Article 7 – Conditions applicables au consentement

Article 7 - Conditions applicables au consentement

1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.

En savoir plus...

L'article 7 régit les « conditions du consentement ». Il précise la définition du consentement énoncée à l'article 4, paragraphe 11 du RGPD et, en intégrant l'article 6, paragraphe 1, point a), du RGPD, contribue à définir les exigences juridiques auxquelles un consentement valide doit répondre. Cette disposition impose également au responsable du traitement la charge particulière de la preuve d'un consentement valable.
Plus précisément, le paragraphe 1 précise le principe de responsabilité énoncé à l'article 5, paragraphe 2 du RGPD, le paragraphe 2 spécifie d'autres exigences dans le cadre du principe général de transparence énoncé à l'article 5, paragraphe 1, point a), le paragraphe 3 détermine le droit de retirer son consentement et le paragraphe 4 précise quand le consentement est « donné librement ».

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Conditions du consentement (libre, éclairé, univoque, spécifique)]
32. Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.

[Consentement à de la recherche scientifique]
33. Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.

[Consentement: critères de validité et preuve]
42. Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

[Critères de liberté du consentement]
43. Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 05/2020 - Le consentement

04 mai 2020

Documents anciens

> WP29 - Lignes directrices - Le consentement

WP259, 29 novembre 2017, modifiées le 10 avril 2018

Références

Cet article est cité par...

> Article 83 - Conditions générales pour imposer des amendes administratives

Autres textes liés

> Article 4 - Définitions

> Article 6 - Licéité du traitement

> Article 8 - Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Article(s) LIL	Lien
SAN-2023-009	Criteo	15/06/2023	2023	France	CNIL ou équivalent	Preuve	Marketing et prospection	Responsabilité conjointe - Collecte du consentement pour le compte de sociétés partenaires - Obligation du responsable de traitement ne collectant pas le consentement d’être en mesure de démontrer que la personne concernée a donné son consentement	60. Précisément, elle remarque, en l’occurrence, que la société s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie. - 61. La formation restreinte estime cependant que le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement.	4, 7	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7		Cliquer pour accéder à la décision
SAN-2022-021	EDF	24/11/2022	2022	France	CNIL ou équivalent	Preuve	Marketing et prospection	Prospection commerciale - Collecte indirecte des données des prospects - 1) Modalités et preuve du recueil du consentement - 2) Information des personnes	22. En premier lieu, la formation restreinte rappelle que, lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection. Au regard des dispositions de l’article 7, paragraphe 1, du RGPD, le prospecteur doit alors être en mesure de prouver qu’il dispose de ce consentement.	6, 7	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7		Cliquer pour accéder à la décision
C-61/19	Orange Romania	11/11/2022	2022	Roumanie	Cour de Justice de l'UE	Liberté, Eclairé	Technologie	Circonstances dans lesquelles le consentement n’est pas libre et éclairé - 1) Case pré-cochée par le responsable de traitement - 2) Information susceptible d’induire la personne concernée en erreur - 3) Exigence d’un formulaire faisant état du refus	Un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement, au sens de ces dispositions, à cette collecte et à cette conservation, lorsque - la case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat, ou lorsque - les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données, ou lorsque - le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus.	6, 7	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7		Cliquer pour accéder à la décision
MED-2021-131	Société X	01/12/2021	2021	France	CNIL ou équivalent	Spécificité	Marketing et prospection	Consentement pour la revente de données - Consentement distinct de celui donné pour l’utilisation des données à des fins de prospection commerciale par voie électronique - Obligation	Le consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l’article L. 34-5 du code des postes et des communications électroniques, pour l’utilisation de leurs données à des fins de prospection commerciale par voie électronique.	6, 7	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7		Non publié. Source: CNIL, Tables Informatique et Libertés
MED-2021-131	Société X	01/12/2021	2021	France	CNIL ou équivalent	Spécificité	Marketing et prospection	Prospection commerciale - Transmission de données à des tiers - Consentement global aux conditions générales contractuelles régissant un service et à l’ensemble des finalités d’un traitement - Exclusion	Dans le contexte d’une transmission de données à des partenaires afin qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement spécifique implique que la personne soit en mesure de marquer son assentiment particulier à la transmission de ses données à des tiers, qui l’utiliseront pour de la prospection commerciale. L’exigence de spécificité du consentement exclut l’obtention d’un consentement global donné à la fois aux conditions générales contractuelles régissant un service et pour l’ensemble des finalités d’un traitement.	6, 7	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7		Non publié. Source: CNIL, Tables Informatique et Libertés
MED-2021-131	Société X	01/12/2021	2021	France	CNIL ou équivalent	Eclairé	Marketing et prospection	Prospection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - Obligation	Dans le contexte d’une transmission de données à des partenaires en vue qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement éclairé requiert en particulier d’informer les personnes concernées de l’étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d’activité des partenaires rendus destinataires des données avant toute transmission, sont de nature à éclairer les personnes concernées quant à l’utilisation ultérieure qui sera faite de leurs données.	6, 7, 12, 13	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7		Non publié. Source: CNIL, Tables Informatique et Libertés
432656	La Quadrature du Net	04/11/2020	2020	France	Conseil d'Etat	Liberté	Technologie	Système d’identification électronique - Reconnaissance faciale - Conditions de liberté du consentement - Recours au traitement exigé par sa finalité et absence de préjudice en cas de refus de consentement	8. D'une part, il ne ressort pas des pièces du dossier que, pour la création d'identifiants électroniques, il existait à la date du décret attaqué d'autres moyens d'authentifier l'identité de l'usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale. Il s'ensuit que le recours au traitement de données biométriques autorisé par le décret attaqué doit être regardé comme exigé par la finalité de ce traitement. - 9. [...] Dès lors que les usagers qui ne consentiraient pas au traitement prévu dans le cadre de la création d'un compte Alicem peuvent accéder en ligne, grâce à un identifiant unique, à l'ensemble des téléservices proposés, ils ne sauraient être regardés comme subissant un préjudice au sens du règlement général sur la protection des données précité. Il s'ensuit que l'association requérante n'est pas fondée à soutenir que le consentement des utilisateurs de l'application Alicem ne serait pas librement recueilli ni, par suite, que le décret attaqué méconnaîtrait pour ce motif les dispositions du règlement général sur la protection des données et de la loi du 6 janvier 1978.	6, 7, 9	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7		Cliquer pour accéder à la décision
434684	Association des agences-conseils en communication et autres	19/06/2020	2020	France	Conseil d'Etat	Liberté	Cookies et autres traceurs, Technologie	Cookie wall - Exclusion de facto de la possibilité de recueillir le consentement - Rejet	10. D’autre part, la CNIL affirme, à ce même article 2, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d’un consentement libre, posé par le règlement du 27 avril 2016, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, édicté sur le fondement du 2° du I de l’article 8 de la loi du 6 janvier 1978 cité au point 3. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité.	6, 7	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7	82	Cliquer pour accéder à la décision
430810	Google LLC	19/06/2020	2020	France	Conseil d'Etat	Univocité, Spécificité	Technologie	Consentement au moyen d'une case cochée par défaut et/ou dans le cadre de l'acceptation globale de conditions générales - Absence de validité - Exigence d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement	21. [...] Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement. En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD. Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.	6, 7	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7		Cliquer pour accéder à la décision
C-673/17	Planet49	01/10/2019	2019	Allemagne	Cour de Justice de l'UE	Liberté	Technologie	Consentement à l'utilisation de cookies au moyen d’une case pré-cochée par défaut - Exclusion	54. En particulier, l’article 7, sous a), de la directive 95/46 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est « indubitablement » donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence. - 55. À cet égard, il apparaît pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite. [...] 59. En l’occurrence, contrairement à ce qu’a fait valoir Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies.	6, 7	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7		Cliquer pour accéder à la décision
397073	Avis sur le projet de décret "ALICEM"	02/04/2019	2019	France	Conseil d'Etat	Consentement		Consentement au traitement de données biométriques - Condition de liberté - Possibilité de refuser ou de retirer le consentement sans préjudice	Le Conseil d’État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres dispositifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications électroniques à tout moment. Les données biométriques sont elles-mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé.	6, 7, 9	5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7		Non publié en intégralité.
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

GPDP (autorite italienne)

03 décembre 2024

Télémarketing : le garant de la vie privée sanctionne la chaîne TV « Sky Italia » à une amende de 842 000 euros Dans sa newsletter du 3 décembre, l’autorité italienne a évoqué avoir sanctionné Sky Italia srl (en septembre) pour de nombreuses violations constatées lors d’activités de télémarketing et d’envoi de communications commerciales. L’Autorité, qui est […]

Disponible sur: veille.portail-rgpd.com

APD (autorité belge)

28 novembre 2024

Carte d’identité comme carte de fidélité : l’APD ordonne à Freedelity de se conformer au RGPD L’autorité belge (APD) a annoncé aujourd’hui avoir décidé d’imposer une série de mesures correctrices à Freedelity. Cette entreprise collecte, soit directement, soit via des enseignes partenaires, des informations concernant des consommateurs fournies entre autres à travers la lecture électronique […]

Disponible sur: veille.portail-rgpd.com

UODO (autorité polonaise)

15 novembre 2024

Le « Conseil d’Etat » polonais confirme l’amende prononcée contre une société qui conditionnait le retrait du consentement à la justification dudit retrait La société ClickOuickNow devra payer une amende imposée par le président de l’UODO : c’est ce qu’a aujourd’hui publié l’autorité dans un communiqué. La Cour administrative suprême (ASN) a rejeté son pourvoi en cassation […]

Disponible sur: veille.portail-rgpd.com