Article
En savoir plus...
Jurisprudence
Actualités
Article 7 - Conditions applicables au consentement
1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.
3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.
4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.
En savoir plus...
L'article 7 régit les conditions de validité du consentement dans le cadre du traitement des données personnelles. Le consentement doit être formulé de manière claire, distincte et compréhensible, surtout lorsqu’il est intégré à d’autres déclarations. Il peut être retiré à tout moment aussi facilement qu’il a été donné, sans remettre en cause la légalité des traitements passés. Pour qu’un consentement soit réellement libre, il est précisé qu'il ne doit pas être imposé comme condition à un contrat ou à un service lorsque ce n’est pas strictement nécessaire. Enfin, l'article impose que le responsable du traitement puisse prouver que la personne concernée a bien donné son accord.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Conditions du consentement (libre, éclairé, univoque, spécifique)]
32. Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.
[Consentement à de la recherche scientifique]
33. Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.
[Consentement: critères de validité et preuve]
42. Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.
[Critères de liberté du consentement]
43. Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.
32. Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.
[Consentement à de la recherche scientifique]
33. Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.
[Consentement: critères de validité et preuve]
42. Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.
[Critères de liberté du consentement]
43. Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.
Droit souple
Lignes directrices et recommandations
> CNIL – Recommandations – Consentement multi-terminaux
24 avril 2025, Projet
> EDPB – Lignes directrices 5/2020 – Le consentement (v1.1)
4 mai 2020
Documents anciens
> WP29 – Lignes directrices WP259 – Le consentement (rev.01)
10 avril 2018, Document ancien
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article est cité par...
> Article 83 - Conditions générales pour imposer des amendes administratives
Autres textes liés
> Article 4 - Définitions
> Article 6 - Licéité du traitement
> Article 8 - Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL – Recommandations – Applications mobiles
8 avril 2025
> CNIL РRecommandations РUtilisation des donn̩es de localisation des v̩hicules connect̩s
25 mars 2025 (Projet, Ouvert à consultation publique)
> EDPB – Lignes directrices 2/2023 – Champ d’application technique de l’article 5,3 de la directive ePrivacy (2002/58/CE)
7 octobre 2024 (v2.0)
> CNIL РRecommandations РR̩utilisateurs de donn̩es publi̩es sur Internet
12 juin 2024
> CNIL РRecommandations РDispositifs de vid̩osurveillance au sein des chambres des Ehpads
29 février 2024
> CNIL – Recommandations – Utilisation des interfaces de programmation applicatives (API)
7 juillet 2023
> CNIL РRecommandations РT̩l̩surveillance pour les examens en ligne
8 juin 2023
> EDPB – Lignes directrices 02/2021 – Assistants vocaux virtuels
7 juillet 2021 (v2.0)
> EDPB РLignes directrices 8/2020 РLe ciblage des utilisateurs de m̩dias sociaux
13 avril 2021 (v2.0)
> EDPB – Lignes directrices 01/2020 – Véhicules connectés et applications liées à la mobilité
9 mars 2021 (v2.0)
> EDPB – Lignes directrices 6/2020 – L’interaction entre la deuxième directive sur les services de paiement et le RGPD
15 décembre 2020 (v2.0)
> CNIL – Lignes directrices – Cookies et autres traceurs
17 septembre 2020
> CNIL – Recommandations – Cookies et autres traceurs
17 septembre 2020
> EDPB – Lignes directrices 3/2019 – Le traitement des données à caractère personnel par des dispositifs vidéo
29 janvier 2020 (v2.0)
Référentiels
> CNIL – Référentiel – Mise en oeuvre d’un dispositif d’alerte professionnelle
6 juillet 2023
> CNIL РR̩f̩rentiel РGestion des officines de pharmacie
18 juillet 2022
> CNIL РR̩f̩rentiel РGestion des activit̩s commerciales
3 février 2022
> CNIL РR̩f̩rentiel РGestion des impay̩s dans une transaction commerciale
3 février 2022
> CNIL – Référentiel – Protection de l’enfance et des jeunes majeurs de moins de 21 ans
20 janvier 2022
> CNIL РR̩f̩rentiel РGestion locative
6 mai 2021
> CNIL РR̩f̩rentiel РAccueil, h̩bergement et accompagnement social et m̩dico-social des personnes ̢g̩es, des personnes en situation de handicap et de celles en difficult̩
11 mars 2021
> CNIL РR̩f̩rentiel РGestion du personnel
21 novembre 2019
Guides pratiques
> CNIL РGuide pratique РEquipe de d̩veloppement
13 décembre 2021 ((sur le github de la CNIL))
> CNIL РGuide pratique РSensibilisation pour les collectivit̩s territoriales
18 septembre 2019
> CNIL – Guide pratique – L’Ordre des médecins
1 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| SAN-2023-009 | Criteo | 15/06/2023 | Responsabilité conjointe - Collecte du consentement pour le compte de sociétés partenaires - Obligation du responsable de traitement ne collectant pas le consentement d’être en mesure de démontrer que la personne concernée a donné son consentement | Lien | Consentement, Preuve, Responsable de traitement, Responsabilité conjointe | Marketing et prospection | CNIL ou équivalent | 2023 |
| SAN-2022-021 | EDF | 24/11/2022 | Prospection commerciale - Collecte indirecte des données des prospects - 1) Modalités et preuve du recueil du consentement - 2) Information des personnes | Lien | Bases légales, Consentement, Preuve | Marketing et prospection | CNIL ou équivalent | 2022 |
| C-61/19 | Orange Romania | 11/11/2022 | Circonstances dans lesquelles le consentement n’est pas libre et éclairé - 1) Case pré-cochée par le responsable de traitement - 2) Information susceptible d’induire la personne concernée en erreur - 3) Exigence d’un formulaire faisant état du refus | Lien | Bases légales, Consentement, Liberté, Eclairé | Technologie | Cour de Justice de l'UE | 2022 |
| MED-2021-131 | Société X | 01/12/2021 | Consentement pour la revente de données - Consentement distinct de celui donné pour l’utilisation des données à des fins de prospection commerciale par voie électronique - Obligation | Lien | Bases légales, Consentement, Spécificité | Marketing et prospection | CNIL ou équivalent | 2021 |
| MED-2021-131 | Société X | 01/12/2021 | Prospection commerciale - Transmission de données à des tiers - Consentement global aux conditions générales contractuelles régissant un service et à l’ensemble des finalités d’un traitement - Exclusion | Lien | Bases légales, Consentement, Spécificité | Marketing et prospection | CNIL ou équivalent | 2021 |
| MED-2021-131 | Société X | 01/12/2021 | Prospection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - Obligation | Lien | Transparence et information, Bases légales, Consentement, Eclairé | Marketing et prospection | CNIL ou équivalent | 2021 |
| 432656 | La Quadrature du Net | 04/11/2020 | Système d’identification électronique - Reconnaissance faciale - Conditions de liberté du consentement - Recours au traitement exigé par sa finalité et absence de préjudice en cas de refus de consentement | Lien | Bases légales, Consentement, Liberté | Technologie | Conseil d'Etat | 2020 |
| 434684 | Association des agences-conseils en communication et autres | 19/06/2020 | Cookie wall - Exclusion de facto de la possibilité de recueillir le consentement - Rejet | Lien | Bases légales, Consentement, Liberté | Technologie | Conseil d'Etat | 2020 |
| 430810 | Google LLC | 19/06/2020 | Consentement au moyen d'une case cochée par défaut et/ou dans le cadre de l'acceptation globale de conditions générales - Absence de validité - Exigence d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement | Lien | Bases légales, Consentement, Univocité, Spécificité | Technologie | Conseil d'Etat | 2020 |
| C-673/17 | Planet49 | 01/10/2019 | Consentement à l'utilisation de cookies au moyen d’une case pré-cochée par défaut - Exclusion | Lien | Bases légales, Consentement, Liberté | Marketing et prospection, Technologie | Cour de Justice de l'UE | 2019 |
| C-673/17 | Planet49 | 01/10/2019 | Application des règles en matière de cookies et autres traceurs - Niveau du consentement requis - Incidence de la présence de données à caractère personnel - Absence | Lien | Bases légales, Consentement | Marketing et prospection, Technologie | Cour de Justice de l'UE | 2019 |
| Avis 397073 | Projet de décret "ALICEM" | 02/04/2019 | Consentement au traitement de données biométriques - Condition de liberté - Possibilité de refuser ou de retirer le consentement sans préjudice | Lien | Bases légales, Consentement, Biométrie, Liberté | Conseil d'Etat | 2019 |
Actualités
Profitez de nos actualités en lien avec cet article !
Chargement des actualités...
<< Retourner au menu