère et conserve automatiquement ces preuves de consentement dans un format auditable.
Le retrait du consentement (Art. 7(3))
L’Art. 7(3) RGPD pose deux règles fondamentales :
- La personne doit être informée de son droit de retrait avant de consentir.
- Le retrait doit être aussi simple que l’octroi du consentement.
Si le consentement a été donné par un clic, le retrait doit pouvoir s’effectuer par un clic — pas par l’envoi d’un courrier recommandé ou un appel téléphonique.
Conséquence du retrait : le responsable de traitement doit cesser le traitement concerné. L’Art. 7(3) précise que le retrait n’affecte pas la licéité du traitement effectué avant le retrait.
La CNIL a sanctionné plusieurs organismes pour avoir rendu le retrait plus difficile que l’octroi du consentement. Le lien de désinscription en pied de newsletter, par exemple, doit être fonctionnel et ne pas rediriger vers un parcours de rétention en plusieurs étapes.
Consentement des mineurs (Art. 8)
L’Art. 8 RGPD prévoit un régime spécifique pour les services de la société de l’information proposés directement à un enfant. Le consentement est licite si l’enfant a au moins 16 ans (seuil par défaut), mais les États membres peuvent abaisser ce seuil jusqu’à 13 ans.
La France a fixé ce seuil à 15 ans (Art. 45 de la loi n°78-17 du 6 janvier 1978 modifiée). En dessous de 15 ans, le consentement doit être donné ou autorisé par le titulaire de l’autorité parentale.
Le responsable de traitement doit mettre en oeuvre des efforts raisonnables pour vérifier que le consentement parental a effectivement été donné, compte tenu des moyens technologiques disponibles (Art. 8(2) RGPD).
Exemples conformes vs non conformes
Consentement aux cookies
Non conforme : un bandeau qui affiche « En poursuivant votre navigation, vous acceptez l’utilisation de cookies. » Le scroll ou la poursuite de navigation ne constituent pas un acte positif clair.
Conforme : une interface proposant « Accepter » et « Refuser » au même niveau, avec un lien « Personnaliser » permettant un choix granulaire par finalité. Pas de cookie déposé avant le choix de l’utilisateur.
Consentement en prospection B2C
Non conforme : un formulaire de contact qui inclut en petits caractères « En soumettant ce formulaire, vous acceptez de recevoir nos offres commerciales. » L’acceptation est liée à l’action principale (contacter l’entreprise).
Conforme : case séparée, non pré-cochée : « Je souhaite recevoir les offres commerciales de [Société] par email. » L’envoi du formulaire de contact fonctionne indépendamment de cette case.
Consentement en contexte RH
Non conforme : un contrat de travail qui inclut une clause de consentement au traitement des données. Le déséquilibre employeur/salarié rend le consentement non libre (CEPD, Lignes directrices 05/2020).
Conforme : la gestion de la paie et l’exécution du contrat de travail reposent sur les bases légales appropriées (contrat, obligation légale). Le consentement n’est utilisé que pour des traitements véritablement optionnels (photo sur l’intranet, par exemple).
FAQ
Le consentement est-il toujours la meilleure base légale ?
Non. Le consentement est la base appropriée uniquement lorsqu’aucune autre base ne s’applique et que la personne a un véritable choix. Pour les traitements nécessaires à l’exécution d’un contrat (Art. 6(1)(b)) ou imposés par la loi (Art. 6(1)©), le consentement est inadéquat car il impliquerait un droit de retrait incompatible avec l’obligation de traitement.
Comment prouver le consentement en cas de contrôle CNIL ?
Le responsable de traitement doit produire un registre horodaté des consentements, incluant l’identifiant de la personne, la date et l’heure, la finalité, le mécanisme (interface, version), et une copie de l’information présentée au moment du consentement. Sans cette documentation, le consentement est présumé non obtenu.
Un consentement oral est-il valide au regard du RGPD ?
Le RGPD n’exige pas formellement un consentement écrit (sauf pour les données sensibles, Art. 9(2)(a) : consentement explicite). Cependant, l’Art. 7(1) impose de pouvoir démontrer le consentement. Un consentement oral est théoriquement valide, mais la preuve sera quasi impossible à rapporter en cas de contrôle. En pratique, le consentement documenté électroniquement est indispensable.
Quelle sanction pour un consentement non conforme ?
Les amendes pour défaut de consentement valide relèvent de l’Art. 83(5)(a) RGPD : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La CNIL a appliqué ce plafond à plusieurs reprises pour des manquements relatifs aux cookies (Google : 150 M EUR, Facebook : 60 M EUR en 2022).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial