Décryptage complet de l’article 7 du RGPD
Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
Si le consentement est donné dans le cadre d’une déclaration écrite qui concerne aussi d’autres sujets, la demande de consentement doit être clairement distincte de ces autres sujets, dans une forme compréhensible et accessible, et formulée en termes clairs et simples.
Toute clause violant le RGPD n’est pas contraignante.
La personne concernée a le droit de retirer son consentement à tout moment. Ce retrait ne compromet pas la licéité du traitement fondé sur le consentement avant ce retrait.
La personne concernée en est informée avant de donner son consentement. Il doit être aussi simple de retirer que de donner son consentement.
Lorsqu’on évalue si le consentement est donné librement, il faut notamment considérer si l’exécution d’un contrat ou la fourniture d’un service est subordonnée à un traitement non nécessaire pour exécuter ce contrat.
Le consentement selon le RGPD : pas si simple !
Tout le monde connaît le terme « consentement » dans le RGPD, mais peu le comprennent vraiment. L’article 7 du Règlement général sur la protection des données encadre strictement les conditions dans lesquelles vous pouvez collecter et traiter des données personnelles sur la base de l’accord de l’utilisateur.
Mais attention : pour être valable, le consentement doit être libre, éclairé, spécifique et univoque. Ce n’est pas une formalité, ni une simple case à cocher.
👉 En clair : pas de consentement implicite, pas de texte ambigu. Sinon ? Les autorités considèrent le traitement comme illégal… et peuvent vous sanctionner.
Comment obtenir un consentement conforme au RGPD ?
Un consentement valide selon l’article 7 du RGPD, ce n’est pas une simple formalité. Voici ce que vous devez impérativement respecter :
- Libre et volontaire : L’utilisateur doit donner son accord sans pression, sans conditionner l’accès à un service.
- Clair et distinct : Le message de consentement doit être simple, compréhensible, et séparé des CGU ou mentions légales.
- Action explicite : Pas de case pré-cochée. L’accord doit résulter d’un geste clair : clic, case vide, bouton.
- Preuve obligatoire : Vous devez être capable de prouver qui a consenti, quand, comment et à quoi.
- Retrait facile : Le consentement peut être retiré à tout moment, via un canal aussi simple que celui utilisé pour le donner.
- Indépendant du contrat : Ne liez pas le consentement à l’exécution du contrat sauf si le traitement est indispensable.
👉 Bonne pratique : utilisez un formulaire ou une interface dédiée, avec des textes simples, une case décochée, et une trace horodatée du consentement.
Cas concret : le formulaire d’inscription
❌ Non conforme : “Je souhaite recevoir des offres partenaires” (case pré-cochée)
✅ Conforme : “Je consens à recevoir des offres personnalisées par e-mail” (case décochée, texte clair)
Attention au piège du “tout consentement”
C’est une erreur fréquente : penser que le consentement est obligatoire pour tous les traitements. En réalité, ce n’est qu’une des 6 bases légales prévues par le RGPD.
D’autres bases peuvent s’appliquer sans demander le consentement
Le RGPD prévoit six bases légales pour traiter des données personnelles et le consentement n’en est qu’une parmi six. Voici les 5 autres options que vous pouvez (et devriez) envisager avant de solliciter un accord formel.
1. Exécution du contrat
Vous n’avez pas besoin de consentement si vous traitez les données pour exécuter un contrat avec la personne (vente, livraison, service).
👉 Exemple : traitement de l’adresse pour envoyer un colis, ou de l’email pour fournir un accès à un espace client.
2. Obligation légale
La loi ou le règlement vous impose de traiter certaines données, même sans accord explicite.
👉 Exemples : tenir une comptabilité, émettre une fiche de paie, archiver les factures pendant 10 ans, déclarer à l’URSSAF.
3. Intérêt vital de la personne concernée
Dans des situations extrêmes où la vie ou l’intégrité d’une personne est en jeu, vous pouvez traiter des données sans consentement.
👉 Exemple : transmettre des informations médicales à un service d’urgence.
4. Mission d’intérêt public
Applicable aux entités publiques ou missions déléguées.
👉 Exemple : une mairie traitant des données pour délivrer des cartes d’identité ou organiser des élections.
5. Intérêt légitime de l’entreprise
Valable si le traitement est nécessaire à votre activité, sans porter atteinte aux droits des personnes.
👉 Exemples : prévention de la fraude, sécurité informatique, marketing minimal avec équilibre des intérêts (nécessite une analyse au cas par cas).
Moralité : ne demandez pas le consentement si une autre base légale s’applique. Cela renforce votre crédibilité en cas de contrôle.
Checklist pour un consentement 100 % conforme au RGPD
Avant de collecter la moindre donnée personnelle sur la base du consentement, vérifiez que vous respectez bien tous les critères légaux de l’article 7 du RGPD.
⚠️ Checklist RGPD : ne collectez rien sans valider ces points
Ce qu’il ne faut plus faire (et comment faire mieux)
Certaines pratiques semblent anodines… mais peuvent vous coûter cher. Voici deux cas très fréquents et les solutions à appliquer dès maintenant.
| Cas | Erreur fréquente | Pourquoi éviter ? | Solution simple à adopter | Vos avantages |
|---|---|---|---|---|
| 1 | Case pré-cochée pour les offres marketing | Consentement non valide, risque d’amende RGPD | Toujours laisser la case décochée pour que l’utilisateur choisisse activement | Moins de risques, plus de confiance utilisateur |
| 2 | Obliger l’utilisateur à accepter des cookies pour utiliser un service gratuit | Le consentement n’est pas « libre », violation RGPD | Proposer une alternative sans cookies (version limitée du service, par exemple) | Meilleure conformité, confiance renforcée |
FAQ – Les questions fréquentes
Que doivent fournir les entreprises comme preuve en cas de contrôle ?
La charge de la preuve revient au responsable du traitement. Il doit pouvoir démontrer : qui a consenti, quand, comment et à quoi.
Cela implique d’archiver le texte présenté à l’utilisateur, la date et l’heure de l’action, ainsi qu’un identifiant (ex : email, ID, IP). Les bases de données sans historique ni traçabilité sont insuffisantes.
Que faire si une personne retire son consentement ?
Le retrait doit être aussi simple et accessible que l’accord initial, et sans conséquence négative.
Il doit être effectif sans délai et entraîner la cessation du traitement concerné.
👉 Informez l’utilisateur de ce droit avant qu’il donne son accord, et mentionnez-le clairement dans la formulation du message.
Comment éviter de dépendre uniquement du consentement ?
Mieux vaut réserver le consentement aux usages à fort impact ou non essentiels.
Pour le reste, réalisez une analyse de votre base légale réelle (intérêt légitime, contrat, obligation légale…). Cette approche permet d’être plus crédible en cas de contrôle, et d’éviter le syndrome du “tout consentement” souvent mal géré.
