Article 7 – Conditions applicables au consentement

Article 7 - Conditions applicables au consentement

1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.

En savoir plus...

L'article 7 régit les « conditions du consentement ». Il précise la définition du consentement énoncée à l'article 4, paragraphe 11 du RGPD et, en intégrant l'article 6, paragraphe 1, point a), du RGPD, contribue à définir les exigences juridiques auxquelles un consentement valide doit répondre. Cette disposition impose également au responsable du traitement la charge particulière de la preuve d'un consentement valable.
Plus précisément, le paragraphe 1 précise le principe de responsabilité énoncé à l'article 5, paragraphe 2 du RGPD, le paragraphe 2 spécifie d'autres exigences dans le cadre du principe général de transparence énoncé à l'article 5, paragraphe 1, point a), le paragraphe 3 détermine le droit de retirer son consentement et le paragraphe 4 précise quand le consentement est « donné librement ».

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Conditions du consentement (libre, éclairé, univoque, spécifique)]
32. Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.

[Consentement à de la recherche scientifique]
33. Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.

[Consentement: critères de validité et preuve]
42. Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

[Critères de liberté du consentement]
43. Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

Droit souple

Lignes directrices et recommandations
> CEPD - Lignes directrices 05/2020 - Le consentement
04 mai 2020

Documents anciens
> WP29 - Lignes directrices - Le consentement
WP259, 29 novembre 2017, modifiées le 10 avril 2018

Références

En savoir plus...



Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - Applications mobiles
21 juillet 2023
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020

Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019

Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Actualités

Profitez de nos actualités en lien avec cet article !

AEPD (autorité espagnole)
27 janvier 2025

Diffusion de contenus pornographiques: l’autorité sanctionne une société qui estimait qu’une cession de droits d’image valait consentement au traitement

L’autorité espagnole a aujourd’hui publié la condamnation de la société Kenai Media pour avoir diffusé illégalement un contenu pornographique sur une plateforme en ligne, où était reconnaissable la plaignante, sans son consentement. Celle-c [...]

Datatilsynet (autorité danoise)
26 janvier 2025

Berlingske se conforme à l’injonction de l’Autorité danoise de protection des données dans l’affaire du cookie wall sur berlingske.dk

Le 14 février 2024, l’Autorité danoise de protection des données a rendu une décision concernant l’utilisation d’un cookie wall par Berlingske sur berlingske.dk. L’autorité a constaté que la méthode de Berlingske, selon laquelle les utilisateurs d [...]

PIPC (autorité coréenne)
23 janvier 2025

Procès de Google et Meta concernant la collecte et l’utilisation d’informations comportementales sans consentement : victoire de la PIPC

Dans un communiqué de presse publié ce jour, la PIPC a annoncé que le tribunal administratif de Séoul a rejeté la demande d’annulation d’une amende de 1000 milliards de wons (soit environ 670 millions d’euros au total) déposée par Google et Meta. La PIPC a [...]

PIPC (autorité coréenne)
12 décembre 2024

Vente directe d’assurances automobiles : 12 sociétés d’assurance dommages sanctionnées pour violation de la loi sur la protection des données personnelles, pour un total de 9,277 milliards de wons

L’autorité coréenne a, ce 12 décembre 2024, annoncé que les résultats de son enquête menée depuis aout 2023 à la suite de plainte ont conduit à l’imposition d’une amende de 9,277 milliards de wons [...]

CNIL
12 décembre 2024

Bannières cookies trompeuses : la CNIL met en demeure des éditeurs de sites web

En réaction à plusieurs plaintes d’internautes, la CNIL a annoncé aujourd’hui avoir mis en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses. Lorsqu’elle reçoit une plainte en la matière, la CNIL analyse au cas par cas les bandeaux de recueil du consentement au regard de la loi Informat [...]

NOYB – None of your business
12 décembre 2024

BeReal : L’application qui n’accepte pas de réponse négative 

Aujourd’hui, noyb a déposé une plainte auprès de la CNIL contre la plateforme de médias sociaux BeReal en raison du dernier « dark pattern » visant à obtenir le consentement des utilisateurs. Lorsque les utilisateurs ouvrent l’application, ils sont confrontés à une fenêtre contextuelle leur demandant de dire « oui » ou « non » à l&rsqu [...]

GPDP (autorite italienne)
03 décembre 2024

Télémarketing : le garant de la vie privée sanctionne la chaîne TV « Sky Italia » à une amende de 842 000 euros

Dans sa newsletter du 3 décembre, l’autorité italienne a évoqué avoir sanctionné Sky Italia srl  (en septembre) pour de nombreuses violations constatées lors d’activités de télémarketing et d’envoi de communications commerciales. L’Autorité, qui est intervenue à la suite de 275 plaintes [...]

APD (autorité belge)
28 novembre 2024

Carte d’identité comme carte de fidélité : l’APD ordonne à Freedelity de se conformer au RGPD

L’autorité belge (APD) a annoncé aujourd’hui avoir décidé d’imposer une série de mesures correctrices à Freedelity.  Cette entreprise collecte, soit directement, soit via des enseignes partenaires, des informations concernant des consommateurs fournies entre autres à travers la lecture électronique de leur carte d’i [...]

UODO (autorité polonaise)
15 novembre 2024

Le « Conseil d’Etat » polonais confirme l’amende prononcée contre une société qui conditionnait le retrait du consentement à la justification dudit retrait

La société ClickOuickNow devra payer une amende imposée par le président de l’UODO : c’est ce qu’a aujourd’hui publié l’autorité dans un communiqué. La Cour administrative suprême (ASN) a rejeté son pourvoi en cassation contr [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu
Retour en haut