Guides & Ressources pratiques
Investissement dans les PME et défiscalisation : comprendre le dispositif IR-PME en 2026
Article 7 RGPD : conditions de validité du consentement et obligations pratiques
Points clés de l'article
- L'article 7 du RGPD fixe les conditions dans lesquelles le consentement constitue une base légale valide pour traiter des données personnelles.
- Le consentement doit remplir 4 critères cumulatifs : libre, spécifique, éclairé et univoque.
- La charge de la preuve du consentement repose intégralement sur le responsable de traitement.
- La personne concernée peut retirer son consentement à tout moment, aussi facilement qu'elle l'a donné.
- La CNIL sanctionne les manquements à l'article 7 par des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Article 7 RGPD : définition et portée juridique
Les quatre conditions de validité du consentement (libre, spécifique, éclairé, univoque)
L'obligation de preuve du consentement pour le responsable de traitement
Le droit au retrait : modalités et conséquences pratiques
Consentement et contrat : la question du déséquilibre
Cas spécifiques : mineurs, données sensibles et cookies
Sanctions CNIL en cas de manquement à l'article 7
FAQ : questions fréquentes sur l'article 7 du RGPD
Article 7 RGPD : définition et portée juridique
L'article 7 du RGPD (Règlement général sur la protection des données, UE 2016/679) encadre les conditions dans lesquelles le consentement peut servir de base légale à un traitement de données personnelles. Il ne définit pas le consentement lui-même — c'est l'article 4, paragraphe 11, qui s'en charge — mais il en fixe les conditions opérationnelles de validité.
Concrètement, l'article 7 s'applique chaque fois qu'une entreprise choisit le consentement comme fondement juridique d'un traitement, parmi les 6 bases légales prévues par l'article 6. Il impose au responsable de traitement 3 obligations distinctes : démontrer que le consentement a été recueilli, garantir sa liberté effective, et permettre son retrait à tout moment.
Sa portée dépasse le seul cadre du RGPD. En France, la CNIL (Commission nationale de l'informatique et des libertés) a précisé ses modalités d'application à travers plusieurs délibérations, notamment ses lignes directrices du 17 septembre 2020 sur les cookies et traceurs. L'article 7 constitue ainsi le socle juridique que toute direction juridique doit maîtriser pour auditer la conformité des dispositifs de collecte de consentement déployés par l'entreprise.
Les quatre conditions de validité du consentement (libre, spécifique, éclairé, univoque)
Le considérant 32 du RGPD et l'article 4 précisent que le consentement valide repose sur 4 critères cumulatifs. L'absence d'un seul suffit à invalider l'ensemble du traitement fondé sur cette base légale.
| Critère | Exigence concrète | Exemple de non-conformité |
|---|---|---|
| Libre | Aucune contrainte ni conséquence négative en cas de refus | Conditionner l'accès à un service au consentement pour du profiling publicitaire |
| Spécifique | Un consentement distinct par finalité de traitement | Une case unique couvrant à la fois la newsletter et le partage avec des partenaires |
| Éclairé | Information claire sur l'identité du responsable, les finalités et les droits | Politique de confidentialité rédigée en jargon juridique de 40 pages |
| Univoque | Acte positif et explicite (case à cocher, clic, déclaration orale enregistrée) | Case pré-cochée ou silence valant acceptation |
Le caractère libre du consentement pose des difficultés récurrentes dans les relations employeur-salarié. Le CEPD (Comité européen de la protection des données) considère que le lien de subordination crée une présomption de déséquilibre, ce qui rend le consentement rarement valide en contexte de travail. La direction juridique doit alors privilégier une autre base légale, comme l'intérêt légitime ou l'exécution du contrat.
Vérifier la conformité de vos dispositifs de consentement suppose une analyse juridique adaptée à chaque traitement.
Consultez un avocat spécialisé en protection des données
L'obligation de preuve du consentement pour le responsable de traitement
L'article 7, paragraphe 1, dispose que « lorsque le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement ». La charge de la preuve est donc inversée : ce n'est pas à la personne de prouver qu'elle n'a pas consenti, mais à l'entreprise de prouver qu'elle a bien recueilli un consentement conforme.
En pratique, cette obligation impose de conserver un registre des consentements contenant au minimum :
- L'identité de la personne concernée (ou un identifiant technique)
- La date et l'heure du recueil
- La version exacte du formulaire ou de la banner de consentement affichée
- La finalité précise pour laquelle le consentement a été donné
- Le moyen par lequel le consentement a été exprimé (clic, case cochée, signature)
La CNIL a sanctionné à plusieurs reprises des entreprises incapables de produire ces éléments lors d'un contrôle. En décembre 2022, elle a infligé une amende de 60 millions d'euros à Microsoft Ireland Operations pour des cookies publicitaires déposés sans preuve de consentement valide sur le moteur de recherche Bing.
Pour les directions juridiques, la recommandation opérationnelle est claire : chaque outil de collecte (CMP, formulaire web, application mobile) doit être configuré pour horodater et archiver chaque consentement de manière granulaire.
Le droit au retrait : modalités et conséquences pratiques
L'article 7, paragraphe 3, garantit à toute personne le droit de retirer son consentement à tout moment. Le RGPD ajoute une exigence de symétrie : le retrait doit être « aussi aisé » que le recueil initial.
Cette exigence a des conséquences directes sur la conception des interfaces. Si le consentement a été recueilli en un clic, le retrait ne peut pas exiger l'envoi d'un courrier recommandé ou la navigation dans 5 sous-menus. La CNIL a rappelé ce principe dans sa mise en demeure de janvier 2021 adressée à plusieurs éditeurs de sites dont les plateformes de gestion de consentement (CMP) rendaient le refus plus complexe que l'acceptation.
Sur le plan juridique, le retrait du consentement n'a pas d'effet rétroactif. Les traitements réalisés avant le retrait restent licites. En revanche, le responsable de traitement doit cesser tout traitement fondé sur ce consentement dès réception de la demande, et supprimer ou anonymiser les données concernées dans un délai raisonnable.
Structurer un mécanisme de retrait conforme nécessite une coordination entre équipes juridiques et techniques.
Faites-vous accompagner par un avocat en protection des données
Consentement et contrat : la question du déséquilibre
L'article 7, paragraphe 4, introduit une règle souvent sous-estimée : pour apprécier le caractère libre du consentement, il faut vérifier si l'exécution d'un contrat est subordonnée au consentement pour un traitement qui n'est pas nécessaire à ce contrat.
En clair, une entreprise ne peut pas refuser de fournir un service au motif que l'utilisateur refuse de consentir à un traitement accessoire. Par exemple, un site e-commerce ne peut pas conditionner la livraison d'une commande à l'acceptation de recevoir des offres commerciales de partenaires tiers. Le consentement ainsi obtenu serait considéré comme non libre et donc invalide.
Cette disposition protège contre le bundling, c'est-à-dire le regroupement de plusieurs finalités dans un même consentement lié à un contrat. Le CEPD, dans ses lignes directrices 05/2020, a précisé que la granularité des consentements doit refléter la réalité des finalités distinctes.
Pour les directions juridiques, cela implique de cartographier chaque traitement adossé à un parcours contractuel et de vérifier que seuls les traitements strictement nécessaires à l'exécution du contrat sont fondés sur la base légale contractuelle (article 6.1.b), tandis que les traitements accessoires reposent sur un consentement séparé.
Cas spécifiques : mineurs, données sensibles et cookies
Certaines catégories de données ou de personnes concernées imposent des exigences renforcées en matière de consentement.
Mineurs
L'article 8 du RGPD, complémentaire à l'article 7, fixe à 16 ans l'âge à partir duquel un mineur peut consentir seul à un traitement lié aux services de la société de l'information. En France, la loi Informatique et Libertés a abaissé ce seuil à 15 ans (article 45). En dessous de cet âge, le consentement du titulaire de l'autorité parentale est requis, et l'entreprise doit mettre en place un mécanisme de vérification raisonnable.
Données sensibles
Pour les données dites sensibles (origine ethnique, opinions politiques, données de santé, orientation sexuelle…), l'article 9 exige un consentement explicite, c'est-à-dire un niveau de formalisme supérieur au consentement univoque de l'article 7. Une case cochée peut ne pas suffire : une déclaration écrite ou une signature électronique est souvent nécessaire.
Cookies et traceurs
En France, la directive ePrivacy, transposée à l'article 82 de la loi Informatique et Libertés, impose un consentement préalable au dépôt de cookies non essentiels. La CNIL a sanctionné Google (150 millions d'euros) et Facebook (60 millions d'euros) en janvier 2022 pour des mécanismes de refus de cookies insuffisamment accessibles. Ces sanctions illustrent l'articulation entre l'article 7 du RGPD et le droit national.
L'accompagnement d'un avocat spécialisé permet d'adapter vos dispositifs de consentement aux exigences propres à chaque catégorie de données.
Trouvez un avocat en protection des données sur Swim Legal
Sanctions CNIL en cas de manquement à l'article 7
Le non-respect des conditions de l'article 7 expose le responsable de traitement à des sanctions administratives prévues par l'article 83 du RGPD. Le plafond applicable est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé, le montant le plus élevé étant retenu.
En France, la CNIL a prononcé plusieurs sanctions significatives fondées sur des manquements au consentement :
| Entreprise | Montant | Année | Motif principal |
|---|---|---|---|
| Google LLC | 150 M€ | 2022 | Mécanisme de refus des cookies non équivalent à l'acceptation |
| Facebook Ireland | 60 M€ | 2022 | Même motif |
| Microsoft Ireland | 60 M€ | 2022 | Dépôt de cookies publicitaires sans consentement valide |
| Criteo | 40 M€ | 2023 | Absence de preuve de consentement pour le ciblage publicitaire |
Au-delà des amendes, la CNIL peut ordonner la suppression des données collectées sans consentement valide, ce qui représente un risque opérationnel considérable pour les entreprises dont les bases de données marketing reposent sur cette base légale.
La direction juridique doit intégrer ces risques dans sa cartographie de conformité et prévoir des audits réguliers des mécanismes de recueil, en coordination avec la DSI et le DPO (Data Protection Officer).
FAQ : questions fréquentes sur l'article 7 du RGPD
Une case pré-cochée constitue-t-elle un consentement valide au sens de l'article 7 ?
Non. La Cour de justice de l'Union européenne a tranché cette question dans l'arrêt Planet49 (C-673/17, 1er octobre 2019). Une case pré-cochée ne constitue pas un acte positif clair et ne remplit donc pas le critère d'univocité. Le consentement doit résulter d'une action délibérée de l'utilisateur.
Le consentement recueilli avant le 25 mai 2018 reste-t-il valide sous le RGPD ?
Il reste valide uniquement s'il remplissait déjà les 4 conditions de l'article 7 au moment de son recueil. Dans le cas contraire, l'entreprise doit recueillir un nouveau consentement conforme. La CNIL recommande de procéder à un audit systématique des consentements antérieurs.
Combien de temps un consentement reste-t-il valide ?
Le RGPD ne fixe pas de durée maximale. Toutefois, la CNIL recommande de renouveler le consentement pour les cookies tous les 13 mois. Pour les autres traitements, la durée doit être proportionnée à la finalité. Un consentement recueilli il y a 5 ans pour une newsletter jamais ouverte peut être considéré comme obsolète.
Le consentement est-il toujours la base légale la plus appropriée ?
Non. Le RGPD prévoit 6 bases légales (article 6). Le consentement est parfois inadapté, notamment dans les relations employeur-salarié ou lorsque le traitement est nécessaire à l'exécution d'un contrat. La direction juridique doit analyser chaque traitement pour identifier la base légale la plus pertinente.
Que faire si un sous-traitant recueille le consentement pour le compte du responsable de traitement ?
Le responsable de traitement reste juridiquement responsable de la validité du consentement, même si la collecte est déléguée à un sous-traitant. Le contrat de sous-traitance (article 28 du RGPD) doit préciser les modalités de recueil, de conservation et de transmission des preuves de consentement.
Pour aller plus loin
Conditions applicables au consentement - Article 7 RGPD - CNIL
Lignes directrices 5/2020 sur le consentement au sens du RGPD - CEPD/CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
