Comment gerer le consentement aux cookies conformement au RGPD ?

Vous devez informer l'utilisateur des cookies utilises, recueillir son consentement avant de les deposer (sauf cookies strictement necessaires), et lui permettre de retirer son consentement aussi facilement qu'il l'a donne.

Quelle est la difference entre consentement et interet legitime ?

Le consentement repose sur l'accord explicite de la personne. L'interet legitime permet un traitement sans consentement si l'interet du responsable est proportionnel et ne porte pas atteinte aux droits de la personne concernee. Chaque base legale a ses propres criteres.

Consentement RGPD — Cookies, règles et bonnes pratiques

Q: Le consentement est-il toujours obligatoire pour collecter des donnees ?

Non. Le RGPD prevoit six bases legales de traitement. Le consentement n'en est qu'une. L'execution d'un contrat, l'obligation legale ou l'interet legitime peuvent justifier un traitement sans consentement explicite.

Q: Les cases pre-cochees sont-elles valables comme consentement RGPD ?

Non. La CJUE a juge en 2019 (arret Planet49) que les cases pre-cochees ne constituent pas un consentement valide. L'utilisateur doit effectuer un acte positif clair, comme cocher lui-meme une case.

Qu'est-ce que le consentement RGPD ?

Le consentement est défini par l'Article 4 du RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

L'Article 7 du RGPD précise les conditions dans lesquelles le consentement doit être recueilli et documenté. Le responsable de traitement doit être en mesure de démontrer que la personne concernée a bien donné son consentement. Ce consentement peut être retiré à tout moment, et il doit être aussi facile de le retirer que de le donner.

Le consentement n'est pas la seule base légale possible : le RGPD en prévoit six au total (contrat, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime). Il ne faut donc pas systématiquement recourir au consentement quand une autre base est plus adaptée.

Les 4 critères de validité du consentement

Un consentement n'est valable que s'il remplit ces quatre conditions cumulatives.

Libre

Le consentement ne doit pas être conditionné. L'utilisateur ne doit pas subir de préjudice s'il refuse. Interdire l'accès à un service en échange d'un consentement au profilage, par exemple, rend le consentement invalide.

Spécifique

Chaque finalité de traitement nécessite un consentement distinct. Un consentement global pour « toutes les finalités » n'est pas valable. L'utilisateur doit pouvoir accepter la newsletter sans accepter le profilage publicitaire.

Éclairé

Avant de consentir, la personne doit recevoir une information complète et compréhensible : identité du responsable, finalités, données collectées, durée de conservation et droits dont elle dispose.

Univoque

Le consentement doit résulter d'un acte positif clair : cocher une case, cliquer sur un bouton, activer un interrupteur. Le silence, l'inaction ou des cases pré-cochées ne constituent jamais un consentement valide.

Consentement et cookies

La directive ePrivacy (complémentaire au RGPD) impose de recueillir le consentement avant de déposer la plupart des cookies et traceurs sur le terminal de l'utilisateur. Voici les trois catégories à distinguer.

Strictement nécessaires

Cookies indispensables au fonctionnement du site (session, panier, authentification). Ils ne requièrent pas de consentement mais doivent être mentionnés dans la politique de confidentialité.

Fonctionnels

Cookies de préférences (langue, thème, affichage). Ils améliorent l'expérience mais ne sont pas indispensables. Le consentement est requis sauf s'ils servent uniquement la communication demandée par l'utilisateur.

Statistiques et Marketing

Cookies d'analytics, de publicité ciblée, de réseaux sociaux ou de profilage. Le consentement est toujours obligatoire et doit être recueilli avant tout dépôt de ces traceurs.

Les pratiques interdites

La CNIL et le Comité européen de la protection des données (CEPD) ont identifié plusieurs pratiques qui invalident le consentement.

Cases pré-cochées

L'arrêt Planet49 de la CJUE (2019) a définitivement jugé que les cases pré-cochées ne constituent pas un consentement valide. L'utilisateur doit effectuer lui-même l'action de cocher.

Murs de cookies (Cookie Walls)

Bloquer l'accès au contenu tant que l'utilisateur n'a pas accepté tous les cookies rend le consentement non libre. La CNIL tolère certains modèles à condition de proposer une alternative réelle (accès payant sans traceurs, par exemple).

Dark Patterns

Les interfaces trompeuses qui poussent l'utilisateur à accepter (bouton « Accepter » mis en avant, option « Refuser » cachée ou en petits caractères, parcours de refus rallongi) sont sanctionnées. Les boutons « Accepter » et « Refuser » doivent avoir le même niveau de visibilité.

Consentement vs intérêt légitime

Le consentement et l'intérêt légitime sont les deux bases légales les plus utilisées par les entreprises. Comprendre leurs différences est essentiel pour choisir la bonne base.

Consentement

Accord explicite de la personne, révocable à tout moment. Obligatoire pour les cookies non essentiels, la prospection par email (B2C), le profilage, les données sensibles.

Intérêt légitime

Pas besoin d'accord explicite, mais le responsable doit réaliser un test de mise en balance documentant que ses intérêts ne prévalent pas sur les droits et libertés de la personne.

Quand choisir lequel ?

Utilisez le consentement quand le traitement est intrusif ou concerne des données sensibles. Privilégiez l'intérêt légitime pour la sécurité réseau, la prévention de la fraude ou la prospection B2B raisonnable.

Retrait du consentement

L'Article 7(3) du RGPD est clair : la personne concernée a le droit de retirer son consentement à tout moment. Et ce retrait doit être aussi facile que l'acte initial de consentement.

Concrètement, cela signifie que si un utilisateur a donné son consentement en un clic, il doit pouvoir le retirer en un clic également. Un lien de désinscription dans chaque email, un bouton dans les paramètres du compte ou un bandeau cookies accessible en permanence sont des bonnes pratiques.

Le retrait du consentement ne compromet pas la licéité du traitement effectué avant ce retrait. En revanche, le responsable de traitement doit cesser immédiatement le traitement concerné dès que le retrait est notifié.

Un logiciel RGPD comme Dativo vous aide à tracer chaque consentement et à gérer les retraits de manière centralisée, avec un historique horodaté pour démontrer votre conformité.

Questions fréquentes sur le consentement RGPD

Le consentement est-il toujours obligatoire pour collecter des données ?

Non. Le RGPD prévoit six bases légales de traitement. Le consentement n'en est qu'une. L'exécution d'un contrat, l'obligation légale ou l'intérêt légitime peuvent justifier un traitement sans consentement explicite. Le choix de la base légale dépend de la nature du traitement et de son contexte.

Les cases pré-cochées sont-elles valables comme consentement ?

Non. La Cour de Justice de l'Union européenne a jugé en 2019 (arrêt Planet49) que les cases pré-cochées ne constituent pas un consentement valide. L'utilisateur doit effectuer un acte positif clair, comme cocher lui-même une case vide.

Comment gérer le consentement aux cookies conformément au RGPD ?

Vous devez informer l'utilisateur des cookies utilisés, recueillir son consentement avant de les déposer (sauf cookies strictement nécessaires), proposer un moyen de refuser aussi simple que celui d'accepter, et lui permettre de retirer son consentement à tout moment via un bandeau ou un lien accessible sur chaque page.

Quelle est la différence entre consentement et intérêt légitime ?

Le consentement repose sur l'accord explicite de la personne et peut être retiré à tout moment. L'intérêt légitime permet un traitement sans cet accord, à condition que le responsable documente un équilibre entre son intérêt et les droits de la personne. Chaque base légale a ses propres critères et limites.

Centralisez et tracez tous vos consentements

Avec Dativo, gérez vos consentements, documentez vos bases légales et démontrez votre conformité en cas de contrôle CNIL.

Essayer Dativo gratuitement