RGPD10 min de lectureMis à jour mars 2026

Gestion du consentement RGPD : obtenir la permission correctement

Le consentement sous le RGPD implique bien plus qu'une simple case à cocher. Un consentement valide nécessite une action claire et affirmative et doit être libre, spécifique, éclairé et univoque. Les problèmes liés au consentement restent parmi les domaines les plus courants de mise en application du RGPD.

Alban Veauté

•

Security Engineer

Alban is a security engineer at Bastion with deep expertise in information security, SOC 2, and ISO 27001. He also specializes in data protection and privacy compliance, including GDPR requirements, and helps companies build robust security programs.

SOC 2ISO 27001GDPRCyber Essentials

Points clés

Point	Résumé
Consentement valide nécessite	Libre, spécifique, éclairé, univoque et facile à retirer
Pas de cases pré-cochées	Le consentement doit être un opt-in actif, pas supposé du silence
Consentements séparés	Différentes finalités nécessitent des consentements séparés ; pas de regroupement
Tout enregistrer	Conserver la preuve de ce qui a été consenti, quand et comment
Retrait facile	Doit être aussi facile de retirer le consentement que de le donner
Consentement des enfants	Consentement parental requis pour les services en ligne en dessous du seuil d'âge (13-16 selon le pays)

Réponse rapide : Le consentement RGPD doit être un opt-in clair (pas de cases pré-cochées), séparé pour chaque finalité, et facile à retirer. Enregistrez quand et comment le consentement a été donné. Envisagez d'utiliser d'autres bases légales (Contrat, Intérêts légitimes) pour les services essentiels.

Qu'est-ce qui rend un consentement valide ?

Le RGPD fixe un niveau élevé pour un consentement valide :

Libre :

Pas de coercition ou de pression
Véritable choix de refuser
Service non conditionné au consentement
Pas de préjudice en cas de refus

Spécifique :

Consentement séparé pour différentes finalités
Options granulaires
Clair sur chaque activité de traitement
Pas de consentement groupé

Éclairé :

Explication claire du traitement
Identité du responsable
Finalités du traitement
Droits de retrait
Langage simple

Univoque :

Action affirmative claire
Pas de cases pré-cochées
Pas de consentement déduit de l'inaction
Opt-in explicite requis

Quand utiliser le consentement

Bons cas d'usage pour le consentement

Cas d'usage	Pourquoi le consentement fonctionne
Emails marketing	L'utilisateur choisit vraiment de recevoir
Cookies non essentiels	L'utilisateur contrôle ses préférences de tracking
Partage avec des tiers	L'utilisateur décide qui obtient ses données
Données de catégories particulières	Souvent légalement requis
Finalités nouvelles/incompatibles	Extension au-delà du périmètre initial
Participation à la recherche	Participation volontaire

Quand NE PAS utiliser le consentement

Situation	Meilleure alternative
Fourniture de service	Contrat
Traitement des paiements	Contrat
Exigences légales	Obligation légale
Prévention de la fraude	Intérêts légitimes
Sécurité du compte	Intérêts légitimes
Analytics de base	Intérêts légitimes

Pourquoi éviter le consentement quand c'est possible ?

Le consentement peut être retiré à tout moment
S'il est retiré, vous devez arrêter le traitement sans délai excessif
Le contrat ou les intérêts légitimes offrent plus de stabilité

Obtenir un consentement valide

Bonnes pratiques pour les formulaires de consentement

À faire :

Utiliser un langage clair et simple
Expliquer exactement ce que vous ferez des données
Fournir des cases à cocher séparées pour différentes finalités
Rendre la demande de consentement visible
Lier à votre politique de confidentialité complète
Rendre facile le retrait du consentement plus tard

À ne pas faire :

Utiliser des cases pré-cochées
Grouper le consentement avec l'acceptation des CGU
Utiliser des doubles négations confuses
Enterrer le consentement dans un texte long
Faire du consentement une condition du service (sauf si vraiment nécessaire)
Utiliser des dark patterns

Exemples de formulaires de consentement

Mauvais exemple :

Text

1☑ J'accepte les conditions générales et la politique de confidentialité
2  et consens à recevoir des communications marketing

Problèmes : Pré-coché, consentement groupé, vague

Bon exemple :

Text

1☐ Je souhaite recevoir des mises à jour produit et conseils par email
2
3☐ Je souhaite recevoir des offres spéciales et promotions
4
5☐ Je consens à recevoir des recommandations personnalisées
6  basées sur mon utilisation du service
7
8Vous pouvez retirer ces consentements à tout moment dans les
9paramètres de votre compte ou en contactant privacy@company.com

Types de consentement

Consentement standard

Pour la plupart des activités de traitement :

Exigence	Consentement standard
Forme	Toute action affirmative claire
Documentation	Enregistrement de quand et comment obtenu
Retrait	Doit être aussi facile que de donner
Spécificité	Par finalité

Consentement explicite

Requis pour les données de catégories particulières et certaines décisions automatisées :

Exigence	Consentement explicite
Forme	Déclaration séparée et expresse
Documentation	Enregistrement détaillé requis
Retrait	Sans délai excessif
Spécificité	Très granulaire

Les données de catégories particulières incluent :

Origine raciale ou ethnique
Opinions politiques
Croyances religieuses
Appartenance syndicale
Données génétiques ou biométriques
Données de santé
Vie sexuelle ou orientation sexuelle

Double opt-in

Bien que non légalement requis par le RGPD, le double opt-in est une bonne pratique pour l'email marketing :

Étape 1 : Inscription initiale

L'utilisateur entre son email
Coche la case de consentement
Soumet le formulaire

Étape 2 : Email de confirmation

Envoyer un email de vérification immédiatement
Inclure un lien de confirmation
Expliquer ce qu'ils confirment

Étape 3 : Confirmation

L'utilisateur clique sur le lien de confirmation
Enregistrer le consentement confirmé
Commencer à envoyer les communications

Avantages :

Prouve une adresse email valide
Confirme un consentement intentionnel
Réduit les plaintes pour spam
Meilleurs taux d'engagement
Preuve de consentement plus solide

Enregistrement du consentement

Vous devez être en mesure de démontrer que le consentement a été valablement obtenu.

Que enregistrer

Élément	Détails à stocker
Qui	Identifiant utilisateur
Quand	Horodatage du consentement
Quoi	Texte exact de la demande de consentement
Comment	Méthode (formulaire web, verbal, etc.)
Version	Version du formulaire/texte de consentement
Contexte	Quelles informations ont été fournies

Exemple d'enregistrement de consentement

JSON

1{
2  "user_id": "usr_abc123",
3  "consent_id": "con_xyz789",
4  "timestamp": "2024-03-15T14:30:00Z",
5  "consent_type": "marketing_email",
6  "consent_text": "Je souhaite recevoir des mises à jour produit et offres promotionnelles par email",
7  "method": "web_form",
8  "form_version": "v2.3",
9  "ip_address": "192.168.x.x",
10  "privacy_policy_version": "2024-03-01",
11  "status": "active"
12}

Gérer le retrait du consentement

Exigences de retrait

Exigence	Mise en œuvre
Facile à retirer	Aussi facile que de le donner
Accessible	Instructions claires, plusieurs canaux
Rapide	Traiter sans délai excessif
Gratuit	Pas de frais pour retirer
Complet	Arrêter tout traitement basé sur ce consentement

Canaux de retrait

Paramètres du compte (self-service)
Liens de désinscription dans les emails
Page de paramètres de confidentialité
Formulaire de contact
Email au contact privacy
Support client

Gestion du retrait

Demande de retrait reçue :

Vérifier l'identité de l'utilisateur
Identifier le traitement affecté
Confirmer le périmètre du retrait

Traitement :

Mettre à jour l'enregistrement de consentement
Arrêter le traitement affecté
Supprimer des listes de diffusion
Notifier les systèmes concernés

Confirmation :

Accuser réception du retrait
Expliquer ce qui va/ne va pas changer
Noter toute donnée conservée (avec la raison)

Consentement pour différents canaux

Email marketing

Exigence	Mise en œuvre
Opt-in	Case à cocher à l'inscription
Information	Quels emails, fréquence
Opt-out	Lien de désinscription dans chaque email
Enregistrement	Stocker l'horodatage et la version du consentement

Cookies et tracking

Type de cookie	Consentement requis
Strictement nécessaires	Non
Performance/Analytics	Oui
Fonctionnalité	Oui
Ciblage/Publicité	Oui

Marketing téléphonique

Exigence	Mise en œuvre
Consentement	Consentement spécifique pour le contact téléphonique
Enregistrement	Enregistrer le consentement verbal si obtenu par téléphone
Opt-out	Moyen facile d'arrêter les appels

Consentement des enfants

L'article 8 du RGPD établit des règles spéciales pour le consentement des enfants lors de l'offre de services de la société de l'information (services en ligne) directement aux enfants.

Seuils d'âge

Pays	Âge minimum pour l'auto-consentement
Royaume-Uni	13
Espagne	14
France	15
Allemagne	16
Pays-Bas	16
Irlande	16
Par défaut (majorité UE)	16

Le RGPD fixe un âge par défaut de 16 ans, mais permet aux États membres de l'abaisser à un minimum de 13 ans. En dessous du seuil d'âge applicable, le consentement parental ou du tuteur est requis.

Exigences pour les données des enfants

Exigence	Mise en œuvre
Vérification de l'âge	Mesures raisonnables pour vérifier l'âge de l'utilisateur
Consentement parental	Requis en dessous du seuil d'âge
Vérification du consentement parental	Efforts raisonnables pour vérifier que le consentement est donné par le titulaire de la responsabilité parentale
Langage clair	Les informations de confidentialité doivent être dans un langage compréhensible par les enfants

Mise en œuvre pratique

Vérification de l'âge :

Demander la date de naissance lors de l'inscription
Utiliser une barrière d'âge avant de collecter des données personnelles
Envisager une vérification d'âge tierce pour les services à haut risque

Obtention du consentement parental :

Demander l'email du parent/tuteur pour vérification
Envoyer un lien de vérification au parent/tuteur
Envisager une vérification vidéo pour les services sensibles
Documenter la méthode de vérification utilisée

Ce qui constitue des "services de la société de l'information" :

Plateformes de réseaux sociaux
Jeux en ligne
Services de streaming
Sites e-commerce
Applications et plateformes éducatives
Tout service en ligne offert directement aux enfants

Enregistrement du consentement des enfants

En plus des enregistrements de consentement standard, documentez :

Méthode de vérification de l'âge utilisée
Méthode de vérification du consentement parental
Identifiant du parent/tuteur
Horodatage de la vérification

Erreurs courantes de consentement

Erreur 1 : Consentement groupé

Faux :
"En créant un compte, vous acceptez nos conditions, notre politique de confidentialité et de recevoir des emails marketing."

Correct :
Consentement séparé pour le marketing, acceptation séparée des conditions.

Erreur 2 : Cases pré-cochées

Faux :
☑ M'envoyer des emails promotionnels (pré-sélectionné)

Correct :
☐ M'envoyer des emails promotionnels (l'utilisateur doit cocher activement)

Erreur 3 : Murs de consentement

Faux :
"Acceptez tous les cookies pour accéder à ce site"

Correct :
Cookies essentiels uniquement par défaut, avec option d'accepter les autres.

Erreur 4 : Retrait difficile

Faux :
Doit appeler le service client pour se désabonner.

Correct :
Lien de désinscription en un clic dans chaque email.

Erreur 5 : Consentement supposé

Faux :
"En continuant à utiliser notre service, vous consentez à..."

Correct :
Consentement actif et explicite avant que le traitement ne commence.

Renouvellement du consentement

Envisagez de renouveler le consentement quand :

Vos pratiques de confidentialité changent significativement
Vous voulez utiliser les données pour de nouvelles finalités
Un temps raisonnable s'est écoulé
Vous n'êtes pas sûr de la validité du consentement original

Campagne de re-consentement

Email 1 : Demande initiale

Expliquer pourquoi vous contactez
Décrire le traitement actuel
Bouton clair "Oui, gardez-moi abonné"
Option d'opt-out facile

Email 2 : Rappel (si pas de réponse)

Rappel doux
Mettre en avant la valeur de rester abonné
Message de dernière chance

Après la campagne :

Retirer les non-répondants du marketing
Mettre à jour les enregistrements de consentement
Documenter le processus de re-consentement

Comment Bastion peut vous aider

La gestion du consentement nécessite des systèmes robustes, une mise en œuvre soigneuse et une attention continue aux évolutions réglementaires. Travailler avec des partenaires expérimentés aide à s'assurer que vos mécanismes de consentement répondent aux standards RGPD dès le départ.

Défi	Comment nous aidons
Collecte du consentement	Templates de formulaires conformes et conseils de mise en œuvre
Tenue des registres	Logging du consentement et documentation rationalisés
Traitement des retraits	Workflows efficaces pour gérer les demandes d'opt-out
Piste d'audit	Historique complet du consentement pour la responsabilité
Consentement cookies	Conseils d'intégration pour les plateformes de consentement cookies

Bien faire les mécanismes de consentement dès le début aide à éviter le besoin de campagnes de re-consentement quand des problèmes sont découverts, un processus qui entraîne généralement une perte significative d'abonnés.

Vous cherchez de l'aide pour mettre en œuvre une gestion du consentement conforme ? Parlons-en →

← PrécédentDroits des personnes concernées : ce que les utilisateurs peuvent demander sous le RGPD Suivant →Politiques de confidentialité RGPD : ce que vous devez divulguer

Retour aux guides RGPD

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company