En bref
- Le consentement RGPD est l’une des bases légales permettant de traiter des données personnelles, encadrée par l’article 7 du règlement.
- Pour être valide, un consentement doit être libre, spécifique, éclairé et univoque, donné par un acte positif clair.
- Les cases pré-cochées, l’inactivité ou la simple poursuite de la navigation ne constituent pas un consentement valide.
- Le retrait du consentement doit être aussi simple que son obtention, à tout moment et sans conséquence négative.
- Les cookies et traceurs non essentiels ne peuvent être déposés qu’après avoir recueilli le consentement de l’utilisateur.
- Vous devez conserver une preuve de chaque consentement recueilli afin de démontrer votre conformité en cas de contrôle.
- Une plateforme de gestion du consentement (CMP) automatise le recueil, la documentation et le renouvellement des consentements.
Qu’est-ce que le consentement RGPD ?
Le consentement RGPD est l’accord libre et éclairé par lequel une personne autorise le traitement de ses données personnelles pour une ou plusieurs finalités précises. Il est défini à l’article 4 du règlement et encadré par l’article 7, qui fixe les conditions de sa validité.
Concrètement, cela signifie que l’utilisateur doit comprendre à quoi il consent, pouvoir choisir librement, et exprimer son accord par une action claire. Un consentement obtenu par défaut, dissimulé dans des conditions générales ou arraché par des formulations trompeuses ne remplit pas ces conditions.
Le consentement n’est que l’une des six bases légales prévues par le RGPD. Selon le traitement, une autre base (comme l’exécution d’un contrat ou l’intérêt légitime) peut s’appliquer. Mais pour les cookies et traceurs non essentiels, le consentement est la règle.
Les 5 critères d’un consentement valide
Le RGPD ne se contente pas d’exiger un consentement : il exige un consentement de qualité. Cinq critères doivent être réunis.
Libre
L’utilisateur doit pouvoir accepter ou refuser sans subir de conséquence négative. L’accès au service ne peut pas être conditionné à un consentement qui n’est pas nécessaire à ce service.
Spécifique
Le consentement est donné pour une finalité déterminée. Un consentement global couvrant plusieurs traitements distincts n’est pas valide ; chaque finalité doit pouvoir être acceptée séparément.
Éclairé
Avant de consentir, l’utilisateur doit savoir qui traite ses données, pour quelles finalités, et qu’il peut retirer son accord à tout moment.
Univoque
Le consentement résulte d’un acte positif clair. Le silence, l’inactivité ou des cases pré-cochées ne suffisent pas.
Documenté
Vous devez être en mesure de démontrer que l’utilisateur a consenti. Sans preuve, le consentement est considéré comme non obtenu.
Le critère « libre » est celui que les autorités examinent le plus attentivement. Un bandeau qui rend le bouton « Tout accepter » bien plus visible ou plus facile à cliquer que le bouton « Refuser » peut être considéré comme non conforme.
Consentement implicite vs. consentement explicite
La distinction est source de confusion fréquente. Le consentement implicite — déduit d’un comportement, comme continuer à naviguer sur un site — n’est pas reconnu par le RGPD. La poursuite de la navigation, le défilement de la page ou l’absence de réaction ne valent pas consentement.
Le RGPD exige au minimum un consentement univoque, donné par un acte positif clair (cliquer sur « Accepter », cocher une case volontairement). Pour certaines catégories de données dites sensibles (santé, opinions politiques, données biométriques, etc.), le règlement va plus loin et impose un consentement explicite, exprimé par une déclaration expresse et distincte.
En pratique, pour un site web classique, cela veut dire : pas de dépôt de traceurs non essentiels avant une action positive de l’utilisateur, et un choix aussi facile à refuser qu’à accepter.
Cookies et consentement : comment ça marche ?
Les cookies et technologies de suivi non essentiels — mesure d’audience, publicité ciblée, réseaux sociaux — ne peuvent être déposés qu’après avoir obtenu le consentement de l’utilisateur. Seuls les cookies strictement nécessaires au fonctionnement du site (panier, session, sécurité) en sont dispensés.
Le mécanisme conforme repose sur trois principes :
- Blocage préalable : les traceurs non essentiels sont bloqués tant que l’utilisateur n’a pas donné son accord.
- Choix granulaire : l’utilisateur peut accepter certaines finalités et en refuser d’autres, catégorie par catégorie.
- Symétrie des choix : accepter et refuser doivent être également accessibles, dès le premier niveau du bandeau.
En France, c’est la CNIL qui contrôle le respect de ces règles. Ses lignes directrices sur les cookies précisent notamment que refuser doit être aussi simple qu’accepter, et l’autorité a sanctionné à plusieurs reprises des sites dont les bandeaux ne respectaient pas cette exigence, avec des amendes se chiffrant en dizaines de millions d’euros pour les manquements les plus importants.
Comment stocker et documenter les consentements
L’article 7 du RGPD impose au responsable du traitement de pouvoir démontrer que l’utilisateur a consenti. Cette obligation de preuve est souvent négligée, mais elle est essentielle : en cas de contrôle, un consentement que vous ne pouvez pas prouver équivaut à une absence de consentement.
Une piste d’audit conforme conserve, pour chaque consentement, des éléments tels que :
- l’identifiant de l’utilisateur ou de la session ;
- la date et l’heure du consentement ;
- les finalités acceptées et refusées ;
- la version du bandeau et du texte d’information affichés au moment du choix ;
- la preuve du mécanisme de recueil utilisé.
Ces registres doivent être conservés de manière sécurisée et pouvoir être produits sur demande. Le consentement n’est par ailleurs pas acquis indéfiniment : il doit être renouvelé périodiquement et à chaque évolution significative des finalités ou des traceurs.
Le retrait du consentement s’articule avec d’autres droits des utilisateurs, notamment le droit à l’oubli : lorsqu’une personne retire son consentement, elle peut aussi demander l’effacement des données déjà collectées. La CNIL recommande par ailleurs de renouveler la demande de consentement au minimum tous les six mois après un refus.
Les erreurs courantes à éviter
Même de bonne foi, de nombreux sites commettent des erreurs qui invalident le consentement recueilli. Les plus fréquentes :
Les cases pré-cochées
Elles ne traduisent aucun acte positif et sont expressément interdites.
Le dépôt de traceurs avant consentement
Déposer des cookies non essentiels dès l’arrivée sur le site, avant tout choix, est un manquement fréquent.
Les bandeaux déséquilibrés
Mettre en avant « Tout accepter » tout en dissimulant l’option de refus.
L'absence de retrait facile
Ne pas offrir de moyen simple de modifier ou retirer son consentement après coup.
Le consentement forcé (cookie wall)
Conditionner l’accès au site à l’acceptation, en dehors des cas strictement encadrés.
L'absence de preuve
Recueillir un consentement sans le documenter, et donc sans pouvoir le prouver.
Pour une vérification complète de votre conformité, consultez notre checklist RGPD, qui reprend point par point les obligations à couvrir.
Comment Usercentrics CMP vous aide
Recueillir, documenter et renouveler manuellement des consentements conformes est difficile à l’échelle d’un site réel. Une plateforme de gestion du consentement (CMP) automatise l’ensemble du processus.
Usercentrics CMP analyse votre site pour détecter les cookies et traceurs, les bloque avant consentement, affiche un bandeau clair et granulaire conforme au RGPD et aux lignes directrices de la CNIL, puis conserve une piste d’audit complète de chaque consentement recueilli. Le renouvellement périodique est géré automatiquement, ce qui vous permet de rester conforme dans la durée sans intervention manuelle.
