📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 7 du RGPD : Conditions applicables au consentement

Sommaire

Introduction

L’article 7 du Règlement Général sur la Protection des Données (RGPD) est un pivot fondamental pour la validité du consentement au traitement des données personnelles. Il fixe les conditions strictes selon lesquelles le consentement doit être obtenu, démontré, et respecté par les responsables de traitement, tout en assurant aux personnes concernées des droits clairs, notamment celui de retirer leur consentement à tout moment sans porter atteinte à la licéité des traitements antérieurs.

Schéma article 7 du RGPD : sur le consentement

Explication de l’article 

L’article 7 du RGPD définit les règles que les entreprises et organisations doivent suivre pour obtenir et gérer le consentement des personnes avant de collecter ou traiter leurs données personnelles. Ce consentement est essentiel pour protéger la vie privée et garantir que chacun garde le contrôle sur ses informations.

Les exigences principales de l’article 7 

  • Le consentement doit être libre : la personne doit donner son accord sans subir de pression ou d’obligation. Elle ne doit pas être forcée à accepter pour pouvoir accéder à un service, sauf si le traitement est nécessaire au service.
  • Le consentement doit être spécifique : il doit être demandé pour chaque usage précis des données. Par exemple, une entreprise ne peut pas utiliser le même accord pour envoyer des emails marketing et pour un recrutement, elle doit demander séparément ces deux consentements. 
  • Le consentement doit être éclairé : avant de donner son accord, la personne doit recevoir des informations claires et compréhensibles. Elle doit savoir quelles données seront collectées, à quelles fins elles seront utilisées, et quels sont ses droits (accès, rectification, suppression). 
  • Le consentement doit être univoque : la personne doit manifester clairement son accord. Par exemple en cliquant sur une case à cocher sans ambiguïté ou en cliquant sur un bouton affirmatif. Le consentement ne peut pas être présumé, ni être un silence ou une inaction. 
  • La preuve de consentement est obligatoire : l’organisation doit pouvoir démontrer que la personne à bien donné son consentement valablement. Cela peut être fait via un enregistrement, une preuve écrite ou un autre moyen permettant d’identifier l’acte de consentement et son contenu. 
  • Le consentement peut être retiré à tout moment : la personne a le droit de revenir sur son accord aussi facilement qu’elle l’a donné. L’organisation doit informer clairement ce droit avant même de recueillir le consentement. Le retrait du consentement n’affecte pas la légalité des traitements effectués avant le retrait. Autrement dit, les données déjà traitées restent valides, mais à partir du moment du retrait, le traitement ne doit plus poursuivre cette base. 
  • Le  consentement doit être distinct des autres clauses : si le consentement est demandé dans un document qui traite d’autres sujets, la demande de consentement doit alors être séparée, bien visible, claire et rédigée dans des termes simples et accessibles.

L’objectif est de garantir que la personne comprend parfaitement ce à quoi elle consent, sans aucune pression ni ambiguïté, et qu’elle puisse garder le contrôle sur ses données tout au long du traitement.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD 

  1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
  2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.
  3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.
  4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 7 

Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:

a) la personne concernée a indubitablement donné son consentement

ou

b) il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci

ou

c) il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis

ou

d) il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée

ou

e) il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

ou

f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 7 

Modifié par LOI n°2018-493 du 20 juin 2018 – art. 19

Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée, dans les conditions mentionnées au 11) de l’article 4 et à l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ou satisfaire à l’une des conditions suivantes :

1° Le respect d’une obligation légale incombant au responsable du traitement ;

2° La sauvegarde de la vie de la personne concernée ;

3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;

4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Analyse des 3 textes qui précèdent 

Le RGPD définit le consentement à l’article 4, 11) comme toute manifestation de volonté, libre, spécifique, informée et non ambiguë par laquelle une personne accepte, par une déclaration ou un acte positif clair, que ses données personnelles soient traitées. Cette définition précise que le consentement ne peut être tacite ni présumé par silence, et doit se traduire par un acte positif univoque. L’article 7 du RGPD encadre ces règles en précisant que la charge de la preuve du consentement revient au responsable du traitement. Le consentement doit être clairement distingué des autres clauses dans les documents écrits et formulé dans un langage clair. Il doit pouvoir être retiré facilement à tout moment, sans remettre en cause la licéité des traitements précédents. Enfin, l’appréciation de la liberté du consentement prend en compte si le consentement est demandé pour un traitement non nécessaire à l’exécution d’un contrat.

La Directive 95/46/CE avait déjà posé les principes d’un consentement libre, spécifique et informé. La directive exigeait que le consentement soit donné de manière « indubitable », une notion légèrement différente mais proche du caractère non ambigu du RGPD. La directive était moins précise sur la preuve du consentement et la distinction avec d’autres clauses contractuelles.

La loi Informatique et Libertés a longtemps encadré les traitements fondés sur le consentement, sans toutefois donner une définition claire de ce consentement. Elle imposait un consentement exprès dans certains cas, notamment pour les données sensibles, mais ne demandait pas explicitement la preuve du consentement valide. Le RGPD renforce donc les exigences par rapport à cette loi, en particulier en matière de preuve et de retrait.

En pratique, ces évolutions imposent aux responsables du traitement de repenser leurs processus de recueil de consentement. Il faut être capable de prouver le consentement via un archivage et garantir que le consentement lié à la vie privée est distinct du consentement contractuel. La notion d’« acte positif univoque » élimine toute possibilité de consentement implicite ou par silence.

Jurisprudences 

Européennes 

C-673/17 (1er octobre 2019) – Planet49

La Cour de Justice Européenne a précisé que le consentement n’est pas valable s’il est obtenu via une case cochée par défaut que l’utilisateur doit décocher pour refuser (principe du « opt-in » actif). Le consentement doit être un acte positif clair et volontaire.
 La Cour rappelle aussi l’importance d’informer l’utilisateur, notamment sur la durée de vie des cookies et l’accès des tiers à ces derniers. Cet arrêt confirme que les consentements passifs ou par défaut ne respectent pas les exigences strictes du RGPD et de la directive vie privée et communications électroniques.

Autres aspects jurisprudentiels

  • Le consentement doit porter sur chaque finalité du traitement et toute nouvelle finalité nécessite un nouveau consentement. 
  • La CNIL a rappelé que le consentement doit être aussi facile à retirer qu’à donner et l’utilisateur doit avoir une information claire sur qui collecte ses données et pour quelles finalités. 
  • Les cookies publicitaires ne peuvent être déposés sans consentement valide, ce qui a été confirmé dans plusieurs procédures sanctionnées par la CNIL. 

C-708/18 (11 décembre 2019) – Asociaţia de Proprietari bloc M5A-ScaraA

La CJUE rappelle que les articles 6, paragraphe 1, sous c) et 7 sous f) de la directive 95/46 CE, lus avec les articles 7 et 8 de la Charte des droits fondamentaux de l’Union Européenne, n’interdisent pas aux États membres d’autoriser la vidéosurveillance dans des lieux communs dans un immeuble même sans consentement des personnes concernées. 

Cette surveillance doit toutefois répondre aux conditions posées par l’article 7 sous f), c’est à dire que le traitement des données doit être nécessaire à la réalisation d’un intérêt légitime (ici la sécurité des personnes et des biens). Il appartient à la juridiction nationale de vérifier si les conditions sont bien remplies, notamment si l’intérêt légitime ne porte pas atteinte aux droits fondamentaux des personnes filmées. 

Cette décision permet donc la mise en place d’un système de vidéosurveillance dans certains cas, en l’absence de consentement, sous réserve d’un strict respect du cadre légal. 

Françaises 

CE Fr., n°434684 (19 juin 2020)

Le 19 juin 2020, le Conseil d’État a confirmé que pour que le consentement à l’utilisation des cookies soit valable, l’utilisateur doit être clairement informé de l’identité des responsables du traitement et des destinataires de ses données. Il a rappelé que le consentement doit porter sur chaque finalité distincte du traitement et que tout nouveau but nécessite un consentement séparé. En l’absence d’un acte clair exprimant ce consentement, celui-ci est considéré comme refusé. La CNIL est chargée de faire respecter ces règles. Le Conseil d’État a toutefois annulé l’interdiction générale des « cookies walls » (blocage de l’accès en cas de refus), estimant que cette interdiction ne pouvait pas figurer dans les lignes directrices de la CNIL, qui ne sont pas des actes normatifs. Cette décision souligne l’importance d’un consentement libre, éclairé et spécifique, tout en précisant les limites des instruments de régulation.

CE Fr., n°449209 (28 janvier 2022)

Cette décision concernait le dépôt automatique de cookies sans consentement clair. Le Conseil a jugé que toute collecte d’information sur un terminal utilisateur doit s’accompagner d’une information claire et du recueil préalable d’un consentement conforme aux règles, ce qui inclut la possibilité d’opposition.

Recommandations 

CEPD 

Lignes directrices sur le consentement au sens du règlement (UE) 2016/679 – 5/2020 (4 mai 2020)

Lignes directrices sur le champ d’application technique de l’article 5, paragraphe 3, de la directive vie privée et communications électroniques – 2/2023 (7 octobre 2024)

CNIL

Recommandation relative aux applications mobiles (mars 2025)

Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.