Consentement : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le consentement constitue l'une des six bases légales énumérées à l'article 6 paragraphe 1 du Règlement (UE) 2016/679 (RGPD) sur lesquelles peut reposer un traitement de données à caractère personnel.

Le consentement constitue l'une des six bases légales énumérées à l'article 6 paragraphe 1 du Règlement (UE) 2016/679 (RGPD) sur lesquelles peut reposer un traitement de données à caractère personnel. Sa définition est posée à l'article 4 paragraphe 11 du règlement, qui le qualifie de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

Cette définition rompt avec la pratique antérieure des cases pré-cochées et des consentements implicites tirés de la simple poursuite de la navigation sur un site internet. Sous l'empire du RGPD, le consentement requiert un acte positif clair de la personne concernée, ce qui exclut les mécanismes passifs ou les options par défaut prises en faveur d'un traitement.

L'enjeu pratique de cette base légale est central pour les opérateurs du marketing direct, du tracking en ligne, de l'utilisation des cookies non essentiels et plus généralement pour tous les traitements qui ne peuvent reposer sur une autre base légale (exécution d'un contrat, obligation légale, intérêt légitime, sauvegarde des intérêts vitaux, mission d'intérêt public). Un consentement vicié dans ses conditions de recueil entraîne l'illicéité du traitement et expose à des sanctions de la CNIL.

Vous souhaitez sécuriser vos mécanismes de recueil du consentement ? Le Cabinet Aurore Bonavia conçoit vos parcours de consentement, vos bandeaux cookies et vos mentions d'information conformes au RGPD et à la délibération CNIL. → Voir l'accompagnement en droit du numérique

Les quatre conditions cumulatives de validité du consentement

L'article 4 paragraphe 11 et l'article 7 du RGPD posent quatre conditions que doit remplir tout consentement valide.

Le consentement doit être libre : la personne concernée doit pouvoir refuser ou retirer son consentement sans subir de préjudice. L'article 7 paragraphe 4 précise que pour apprécier la liberté du consentement, il convient de tenir compte du fait notamment de savoir si l'exécution d'un contrat est subordonnée au consentement à un traitement de données qui n'est pas nécessaire à l'exécution dudit contrat. Le caractère libre est mis en cause par tout déséquilibre manifeste entre la personne concernée et le responsable de traitement, ce que le considérant 43 illustre par la relation entre une autorité publique et un administré.

Le consentement doit être spécifique : il doit porter sur une finalité déterminée et clairement identifiée. Un consentement global recouvrant plusieurs finalités hétérogènes n'est pas valable. Lorsque le traitement poursuit plusieurs finalités, le consentement doit être recueilli pour chacune d'elles séparément, ce qui se traduit en pratique par autant de cases à cocher distinctes.

Le consentement doit être éclairé : la personne concernée doit avoir reçu, préalablement au recueil, l'information requise par les articles 13 et 14 du RGPD (identité du responsable, finalités, base légale, destinataires, durée de conservation, droits de la personne). Un consentement obtenu sans information préalable claire et complète est entaché d'irrégularité.

Le consentement doit être univoque : il doit résulter d'un acte positif clair, exprès, qui ne laisse aucun doute quant à la volonté de la personne. Les cases pré-cochées, le silence, l'inactivité ou la simple poursuite de la navigation ne constituent pas un consentement univoque, comme l'a expressément jugé la CJUE dans l'arrêt Planet49 du 1er octobre 2019 (C-673/17).

Le consentement explicite pour les données sensibles

L'article 9 paragraphe 2 a) du RGPD impose un consentement explicite pour le traitement des catégories particulières de données (origine raciale, opinions politiques, convictions religieuses, données de santé, données génétiques, données biométriques, données relatives à la vie sexuelle ou à l'orientation sexuelle).

L'EDPB précise dans ses Lignes directrices 05/2020 sur le consentement (révision 1.1 du 4 mai 2020) que le caractère explicite suppose une déclaration écrite ou orale formulée par la personne concernée, qui ne peut résulter d'un comportement implicite ou inféré. En pratique, ce consentement explicite prend la forme d'une déclaration sur l'honneur, d'une signature électronique, d'un courriel de confirmation ou de toute autre déclaration formelle de la personne concernée.

Le consentement explicite est également requis dans deux autres hypothèses prévues par le RGPD : le transfert de données vers un pays tiers ne disposant pas d'une décision d'adéquation et n'offrant pas de garanties appropriées (article 49 paragraphe 1 a) et la prise de décision automatisée produisant des effets juridiques pour la personne concernée (article 22 paragraphe 2 c).

Le retrait du consentement

L'article 7 paragraphe 3 du RGPD impose au responsable de traitement de garantir à la personne concernée le droit de retirer son consentement à tout moment :

« La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. »

Cette obligation de symétrie entre le recueil et le retrait emporte plusieurs conséquences pratiques. Si le consentement a été donné par un clic sur une case dans un formulaire en ligne, son retrait doit pouvoir s'effectuer par un mécanisme aussi simple : lien de désinscription dans chaque courriel marketing, bouton « me désabonner » accessible en un clic depuis le compte utilisateur, options de gestion des cookies accessibles en permanence sur le site. Un parcours de retrait qui imposerait davantage d'efforts (formulaire à remplir, identification renforcée, traitement par courrier postal) caractérise un manquement à l'article 7.

Le retrait n'a pas d'effet rétroactif : les traitements opérés avant le retrait restent licites, mais le responsable de traitement doit cesser le traitement à compter de la réception du retrait (sauf à pouvoir invoquer une autre base légale qui justifierait la poursuite du traitement, par exemple une obligation légale de conservation).

Spécificité juridique sur le consentement aux cookies

L'article 82 de la loi Informatique et Libertés du 6 janvier 1978 impose le recueil du consentement préalable de l'utilisateur avant tout dépôt ou lecture d'informations sur son terminal, à l'exception des cookies strictement nécessaires à la fourniture du service expressément demandé. La CNIL a précisé les modalités de ce recueil dans la délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices, complétée par la délibération n° 2020-092 portant recommandation pratique :

« Le consentement prévu à l'article 82 de la loi du 6 janvier 1978 modifiée doit se manifester par un acte positif clair par lequel l'utilisateur exprime de manière libre, spécifique, éclairée et univoque son accord pour que des données à caractère personnel le concernant fassent l'objet d'un traitement. La simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valable du consentement. »

La CNIL exige plusieurs garanties pratiques : présence d'un bouton « Refuser » aussi visible et accessible que le bouton « Accepter » dès le premier niveau d'information ; absence de cookies déposés tant que le consentement n'a pas été recueilli, à l'exception des traceurs strictement nécessaires ; conservation de la preuve du consentement et des paramètres choisis ; possibilité de retirer le consentement aussi simplement qu'il a été donné. Plusieurs sanctions de la CNIL prononcées en 2021 et 2022 contre des opérateurs majeurs du numérique ont confirmé la rigueur de cette doctrine.

L'ordonnance du Conseil d'État du 26 juin 2020 (n° 441065) sur les caméras thermiques déployées dans les écoles pendant la crise sanitaire constitue une illustration jurisprudentielle structurante. Le Conseil d'État a sanctionné le dispositif au motif qu'il opérait un traitement de données de santé sans consentement explicite des personnes concernées et sans base légale adéquate, en violation des articles 6, 7 et 9 du RGPD. Cette décision a posé un précédent pour les dispositifs technologiques déployés en urgence sans formalisation préalable du consentement, et reste fréquemment citée dans les contentieux ultérieurs.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de consentement

  • l'audit de vos mécanismes de recueil du consentement (formulaires, bandeaux cookies, parcours d'inscription) au regard des quatre conditions de validité posées par le RGPD ;
  • la conception de bandeaux cookies conformes à la délibération CNIL n° 2020-091 et au principe de symétrie accepter/refuser ;
  • la rédaction des mentions d'information préalables au recueil du consentement ;
  • la mise en place des mécanismes de retrait simples et accessibles, conformes à l'article 7 paragraphe 3 du RGPD ;
  • la documentation et la conservation de la preuve du consentement à des fins probatoires ;
  • la qualification des bases légales appropriées lorsque le consentement n'est pas adapté au traitement envisagé (intérêt légitime, exécution contractuelle, obligation légale) ;
  • la défense face aux contrôles et aux procédures de sanction de la CNIL portant sur la régularité du recueil du consentement.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.11, art. 6, art. 7, art. 9, art. 22, art. 49, considérants 32 et 43, Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 art. 82, EDPB Lignes directrices 05/2020 (révision 1.1), CNIL délibérations n° 2020-091 et n° 2020-092 du 17 septembre 2020, jurisprudence CJUE 1er octobre 2019 (Planet49 C-673/17), Conseil d'État ordonnance du 26 juin 2020 (n° 441065) sur les caméras thermiques. Fiche mise à jour le 4 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.