Consentement RGPD : règles, cas particuliers et bonnes pratiques à adopter en 2025

RGPDJuly 30, 2025

Le RGPD (Règlement général sur la protection des données) repose sur plusieurs grands principes, parmi lesquels figure en bonne place le consentement. Déjà encadré par la loi Informatique et Libertés en France, le consentement constitue aujourd’hui, au niveau européen, l’une des bases légales permettant à un responsable de traitement de collecter et d’exploiter des données à caractère personnel.

Mais la notion de consentement, telle qu’elle est définie dans le RGPD, reste souvent mal comprise. Quels sont les critères de validité du consentement ? Quand est-il obligatoire ? Quels sont les cas particuliers, notamment pour les mineurs ou les traitements sensibles ? Et surtout, comment mettre en place une gestion du consentement conforme sur un site web ?

Cet article vous propose une analyse détaillée de ces enjeux, accompagnée de recommandations concrètes.

RGPD et consentement : que dit le texte sur cette notion ?

Le RGPD définit le consentement comme :

Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement

Cette définition impose quatre critères cumulatifs pour qu’un consentement soit juridiquement valable.

Libre

Le consentement doit être donné sans pression. L’utilisateur doit pouvoir refuser sans subir de conséquences négatives. Par exemple, l’accès à un service web ne peut pas être conditionné à l’acceptation de traitements non indispensables (comme le dépôt de cookies publicitaires).

Spécifique

Le consentement doit être donné pour une ou plusieurs finalités bien déterminées. Il n’est pas possible de recueillir un consentement global pour des traitements multiples ou imprécis. Chaque traitement, pour chaque finalité, doit faire l’objet d’une information et d’un choix distincts.

Éclairé

Le consentement doit être précédé d’une information claire et accessible. L’utilisateur doit savoir ce qu’il accepte : quelles données personnelles sont collectées, pour quelles finalités, par quel responsable de traitement, pendant combien de temps, avec quels droits, etc.

Univoque

Il doit s’agir d’un acte clair et affirmatif. Un simple silence ou la poursuite de la navigation sur un site web ne constitue pas un consentement valable. Un clic sur un bouton d’acceptation, en revanche, répond à cette exigence.

Le consentement est-il toujours obligatoire ?

Contrairement à une idée reçue, le consentement n’est pas systématiquement exigé pour traiter des données personnelles. Il s’agit de l’une des six bases légales définies par le RGPD, aux côtés par exemple de :

  • L’exécution d’un contrat (exemple : gestion d’un abonnement),

  • Le respect d’une obligation légale (exemple : facturation),

  • L’intérêt légitime du responsable de traitement.

Cependant, certains traitements nécessitent impérativement le consentement de la personne concernée. C’est le cas notamment pour :

  • L’envoi de prospection commerciale par email à des non-clients,

  • Le dépôt de cookies non essentiels sur un site web,

  • Le traitement de certaines données sensibles (ex. : données de santé, opinions politiques).

Les cas particuliers encadrés par le RGPD

Le RGPD prévoit des règles renforcées dans certains cas spécifiques. Deux situations méritent une attention particulière : les mineurs et les traitements de données sensibles.

Consentement des mineurs

Lorsque le service proposé relève de la société de l’information (site web, réseau social, plateforme…), le RGPD impose un seuil d’âge minimal pour le recueil du consentement.

  • Par défaut, le consentement est valide à partir de 16 ans.

  • Chaque État membre peut fixer un seuil plus bas, dans la limite de 13 ans.

En France, l’âge retenu est de 15 ans. En dessous, le consentement doit être donné conjointement par l’enfant et son représentant légal.

Consentement explicite pour les données sensibles

Certains traitements sont jugés plus risqués, notamment lorsqu’ils portent sur des données sensibles : origine ethnique, santé, sexualité, convictions religieuses ou politiques, etc.

Dans ces cas, le consentement explicite est requis. Il doit être distinct, spécifique, et parfois confirmé par une double action (par exemple, clic + validation par email).

Les obligations du responsable de traitement

Le RGPD impose aux organisations des règles précises pour la gestion du consentement, au-delà de son simple recueil.

Droit au retrait

Le droit de retrait du consentement est fondamental. L’utilisateur doit pouvoir retirer son consentement à tout moment, de manière simple et gratuite. Le mécanisme de retrait doit être aussi facile que celui de recueil (exemple : un lien dans un email, ou un centre de préférences accessible sur le site).

Obligation de preuve

Le responsable de traitement doit pouvoir prouver que le consentement a bien été donné conformément aux exigences du RGPD. Cela suppose de :

  • Documenter le moment, la méthode et le contenu de l’information fournie,

  • Conserver une trace de l’action positive de l’utilisateur,

  • Garantir que le consentement est rattaché aux bonnes finalités.

La CNIL rappelle régulièrement l’importance de cette traçabilité dans ses contrôles.

Comment recueillir un consentement conforme sur un site web ?

La mise en conformité au RGPD en matière de recueil du consentement ne se limite pas à une case à cocher, une simple bannière de cookies ou une Consent Management Platform (CMP). Il s’agit d’un processus structuré, qui répond à des critères juridiques stricts, impose des obligations de traçabilité, et repose sur une bonne expérience utilisateur.

Mais attention : toutes les solutions ne se valent pas. Beaucoup de sites affichent des bannières non conformes sans le savoir (par exemple, cases pré-cochées, absence de retrait facile, défaut d’information…).

Voici les étapes clés et les bonnes pratiques à respecter.

Informer clairement l’utilisateur

Avant tout recueil de consentement, l’utilisateur doit être informé, de manière claire, concise et compréhensible, sur :

  • L’identité du responsable de traitement (l’organisation qui collecte les données),

  • Les finalités du traitement (à quoi serviront les données),

  • Les types de données personnelles collectées,

  • Les destinataires éventuels des données,

  • La durée de conservation des données,

  • L’existence de droits (droit d'accès, droit de rectification, droit de suppression, retrait du consentement),

  • Le droit de retrait du consentement à tout moment.

Bonnes pratiques :

  • Utiliser des formulations simples, éviter le jargon juridique.

  • Afficher ces informations avant toute collecte, via une bannière, une pop-up ou un formulaire.

Obtenir un acte clair et positif

Le consentement doit se manifester par une action explicite de la personne concernée. Cela signifie que :

  • Les cases à cocher doivent être décochées par défaut.

  • La simple navigation ou le scroll sur une page ne vaut pas consentement.

  • Il doit y avoir un bouton ou une action volontaire indiquant l’acceptation (ex. : “J’accepte”, “Valider mes choix”).

Exemples conformes :

  • Case à cocher non cochée, avec texte explicite.

  • Bouton “Accepter” ou “Refuser” sur une bannière cookies.

Permettre un choix granulaire

Le consentement doit être spécifique. L’utilisateur doit pouvoir :

  • Donner son accord finalité par finalité,

  • Accepter certains traitements et en refuser d’autres.

Cas d’usage typique : cookies

Une CMP conforme doit permettre à l’utilisateur de choisir :

  • Cookies de mesure d’audience : oui/non,

  • Cookies publicitaires : oui/non,

  • Cookies de personnalisation : oui/non.

Un bouton “Tout accepter” est autorisé uniquement s’il est accompagné d’un bouton “Tout refuser” et “Personnaliser mes choix”.

Offrir un droit de retrait simple et accessible

Le RGPD impose que le retrait du consentement soit :

  • Aussi facile que son obtention,

  • Accessible à tout moment,

  • Sans justification ni frais.

Moyens recommandés :

  • Un lien “Gérer mes préférences” ou “Modifier mon consentement” en bas de page,

  • Un centre de gestion des préférences clair et ergonomique.

Assurer la traçabilité du consentement

Le responsable de traitement doit être en mesure de prouver que le consentement a été valablement recueilli, conformément aux exigences du RGPD.

Cela implique de :

  • Enregistrer l’identifiant utilisateur ou son adresse IP,

  • Conserver la date, l’heure et la version du texte d’information acceptée,

  • Documenter les finalités acceptées ou refusées,

  • Prévoir un mécanisme de journalisation sécurisé et conforme.

En cas de contrôle de la CNIL, cette preuve doit pouvoir être fournie sans délai.

Utiliser un outil adapté à la gestion du consentement

Mettre en place toutes ces exigences manuellement est complexe. Il est fortement recommandé d’utiliser une Consent Management Platform (CMP) conforme au RGPD, qui vous permet de :

  • Gérer l’affichage des bannières et des choix utilisateurs,

  • Centraliser les préférences de consentement,

  • Générer automatiquement la preuve du consentement,

  • Mettre à jour facilement les finalités en cas d’évolution des traitements.

Exemple : la solution Witik

Grâce à Witik bénéficiez de la technologie Axeptio pour :

  • Gérer automatiquement le recueil du consentement de vos utilisateurs,

  • S’assurer de la conformité avec les critères du RGPD,

  • Générer la documentation exigée par la CNIL,

  • Mettre en place un centre de préférences respectueux des droits des personnes concernées.

Benjamin BarattaWitik - Expert RGPD & CSM