Les 5 exigences RGPD pour une formulation de consentement valide (article 4(11) + considérant 32) : le consentement doit être librement donné (aucune pénalisation pour refus), spécifique (un objectif à la fois), éclairé (identité du responsable, finalités, conservation), univoque (action positive claire — pas de cases pré-cochées), et retirable aussi facilement qu’il est donné. Une formulation qui regroupe plusieurs finalités, masque les mécanismes de retrait ou utilise des toggles activés par défaut échoue à toute analyse CNIL.
La formulation utilisée sur un formulaire de consentement détermine si le consentement est valide au sens de l’article 4(11) RGPD. Un langage vague (« nous pouvons utiliser vos données pour améliorer nos services ») échoue. Les toggles multi-finalités échouent. Les cases pré-cochées échouent. Ce guide fournit des formulations prêtes à l’emploi pour les 8 scénarios de consentement les plus courants, chacune testée contre les priorités d’application de la CNIL et de l’EDPB en 2024-2025.
Pour le cadre général du consentement, voir notre guide opt-in opt-out. Pour la base légale alternative, intérêt légitime RGPD. Pour le bandeau cookies CNIL spécifique, bandeau cookies CNIL : règles 2026.
Points clés
- La formulation de consentement doit nommer le responsable, la finalité et les destinataires explicitement.
- Chaque finalité requiert une case granulaire séparée — pas de regroupement.
- Le mécanisme de retrait doit être décrit et aussi facile que la collecte.
- Pour les catégories particulières de données (santé, religion, biométrie) : consentement explicite requis avec une formulation encore plus précise.
- La CNIL a prononcé plusieurs sanctions en 2024-2025 (cumul 30M€+) pour des défaillances de formulation de consentement.
1. Bandeau cookies — consentement analytics
Formulation conforme
Nous utilisons des cookies pour deux finalités :
[ ] Cookies strictement nécessaires — requis pour le fonctionnement
du site. (Toujours actifs, aucun consentement nécessaire.)
[ ] Cookies de mesure d'audience (Matomo, hébergé en France) — pour
mesurer l'usage du site. Données anonymisées, conservées 13 mois.
Vous pouvez retirer votre consentement à tout moment via le lien
"Préférences cookies" en bas de page.
[ Refuser ] [ Personnaliser ] [ Accepter ]
Pourquoi c’est conforme
- Finalité explicite (« mesurer l’usage du site »)
- Destinataire nommé (« Matomo »)
- Durée de conservation indiquée
- Mécanisme de retrait décrit
- Bouton Refuser aussi visible que Accepter
- Aucune case pré-cochée
Ce qui échoue
- ❌ « Nous utilisons des cookies pour améliorer votre expérience. [Accepter] » — pas de finalité, pas de destinataire, pas de choix granulaire
- ❌ Case analytics pré-cochée
- ❌ Bouton « Tout accepter » sans bouton « Tout refuser » équivalent
- ❌ Refuser disponible uniquement après 2-3 clics
2. Inscription à la newsletter
Formulation conforme
Abonnez-vous à notre newsletter hebdomadaire
[ ] Je consens à recevoir des emails marketing de la part de
[Société SAS, 12 rue X, 75001 Paris] sur [les produits et contenus
de conformité RGPD]. Fréquence : 1 email par semaine. Vous pouvez
vous désabonner à tout moment via le lien dans chaque email ou
en écrivant à privacy@societe.com. Votre email est conservé pendant
24 mois après la dernière interaction.
[ S'abonner ]
Pourquoi c’est conforme
- Responsable de traitement entièrement identifié
- Sujet du marketing précisé
- Fréquence divulguée
- Deux canaux de retrait
- Durée de conservation indiquée
3. Personnalisation marketing basée sur le comportement
Formulation conforme
[ ] Je consens à ce que [Société] utilise mon historique de navigation
sur societe.com pour personnaliser le contenu et les recommandations
de produits que je vois lors de mes prochaines visites. Destinataires :
[Société] uniquement — aucun transfert tiers. Conservation : 12 mois
après la dernière visite. Retrait : paramètres compte → Confidentialité
→ "Désactiver la personnalisation", prend effet sous 24h.
[ Confirmer ] [ Passer ]
4. Surveillance des employés (attention : consentement rarement valide en contexte employeur)
La CNIL et l’EDPB ont rappelé à plusieurs reprises que le consentement n’est généralement pas valide dans la relation employeur-employé en raison du déséquilibre de pouvoir. Utilisez l’intérêt légitime ou l’obligation légale à la place. Si le consentement est inévitable (par exemple, pour des avantages non essentiels) :
Formulation conforme
Ce consentement est volontaire. Le refus n'affectera en aucune manière
votre relation de travail, votre rémunération, votre évaluation ou votre
progression de carrière.
[ ] Je consens à participer au [programme de mentorat interne], qui
implique que [Société] partage mes coordonnées et mon domaine
d'expertise avec d'autres salariés. Retrait à tout moment via le
portail RH, sans conséquence.
[ Confirmer ]
5. Données de catégorie particulière — santé (article 9)
Pour les données sensibles (santé, religion, orientation sexuelle, etc.), l’article 9 requiert un consentement explicite — typiquement une confirmation écrite ou autrement documentée sans ambiguïté.
Formulation conforme
Votre dossier médical contient des données classifiées comme « données de
santé » au titre de l'article 9 RGPD. Pour traiter ces données pour la
finalité de [fournir des services de consultation à distance], nous avons
besoin de votre consentement explicite.
[ ] Je consens expressément à ce que [Clinique SAS] traite mes données de
santé — spécifiquement mes notes de consultation, prescriptions et
résultats d'examens — pour la finalité de fournir des services de
consultation à distance. Destinataires : [Clinique SAS] uniquement.
Conservation pour la durée légale du dossier médical (20 ans
post-consultation selon le droit français). Retrait : à tout moment,
via [procédure], sans affecter la qualité des soins pour les
traitements en cours.
[ Je consens expressément ]
6. Mineurs (moins de 15 ans en France selon LIL ; 16 ans par défaut RGPD)
L’article 8 RGPD requiert la vérification que le consentement du titulaire de l’autorité parentale a été donné. En France, le seuil est de 15 ans (article 45 LIL) :
Formulation conforme
Vous semblez avoir moins de 15 ans. Avant de pouvoir créer votre compte,
nous avons besoin de la confirmation que votre parent ou tuteur légal a
autorisé cela.
Veuillez demander à votre parent/tuteur de saisir son email ci-dessous.
Nous lui enverrons un message de vérification décrivant ce que nous
collectons et comment nous l'utilisons.
[ Email parent/tuteur ] [ Envoyer la vérification ]
7. Photographie ou vidéo — consentement à l’image
Scénarios courants : photos d’entreprise, enregistrements d’événements, supports marketing.
Formulation conforme
[ ] Je consens à ce que ma photographie soit prise lors de [nom de
l'événement] le [date] et utilisée par [Société] pour [des finalités
marketing sur le site web de l'entreprise, LinkedIn et brochures].
Conservation : [3 ans]. Retrait : envoyer un email à
privacy@societe.com pour demander le retrait de toute photo me
contenant. Note : les photos en supports imprimés ne peuvent pas
être rappelées, mais aucune nouvelle impression ne sera faite.
[ Je consens ]
8. Partage de données avec des tiers nommés
Formulation conforme
[ ] Je consens à ce que [Société] partage mon adresse email avec les
entreprises partenaires suivantes pour la finalité de recevoir des
offres de leur part : [Partenaire A — type d'offres], [Partenaire B
— type d'offres]. Chaque partenaire devient le responsable de
traitement de vos données une fois partagées. Le retrait du
consentement arrête le partage futur mais n'annule pas le partage
passé — pour retirer vos données de la base d'un partenaire,
contactez-le directement.
[ Je consens ]
9. Erreurs de formulation courantes (sanctions CNIL 2024-2025)
La CNIL a sanctionné plusieurs entreprises en 2024-2025 pour des défaillances de formulation de consentement. Patterns :
| Défaillance | Exemple | Correction |
|---|---|---|
| Finalités regroupées | « J’accepte les conditions et consens au marketing. » | Deux cases distinctes |
| Cases pré-cochées | Case analytics cochée par défaut | Par défaut décochée, l’utilisateur doit cocher |
| Finalité vague | « pour améliorer nos services » | Finalité spécifique : « pour envoyer la newsletter hebdomadaire » |
| Destinataire manquant | Pas de mention des tiers | Nommer chaque destinataire |
| Refus asymétrique | Gros bouton « Accepter », « Refuser » caché | Refus aussi visible |
| Pas d’info de retrait | « Vous pouvez changer d’avis » | Canal et délai spécifiques |
| Consentement forcé pour le service | « Vous devez accepter les cookies pour utiliser le site » | Refus doit être possible sans perte de service |
10. Checklist de validation de formulation
Avant de publier un formulaire de consentement, vérifier :
- ☐ Responsable de traitement entièrement identifié (nom légal + adresse)
- ☐ Finalité énoncée spécifiquement (pas « pour améliorer »)
- ☐ Destinataires nommés (pas « nos partenaires »)
- ☐ Durée de conservation indiquée
- ☐ Canal de retrait indiqué et aussi facile que la collecte
- ☐ Chaque finalité a sa propre case
- ☐ Aucune case pré-cochée
- ☐ Refus aussi visuellement proéminent que l’acceptation
- ☐ Pour données article 9 : formulation de consentement explicite
11. Outillage
Legiscope audite automatiquement les formulations de consentement sur les formulaires de collecte : détection de finalités regroupées, destinataires manquants, cases pré-cochées, asymétrie d’UI. Pour un SaaS avec 5-15 points de collecte, l’audit prend quelques minutes au lieu de jours de revue manuelle.
Pour les guides d’implémentation connexes : exemples de consentement RGPD, bandeau cookies CNIL, intérêt légitime RGPD, base juridique RGPD.
Conclusion
La formulation de consentement est l’élément de programme de confidentialité le plus audité. La CNIL à elle seule a prononcé 21 sanctions cookies/consentement en 2025. Les patterns conformes sont bien établis — les défaillances reproduisent les mêmes erreurs (regroupement, finalité vague, cases pré-cochées, refus asymétrique). En utilisant les modèles de ce guide, calibrés sur les critères CNIL et EDPB, vous éliminez les modes de défaillance les plus courants.
FAQ
Une formulation de consentement RGPD doit-elle suivre un format spécifique ?
Aucun format spécifique imposé, mais elle doit satisfaire à l’article 4(11) : librement donné, spécifique, éclairé, univoque, retirable. La formulation doit inclure l’identité du responsable, les finalités, les destinataires, la durée de conservation et le mode de retrait. Utilisez un langage clair, pas de jargon juridique.
Les cases pré-cochées sont-elles parfois valides pour le consentement RGPD ?
Non. La CJUE a confirmé dans l’affaire Planet49 (C-673/17) que les cases pré-cochées ne constituent pas un consentement valide. L’utilisateur doit accomplir une action affirmative claire et active.
Puis-je regrouper plusieurs finalités en un seul consentement ?
Non. Chaque finalité distincte requiert son propre consentement granulaire. Le regroupement (par exemple « J’accepte les conditions et consens au marketing ») est l’un des modes de défaillance les plus fréquemment sanctionnés par la CNIL.
Le « consentement implicite » est-il valide sous le RGPD ?
Non. Le RGPD requiert un consentement univoque par action affirmative claire. La poursuite de la navigation, le défilement, ou l’absence d’opposition ne constituent pas un consentement. Le bandeau cookies qui dit « en continuant, vous acceptez » est invalide.
Quelle est la différence entre consentement et intérêt légitime ?
Le consentement (article 6(1)(a)) requiert une autorisation explicite de l’utilisateur et peut être retiré à tout moment. L’intérêt légitime (article 6(1)(f)) ne requiert pas de consentement mais nécessite un test de mise en balance documenté montrant que l’intérêt du responsable l’emporte sur les droits de la personne concernée. De nombreuses activités marketing peuvent utiliser l’intérêt légitime au lieu du consentement — voir notre guide intérêt légitime.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo