Exigences de consentement RGPD : qu'est-ce qu'un consentement valide (2026)

En vertu de l'article 4, paragraphe 11, du RGPD, un consentement valide doit remplir quatre conditions cumulatives : la personne concernée doit le donner librement, pour une finalité précise, en toute connaissance de cause, et par un acte positif clair. L'article 7 exige ensuite que les responsables du traitement documentent ce consentement, permettent un retrait facile, et évitent de conditionner l'accès à un service à des traitements non essentiels.
Le consentement est l'une des six bases légales du traitement des données à caractère personnel prévues par le RGPD. Lorsqu'une organisation s'appuie sur cette base, les exigences sont strictes. Une politique de confidentialité noyée dans des conditions générales ne suffit pas. Une case précochée ne suffit pas. L'inaction ne suffit pas.
Un consentement mal recueilli peut déclencher des sanctions. Une erreur commise à grande échelle, comme l'ont découvert Google et SHEIN en septembre 2025, peut se traduire par des amendes à neuf chiffres. Ce guide explique ce qu'exige un consentement valide, dans quels cas le consentement est la bonne base légale (et dans quels cas il ne l'est pas), et ce que signifient concrètement les évolutions réglementaires de 2024 à 2026.
Pour une présentation complète du règlement, voir Qu'est-ce que le RGPD. Pour les règles spécifiques aux cookies, voir le guide sur la directive ePrivacy. Pour un programme de mise en conformité étape par étape, voir la liste de contrôle de conformité RGPD.
Cet article a un caractère purement informatif et ne constitue pas un conseil juridique. Consultez un avocat spécialisé en protection des données ou un professionnel de la confidentialité pour obtenir des conseils adaptés à votre situation.
Réponse rapide : qu'est-ce qui rend un consentement valide au regard du RGPD ?
L'article 4, paragraphe 11, du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Ces quatre éléments doivent tous être réunis simultanément. L'absence d'un seul suffit à invalider entièrement le consentement.
- Libre : choix véritable, absence de contrainte, absence de conditionnement à des exigences sans lien avec le traitement
- Spécifique : un consentement distinct pour chaque finalité
- Éclairé : une explication claire, en langage simple, de qui traite les données, quelles données, et pourquoi, avant que la personne ne se décide
- Univoque : un acte positif d'adhésion ; le silence ou l'inaction ne suffisent jamais
L'article 7 ajoute ensuite des conditions sur la manière dont le consentement doit être géré une fois obtenu. Les lignes directrices 05/2020 du CEPD sur le consentement demeurent l'interprétation faisant autorité de ces exigences.
Les quatre éléments en détail
1. Le consentement libre
Le consentement n'est valide que si la personne dispose d'un choix réel et libre et peut refuser sans en subir aucun préjudice.
Déséquilibre de pouvoir. Lorsqu'il existe un déséquilibre significatif entre le responsable du traitement et la personne concernée, le consentement a peu de chances d'être considéré comme libre. L'exemple le plus manifeste est la relation de travail. Les salariés peuvent estimer qu'ils n'ont pas la possibilité concrète de refuser les demandes de traitement de données de leur employeur. Les lignes directrices du CEPD avertissent que, dans la plupart des contextes professionnels, le consentement ne constituera pas une base valide, précisément en raison de cette asymétrie.
Conditionnalité. En vertu de l'article 7, paragraphe 4, les organisations ne peuvent pas conditionner l'accès à un service au consentement à un traitement non essentiel. Un site de commerce en ligne qui exige des clients qu'ils consentent à recevoir des courriels marketing pour pouvoir finaliser un achat rend ce consentement invalide. Le consentement n'est pas libre si le refus bloque l'accès au service.
Granularité. Une case unique du type « j'accepte toutes les utilisations de mes données », couvrant plusieurs finalités sans lien entre elles, ne satisfait pas à l'exigence de spécificité et porte atteinte à la liberté de choix. Les personnes concernées doivent pouvoir accepter certaines finalités et en refuser d'autres, indépendamment les unes des autres.
Absence de préjudice. Le refus ou le retrait du consentement ne doit entraîner aucune pénalité, dégradation du service ou restriction d'accès au-delà de ce qui est strictement nécessaire. Si une plateforme réduit les fonctionnalités offertes aux utilisateurs qui refusent un traitement facultatif, le consentement obtenu auprès de ceux qui acceptent peut être contesté.
2. Le consentement spécifique
Le consentement doit être rattaché à chaque finalité de traitement prise individuellement. Un consentement global couvrant l'ensemble des utilisations présentes et futures des données est invalide.
Les lignes directrices du CEPD exigent une demande de consentement distincte pour chaque opération. Si une organisation collecte des adresses électroniques pour une lettre d'information et souhaite également les transmettre à des annonceurs tiers, elle a besoin de deux demandes de consentement séparées, présentées indépendamment l'une de l'autre, et non empilées sous une seule case à cocher.
Le détournement de finalité est un problème courant. Une organisation qui souhaite ultérieurement utiliser des données à une fin non couverte par le consentement initial ne peut pas simplement s'appuyer sur ce consentement d'origine. Elle doit solliciter un nouveau consentement spécifique à la nouvelle finalité, ou identifier une autre base légale.
3. Le consentement éclairé
Les personnes concernées doivent recevoir suffisamment d'informations pour prendre une décision éclairée avant de consentir. Les orientations de la Commission européenne précisent que les éléments suivants doivent être communiqués au moment de la demande de consentement :
- L'identité du responsable du traitement
- La finalité précise de chaque opération de traitement
- Les types de données collectées et traitées
- Le droit de retirer son consentement à tout moment
- Le recours éventuel à une prise de décision automatisée ou à un profilage
- Les éventuels transferts internationaux de données, le cas échéant
Ces informations doivent être rédigées en langage clair et simple. Les dissimuler derrière un lien vers une longue politique de confidentialité, ou les présenter dans un jargon juridique, ne satisfait pas à l'exigence d'information. Le CEPD a constamment jugé que les avis à plusieurs niveaux (de courts résumés assortis de liens accessibles vers l'information détaillée) sont acceptables, à condition que l'information essentielle soit véritablement accessible et compréhensible avant que l'acte de consentement ne soit posé.
4. Le consentement univoque (acte positif clair)
Le RGPD et son considérant 32 sont explicites : le silence, les cases précochées et l'inaction ne constituent pas un consentement.
Les actes positifs valides comprennent notamment :
- Cocher une case d'adhésion initialement non cochée
- Cliquer sur un bouton « J'accepte » ou « J'y consens » lorsque les informations relatives au traitement sont clairement présentées
- Choisir des paramètres précis dans un tableau de bord de confidentialité
- Signer un formulaire de consentement écrit
- Faire une déclaration orale (bien que sa traçabilité soit difficile)
Faire défiler une page, rester sur un site après l'apparition d'un avis, ou ne pas décocher une case précochée, ne constituent pas des actes positifs. L'arrêt Planet49 (CJUE, affaire C-673/17, octobre 2019) a tranché définitivement cette question : la Cour a jugé qu'une case précochée ne constitue pas un consentement valide, ni au regard de la directive ePrivacy ni au regard du RGPD, car elle ne traduit pas un comportement actif de l'utilisateur.

Les conditions de l'article 7 pour la gestion du consentement
L'article 4, paragraphe 11, définit ce qu'est le consentement. L'article 7 régit la manière dont il doit être géré une fois obtenu.
La preuve du consentement (article 7, paragraphe 1)
Le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti. Il s'agit d'une obligation permanente, et non d'un événement ponctuel. Les orientations de l'ICO sur l'enregistrement du consentement recommandent de consigner :
- Qui a consenti (suffisamment de détails pour identifier la personne)
- Quand elle a consenti (date et heure)
- Ce qui lui a été communiqué à ce moment (l'énoncé ou le formulaire de consentement exact tel que présenté)
- Comment elle a consenti (case à cocher en ligne, déclaration orale, formulaire signé)
- Si le consentement a été retiré depuis, et à quelle date
Conserver un simple indicateur « consentement = vrai » est insuffisant. Si l'énoncé du consentement change ultérieurement, un historique des versions doit être conservé afin que l'organisation puisse prouver exactement à quoi chaque personne a consenti à un moment donné.
Intelligibilité et accessibilité (article 7, paragraphe 2)
Lorsque le consentement est donné dans le cadre d'une déclaration écrite portant également sur d'autres sujets (comme des conditions d'utilisation), la demande de consentement doit être clairement distincte, rédigée en langage simple, et ne pas comporter de formulations inutilement complexes. Toute clause non conforme au RGPD est dépourvue de force obligatoire.
Le droit de retrait (article 7, paragraphe 3)
Deux règles ne souffrent aucune exception.
Le retrait doit être aussi simple que l'octroi du consentement. Si le consentement a été donné en un clic, son retrait doit pouvoir s'effectuer en un clic au maximum. Exiger un appel téléphonique, un courrier, ou la navigation à travers plusieurs menus de paramètres de compte pour retirer un consentement initialement donné en cochant une case constitue une violation. Des décisions de sanction ont expressément retenu ce manquement.
Le droit de retrait doit être communiqué avant que le consentement ne soit obtenu. Informer les personnes de leur droit de retrait seulement après qu'elles ont déjà consenti ne satisfait pas à l'article 7, paragraphe 3.
Le retrait n'a pas d'effet rétroactif. Les traitements effectués pendant la période où le consentement était valide demeurent licites. En revanche, l'organisation doit cesser immédiatement tout traitement fondé sur ce consentement pour l'avenir.
Absence de préjudice (article 7, paragraphe 4)
La règle de conditionnalité est codifiée ici : pour apprécier si le consentement est donné librement, il est tenu le plus grand compte du fait que l'exécution d'un contrat est subordonnée ou non au consentement à un traitement de données qui n'est pas nécessaire à l'exécution de ce contrat.
Le consentement face aux cinq autres bases légales
Le consentement n'est que l'une des six bases légales prévues à l'article 6. De nombreuses organisations recourent par défaut au consentement alors qu'une autre base serait plus simple, plus stable et juridiquement plus solide.
| Base légale | Cas d'application |
|---|---|
| Contrat (art. 6, § 1, b)) | Le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée, ou à l'exécution de mesures précontractuelles prises à sa demande |
| Obligation légale (art. 6, § 1, c)) | Le traitement est requis par le droit de l'Union ou d'un État membre (par exemple, déclarations fiscales, conformité anti-blanchiment) |
| Intérêts vitaux (art. 6, § 1, d)) | Protéger la vie d'une personne lorsqu'elle ne peut pas consentir |
| Mission d'intérêt public (art. 6, § 1, e)) | Exercer l'autorité publique ou accomplir une mission d'intérêt public |
| Intérêt légitime (art. 6, § 1, f)) | Les intérêts du responsable du traitement ou d'un tiers prévalent sur les droits de la personne concernée, à l'issue d'une mise en balance documentée |
| Consentement (art. 6, § 1, a)) | La personne concernée accepte librement le traitement spécifique |
Pourquoi un choix irréfléchi du consentement pose problème. Le consentement génère une charge de gestion permanente : tenue de registres, mise en place de mécanismes de retrait, nouvelle collecte du consentement en cas de changement de finalité, et traitement des demandes de retrait. Lorsqu'une autre base s'applique légitimement, il est presque toujours plus pratique de l'utiliser. Les orientations de l'ICO sur les cas où le consentement est approprié recommandent de ne recourir au consentement que lorsque l'on souhaite réellement donner aux personnes concernées un contrôle continu sur un traitement qui, autrement, ne serait pas requis.
Les organisations ne peuvent pas non plus changer de base légale rétroactivement. Si le consentement est retiré, l'organisation ne peut pas simplement déclarer qu'elle s'appuyait en réalité sur l'intérêt légitime depuis le début, à moins que cette base ne se soit véritablement appliquée dès l'origine et n'ait été documentée comme telle.
Le consentement explicite pour les données sensibles
L'article 9 interdit le traitement des catégories particulières de données (santé, données biométriques, données génétiques, origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, et données relatives à la vie sexuelle ou à l'orientation sexuelle), sauf exception spécifique. L'une de ces exceptions est le « consentement explicite ».
Le consentement explicite constitue une exigence plus stricte que le consentement ordinaire. Il suppose :
- Une déclaration claire et expresse mentionnant spécifiquement la catégorie de données sensibles et la finalité du traitement
- Une confirmation active et univoque ; un consentement implicite ou déduit n'est jamais suffisant pour les données sensibles
- Un consentement distinct de tout consentement général à d'autres traitements
Une formule générique du type « j'accepte que mes données soient traitées » ne satisfait pas à l'exigence de consentement explicite pour les données de santé. Le consentement doit désigner directement le type de données et la finalité concernés.

Le consentement des enfants (article 8)
L'article 8 impose des exigences supplémentaires lorsque des services de la société de l'information (SSI) sont proposés directement à des enfants. Un SSI recouvre les plateformes de réseaux sociaux, les applications, les jeux en ligne, les services de streaming, et la plupart des sites web commerciaux qui collectent des données à caractère personnel.
Les seuils d'âge en Europe
Le RGPD fixe le seuil d'âge par défaut à 16 ans. En deçà de cet âge, le consentement parental est requis. Les États membres peuvent abaisser ce seuil jusqu'à un minimum de 13 ans. Il en résulte une mosaïque de règles :
| Âge | Pays |
|---|---|
| 13 ans | Belgique, République tchèque, Danemark, Estonie, Finlande, Lettonie, Malte, Portugal, Suède |
| 14 ans | Autriche, Bulgarie, Chypre, Italie, Lituanie, Espagne |
| 15 ans | France, Grèce, Slovénie |
| 16 ans | Allemagne, Hongrie, Irlande, Luxembourg, Pays-Bas, Pologne, Roumanie, Slovaquie |
Un service opérant dans plusieurs États membres de l'UE doit appliquer le seuil d'âge propre à chaque pays pour les utilisateurs qui s'y trouvent, et non un seuil unique valable pour l'ensemble de l'Union.
Vérification et garantie de l'âge
L'article 8, paragraphe 2, exige des « efforts raisonnables » pour vérifier que le consentement parental a bien été donné. Ce qui est jugé raisonnable est proportionné aux risques du traitement en cause. La déclaration 1/2025 du CEPD sur la garantie de l'âge aborde le recours croissant à des outils techniques de vérification de l'âge et reconnaît que l'estimation de l'âge, la vérification de l'âge et l'autodéclaration constituent des niveaux de garantie différents, adaptés à des contextes de risque différents.
La garantie de l'âge revêt également une importance croissante au regard du règlement sur les services numériques (Digital Services Act), qui impose des obligations distinctes aux très grandes plateformes en ligne concernant les mineurs. Les lignes directrices 3/2025 du CEPD sur l'interaction entre le DSA et le RGPD traitent de l'articulation entre ces deux régimes.
Services de prévention et de conseil
L'article 8 ne s'applique pas aux services de conseil et de prévention proposés directement aux enfants pour protéger leur bien-être. Ces services peuvent traiter les données des enfants sans consentement parental lorsque l'implication des parents serait contraire à l'intérêt de l'enfant.
Le consentement aux cookies et la directive ePrivacy
Le consentement aux cookies relève actuellement de la directive ePrivacy (directive 2002/58/CE) et non directement du RGPD. Lorsque les cookies impliquent des données à caractère personnel, le RGPD s'applique au traitement ultérieur de ces données, mais l'autorisation de déposer le cookie lui-même relève de la directive ePrivacy. Pour le cadre complet, voir le guide sur la directive ePrivacy.
La règle clé : le consentement est obligatoire pour les cookies non essentiels
L'intérêt légitime ne peut pas servir de base au dépôt de cookies non essentiels. La directive ePrivacy exige un consentement pour le stockage d'informations sur l'appareil d'un utilisateur. Ce consentement doit satisfaire à l'ensemble des exigences du RGPD. Ce principe a été confirmé dans l'arrêt Planet49 (affaire C-673/17) et est repris dans les orientations relatives aux cookies de toutes les grandes autorités de contrôle.
Les cookies soumis au consentement
- Les cookies d'analyse et de mesure d'audience (Google Analytics et outils similaires)
- Les cookies publicitaires et de suivi comportemental
- Les modules de réseaux sociaux et boutons de partage
- Les cookies de personnalisation non strictement nécessaires au service
Les cookies non soumis au consentement
Les cookies strictement nécessaires en sont exemptés. Il s'agit notamment :
- Des cookies de gestion de session (panier d'achat, état de connexion)
- Des cookies de sécurité et de prévention de la fraude
- Des jetons de répartition de charge
- Des cookies de préférences utilisateur pour l'accessibilité ou la langue
Les exigences relatives aux bandeaux cookies
Le rapport du groupe de travail du CEPD sur les bandeaux cookies a recensé les manquements les plus fréquents :
- L'absence d'option « tout refuser » au premier niveau (rendant le refus plus difficile que l'acceptation)
- Des cases précochées pour les cookies facultatifs
- Des interfaces trompeuses (dark patterns) orientant les utilisateurs vers l'acceptation
- L'invocation de l'intérêt légitime comme base pour les cookies publicitaires
- Un retrait du consentement aux cookies plus difficile que son octroi
Les lignes directrices 03/2022 du CEPD sur les interfaces trompeuses traitent en détail de la manipulation des bandeaux et s'appliquent aussi bien aux plateformes de réseaux sociaux qu'aux autres services en ligne.
Le modèle « consentement ou paiement » et l'avis 08/2024 du CEPD
Les grandes plateformes en ligne proposent de plus en plus souvent aux utilisateurs un choix binaire : consentir à la publicité comportementale ou payer un abonnement. En avril 2024, le CEPD a publié l'avis 08/2024, demandé par les autorités de protection des données néerlandaise, norvégienne et de Hambourg.
Conclusion principale. Dans la plupart des cas, une grande plateforme en ligne ne peut pas satisfaire aux exigences d'un consentement valide lorsqu'elle ne propose aux utilisateurs qu'un choix binaire entre consentir au traitement de données à des fins de publicité comportementale ou payer une redevance. L'avis ne déclare pas ces modèles systématiquement illicites, mais il fixe des conditions strictes.
Ce qu'exige l'avis :
- L'option « consentement » doit réellement satisfaire aux quatre conditions du consentement RGPD, y compris son caractère libre.
- L'alternative payante doit constituer un service véritablement équivalent, et non une version dégradée.
- Les plateformes devraient envisager de proposer une troisième option : un accès financé par une publicité contextuelle (non comportementale), qui ne nécessite pas de traitement de données à caractère personnel au-delà de ce qui est strictement nécessaire à l'affichage du contenu.
- Le montant de la redevance ne doit pas être fixé à un niveau tel qu'il contraigne de fait au consentement les utilisateurs qui n'ont pas les moyens de payer.
Le CEPD s'est engagé à élaborer des lignes directrices plus complètes sur les modèles « consentement ou paiement », de portée plus large. Une consultation des parties prenantes s'est tenue en novembre 2024.
Cet avis concerne directement les plateformes de réseaux sociaux, les éditeurs de presse, et tout service ayant mis en place, ou envisageant de mettre en place, une alternative payante à un accès gratuit financé par la publicité.
DMA et RGPD : les obligations des contrôleurs d'accès
Pour les plateformes désignées comme « contrôleurs d'accès » (gatekeepers) en vertu du règlement sur les marchés numériques (Digital Markets Act, DMA), des contraintes supplémentaires s'appliquent. En 2025, le CEPD et la Commission européenne ont conjointement publié des lignes directrices sur l'articulation entre le DMA et le RGPD. Celles-ci précisent la manière dont les contrôleurs d'accès doivent mettre en œuvre l'article 5, paragraphe 2, du DMA (qui exige un choix spécifique et un consentement valide pour combiner des données à caractère personnel entre plusieurs services de plateforme essentiels) tout en respectant également le RGPD. Pour les plateformes qui sont à la fois contrôleurs d'accès au titre du DMA et soumises au RGPD, les deux ensembles d'exigences s'appliquent simultanément.

Les erreurs courantes en matière de consentement
Les décisions de sanction des autorités de contrôle et les constats d'audit du CEPD identifient invariablement les mêmes manquements. Voici les plus courants :
1. Traiter le consentement comme la base par défaut sans examiner les alternatives. De nombreuses organisations habillent en « consentement » des opérations qui pourraient légitimement s'appuyer sur la nécessité contractuelle ou l'intérêt légitime. Cela crée des obligations de retrait inutiles et complique les opérations lorsque les utilisateurs exercent ultérieurement leur droit de retrait.
2. Cases précochées ou absence d'option de refus. C'est toujours le manquement le plus fréquemment relevé en matière de consentement aux cookies. L'option de refus doit être aussi visible et aussi facile d'utilisation que l'option d'acceptation, dès le premier niveau de tout bandeau cookies.
3. Rendre le retrait plus difficile que l'octroi du consentement. Exiger un appel téléphonique, un courrier, ou la navigation dans des paramètres de compte difficiles d'accès pour annuler un consentement donné en cliquant sur un bouton constitue un manquement direct à l'article 7, paragraphe 3.
4. Le consentement groupé. Une case unique couvrant l'abonnement à une lettre d'information, le profilage publicitaire et le partage de données avec des tiers est invalide. Chaque finalité nécessite une case distincte, présentée indépendamment des autres.
5. Absence de suivi des versions des énoncés de consentement. Modifier un formulaire de consentement sans en conserver la version antérieure empêche l'organisation de prouver à quoi une personne ayant consenti avant ce changement a réellement accepté.
6. Classer à tort les cookies d'analyse comme strictement nécessaires. Mesurer la manière dont les utilisateurs naviguent sur un site est utile, mais n'est pas strictement nécessaire à la fourniture du service. Les cookies d'analyse requièrent un consentement.
7. Poursuivre le traitement après un retrait. Les systèmes doivent disposer d'un mécanisme permettant de cesser immédiatement tout traitement fondé sur le consentement dès l'enregistrement d'un retrait. Les retards dans les systèmes en aval alimentés par un CRM constituent une source récurrente de plaintes.
8. Invoquer l'intérêt légitime pour le suivi par cookies. Cette pratique demeure explicitement interdite dans le cadre actuel de la directive ePrivacy. La mentionner dans un avis de consentement aux cookies ne la rend pas licite.
Exemples de sanctions
CNIL contre Google (septembre 2025, 325 millions d'euros)
En septembre 2025, la CNIL française a infligé une amende combinée de 325 millions d'euros à Google LLC (200 millions d'euros) et à Google Ireland Limited (125 millions d'euros). L'enquête, faisant suite à une plainte de NOYB, a mis en évidence deux manquements distincts. D'une part, Gmail affichait des messages promotionnels insérés entre les courriels privés dans la boîte de réception des utilisateurs, sans consentement. D'autre part, lors de la création de compte, l'interface de consentement rendait sensiblement plus difficile le refus des cookies publicitaires que leur acceptation, et n'informait pas les utilisateurs que l'accès aux services du groupe Google dépendait du dépôt de cookies publicitaires. La CNIL a ordonné à Google de cesser d'insérer des publicités dans Gmail sans consentement préalable, dans un délai de six mois.
CNIL contre SHEIN (septembre 2025, 150 millions d'euros)
Dans le cadre de la même vague de sanctions, la CNIL a infligé une amende de 150 millions d'euros à Infinite Styles Services Co. Limited, la filiale irlandaise de SHEIN, pour avoir déposé des cookies publicitaires sur les appareils des utilisateurs avant toute interaction avec le bandeau de consentement, c'est-à-dire avant même que l'utilisateur ait eu la possibilité d'accepter ou de refuser. L'enquête a également révélé que, même lorsque les utilisateurs cliquaient sur « tout refuser », des cookies continuaient à être déposés et les cookies déjà présents continuaient à être lus. Avec environ 12 millions de résidents français visitant le site chaque mois, l'ampleur du manquement explique le montant de la sanction.
La publicité comportementale de Meta (décision contraignante du CEPD, 2023)
En 2023, le CEPD a adopté une décision contraignante d'urgence enjoignant à la Commission irlandaise de protection des données d'ordonner à Meta de cesser tout traitement de données à caractère personnel à des fins de publicité comportementale en l'absence de base légale valide. Cette décision, appliquée dans toute l'UE grâce au mécanisme de guichet unique, a conduit Meta à abandonner ses justifications antérieures fondées sur l'« intérêt légitime » et l'« exécution du contrat » au profit d'un modèle fondé sur le consentement dans l'UE et l'EEE.
Évolutions récentes et à venir (2025-2026)
Novembre 2025 : le paquet Digital Omnibus
Le 19 novembre 2025, la Commission européenne a publié son paquet Digital Omnibus, une vaste initiative de simplification proposant des modifications du RGPD, de la directive ePrivacy, de la directive NIS2 et du règlement sur les données (Data Act).
Les changements proposés les plus significatifs pour le droit du consentement et des cookies sont les suivants :
L'intégration des règles relatives aux cookies dans le RGPD. La proposition retirerait entièrement le traitement des données à caractère personnel du champ d'application de la directive ePrivacy, en regroupant les règles relatives aux cookies impliquant des données personnelles sous le seul RGPD. Le cadre actuel à deux niveaux (la directive ePrivacy pour l'autorisation d'accès à l'appareil, le RGPD pour le traitement ultérieur) serait remplacé par une règle unique et harmonisée.
Des mesures contre la lassitude liée au consentement. Les propositions prévoient une option de refus en un clic partout où le consentement est utilisé comme base légale, une limitation des demandes répétées de consentement pour une même finalité dans les six mois suivant un refus, et une évolution vers des signaux de préférence lisibles par machine, intégrés au navigateur.
Une liste blanche pour l'analyse et la mesure d'audience agrégée. Une liste blanche proposée permettrait à certains traitements présentant un faible risque pour la vie privée, notamment l'analyse de base et la mesure d'audience agrégée, de reposer sur l'intérêt légitime sans bandeau de consentement, sous réserve de garanties incluant la minimisation des données.
Des signaux de consentement intégrés au navigateur. Les propositions envisagent des normes techniques pour des signaux de consentement intégrés aux navigateurs et aux systèmes d'exploitation, rendant inutiles les fenêtres de consentement site par site pour les utilisateurs ayant déjà exprimé leurs préférences. Ces normes n'existent pas encore, et le mécanisme ne deviendrait obligatoire qu'à partir de 2028 environ, au plus tôt.
État d'avancement. Le Digital Omnibus demeure une proposition législative. Il doit encore franchir les négociations en trilogue entre la Commission, le Parlement européen et le Conseil avant de devenir contraignant. Rien dans ce texte ne modifie, à ce jour, les obligations de conformité actuelles.
Résumé du CEPD sur le consentement (avril 2026)
En avril 2026, le CEPD a publié un résumé synthétique sur le consentement destiné à aider les organisations à comprendre quand le consentement est requis, à quoi il doit ressembler et quelles obligations il génère. Ce document complète les lignes directrices 05/2020 dans leur intégralité en offrant une présentation plus accessible, destinée en particulier aux petites et moyennes entreprises.
Autres guides sur le RGPD
- Qu'est-ce que le RGPD pour une présentation complète du règlement
- Liste de contrôle de conformité RGPD pour un guide de mise en conformité étape par étape
- Amendes et sanctions RGPD pour les données relatives aux sanctions et les conséquences du non-respect
- Droits des personnes concernées RGPD pour les huit droits individuels
- Règle des 72 heures pour la notification des violations RGPD pour les obligations de notification des violations
- RGPD pour les petites entreprises pour des orientations spécifiques aux PME
- Loi européenne sur les cookies (directive ePrivacy) pour le cadre complet du consentement aux cookies
- Lois européennes sur la protection des données pour une vue d'ensemble complète de la protection des données dans l'UE
Frequently Asked Questions
Qu'est-ce qu'un consentement valide au regard du RGPD ?
Un consentement RGPD valide doit être libre, spécifique, éclairé et univoque. La personne concernée doit accomplir un acte positif clair : cocher une case initialement non cochée, cliquer sur un bouton de consentement, ou choisir des paramètres précis. Les cases précochées, le silence, l'inaction et le simple défilement de la page sont explicitement exclus. Chaque finalité de traitement nécessite son propre consentement, et la personne concernée doit recevoir une information claire sur qui traite ses données et pourquoi, avant de consentir.
Peut-on utiliser des cases précochées pour le consentement RGPD ?
Non. Le RGPD et son considérant 32 interdisent explicitement les cases précochées comme forme de consentement. Le consentement exige un acte positif clair de la part de la personne concernée. La case doit être initialement décochée, et la personne doit la cocher activement. La CJUE l'a confirmé dans l'arrêt Planet49 (affaire C-673/17, 2019), jugeant que les cases précochées ne constituent pas un consentement valide au regard du droit de l'Union.
Faut-il un consentement pour chaque type de traitement de données ?
Non. Le consentement n'est que l'une des six bases légales prévues à l'article 6. Le consentement peut ne pas être nécessaire si le traitement est requis pour l'exécution d'un contrat, le respect d'une obligation légale, la protection d'intérêts vitaux, l'accomplissement d'une mission d'intérêt public, ou la poursuite d'un intérêt légitime qui ne prévaut pas sur les droits de la personne concernée. S'appuyer sur le consentement alors qu'une autre base s'applique crée une charge de gestion inutile et des risques liés au retrait.
À partir de quel âge un enfant peut-il consentir au regard du RGPD ?
Le RGPD fixe un seuil par défaut de 16 ans pour les services de la société de l'information (applications, réseaux sociaux, plateformes en ligne). Les États membres de l'UE peuvent abaisser ce seuil jusqu'à un minimum de 13 ans. En pratique, l'âge varie : 13 ans en Belgique, au Danemark, en Suède et ailleurs ; 14 ans en Autriche, en Italie, en Espagne et ailleurs ; 15 ans en France et en Grèce ; 16 ans en Allemagne, en Irlande, aux Pays-Bas et ailleurs. Un service opérant à l'échelle européenne doit appliquer l'âge applicable dans chaque pays.
Comment retirer son consentement au regard du RGPD ?
Le consentement peut être retiré à tout moment. Le processus de retrait doit être aussi simple que l'octroi du consentement. Si le consentement a été donné en un clic, le retrait ne doit pas nécessiter plus d'un clic. Le droit de retrait doit être communiqué avant que le consentement ne soit obtenu. Le retrait n'affecte pas la licéité des traitements effectués avant celui-ci, mais l'organisation doit cesser tout traitement fondé sur ce consentement pour l'avenir.
Faut-il un consentement pour les cookies sur mon site web ?
Les cookies non essentiels (analyse, publicité, suivi, réseaux sociaux) requièrent un consentement en vertu de la directive ePrivacy. Ce consentement doit satisfaire aux exigences du RGPD. L'intérêt légitime ne peut pas justifier le dépôt de cookies non essentiels. Les cookies strictement nécessaires (gestion de session, sécurité, répartition de charge) en sont exemptés. Le Digital Omnibus de novembre 2025 propose de simplifier ces règles, mais elles ne sont pas encore entrées en vigueur.
Quelle est la différence entre consentement et consentement explicite ?
Le consentement ordinaire exige un acte positif clair pour le traitement standard de données à caractère personnel. Le consentement explicite constitue une exigence plus stricte, requise pour les données sensibles (santé, données biométriques, données génétiques, origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, vie sexuelle ou orientation sexuelle). Le consentement explicite exige une déclaration écrite claire identifiant expressément la catégorie de données sensibles et la finalité précise du traitement ; un consentement implicite ou général n'est jamais suffisant.
Un modèle « consentement ou paiement » est-il licite au regard du RGPD ?
Pas automatiquement. L'avis 08/2024 du CEPD a conclu que, dans la plupart des cas, une grande plateforme en ligne ne peut pas obtenir un consentement valide dans le cadre d'un modèle purement binaire (consentir à la publicité comportementale, ou payer une redevance). Le CEPD exige que les plateformes proposent également une alternative véritablement équivalente n'impliquant pas de publicité comportementale, comme un accès financé par une publicité contextuelle. Les redevances ne doivent pas être fixées à un niveau tel qu'elles contraignent de fait au consentement. L'option de consentement doit toujours satisfaire aux quatre conditions du consentement RGPD.
Que change le Digital Omnibus de novembre 2025 concernant le consentement aux cookies ?
Rien pour l'instant : il ne s'agit encore que d'une proposition législative. La Commission a proposé d'intégrer les règles relatives aux cookies dans le RGPD, d'introduire une liste blanche pour l'analyse de base, d'exiger un refus en un clic, de limiter les demandes répétées de consentement à une tous les six mois par finalité, et d'autoriser des signaux de préférence intégrés au navigateur d'ici environ 2028. Tant que la proposition n'aura pas franchi le processus législatif de l'UE et pris effet, les règles actuelles de consentement aux cookies prévues par la directive ePrivacy demeurent inchangées.
Sources and References
- Texte intégral du RGPD, règlement (UE) 2016/679(eur-lex.europa.eu).gov
- Lignes directrices 05/2020 du CEPD sur le consentement au titre du règlement 2016/679(edpb.europa.eu).gov
- Résumé du CEPD sur le consentement (avril 2026)(edpb.europa.eu).gov
- Commission européenne, quand le consentement est-il valide ?(commission.europa.eu).gov
- Commission européenne, comment mon consentement doit-il être demandé ?(commission.europa.eu).gov
- ICO, qu'est-ce qu'un consentement valide ?(ico.org.uk).gov
- ICO, comment obtenir, enregistrer et gérer le consentement ?(ico.org.uk).gov
- ICO, quand le consentement est-il approprié ?(ico.org.uk).gov
- Commission européenne, garanties spécifiques pour les données des enfants(commission.europa.eu).gov
- Avis 08/2024 du CEPD sur le consentement valide dans le cadre des modèles consentement ou paiement(edpb.europa.eu).gov
- Rapport du groupe de travail du CEPD sur les bandeaux cookies (2023)(edpb.europa.eu).gov
- Lignes directrices 03/2022 du CEPD sur les interfaces trompeuses(edpb.europa.eu).gov
- ICO, cookies et technologies similaires(ico.org.uk).gov
- Lignes directrices 1/2024 du CEPD sur l'intérêt légitime(edpb.europa.eu).gov
- Lignes directrices 3/2025 du CEPD sur l'articulation entre le DSA et le RGPD(edpb.europa.eu).gov
- Lignes directrices conjointes du CEPD et de la Commission européenne sur l'articulation entre le DMA et le RGPD(edpb.europa.eu).gov
- CNIL, Google sanctionné de 325 millions d'euros pour manquements au consentement en matière de cookies et de publicité (septembre 2025)(cnil.fr).gov
- CNIL, SHEIN sanctionné de 150 millions d'euros pour dépôt de cookies sans consentement (septembre 2025)(cnil.fr).gov
- Commission européenne, paquet Digital Omnibus (novembre 2025)(digital-strategy.ec.europa.eu).gov
- Your Europe, la confidentialité en ligne pour les entreprises(europa.eu).gov