L'article 7 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), précise les conditions dans lesquelles le consentement de la personne concernée peut constituer une base juridique valable au sens de l'article 6, paragraphe 1, point a), du RGPD.

Alors que l'article 6 énumère les bases juridiques autorisant un traitement de données à caractère personnel, l'article 7 en encadre strictement l'usage lorsque le responsable du traitement choisit de fonder celui-ci sur le consentement. Il vise à garantir que ce consentement constitue une manifestation réelle, libre et éclairée de la volonté de la personne concernée.

Les autorités de contrôle et les juridictions se réfèrent régulièrement à cet article pour apprécier la validité du consentement invoqué par un responsable du traitement et, le cas échéant, constater l'illégalité du traitement fondé sur cette base.

Texte officiel de l'article 7 du RGPD

L'article 7 du RGPD prévoit notamment que :

  • lorsque le traitement est fondé sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement (article 7, paragraphe 1)
  • si le consentement est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement doit être présentée sous une forme distincte, clairement identifiable et rédigée en des termes clairs et simples (article 7, paragraphe 2)
  • la personne concernée a le droit de retirer son consentement à tout moment (article 7, paragraphe 3)
  • pour apprécier si le consentement est librement donné, il convient notamment de tenir compte de l'existence d'un déséquilibre manifeste entre la personne concernée et le responsable du traitement, ainsi que du caractère nécessaire ou non du traitement pour l'exécution d'un contrat (article 7, paragraphe 4)

Ces dispositions s'appliquent de manière uniforme dans l'ensemble des États membres de l'Union européenne.

La charge de la preuve du consentement (article 7, §1)

Lorsque le traitement repose sur le consentement, il incombe au responsable du traitement de démontrer que celui-ci a été valablement obtenu.

Cette exigence implique la mise en place de mécanismes permettant d'assurer la traçabilité du consentement : identification de la personne, date et mode de recueil, finalités couvertes et information délivrée préalablement.

En l'absence de preuve, le consentement est réputé inexistant, ce qui prive le traitement de base juridique valable au sens de l'article 6 du RGPD.

La présentation distincte et intelligible du consentement (article 7, §2)

Lorsque le consentement est recueilli dans le cadre d'une déclaration écrite portant également sur d'autres questions, la demande de consentement doit être présentée de manière clairement distincte.

Elle doit être formulée en des termes clairs, simples et compréhensibles, afin que la personne concernée puisse identifier sans ambiguïté l'objet de son consentement.

Cette exigence vise à prévenir toute dilution du consentement dans des documents contractuels ou des conditions générales d'utilisation et garantit le respect du principe de transparence posé à l'article 5, paragraphe 1, point a), du RGPD.

Le droit au retrait du consentement (article 7, §3)

La personne concernée peut retirer son consentement à tout moment.

Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait, mais interdit toute poursuite du traitement sur ce fondement à compter de ce retrait.

La personne concernée doit être informée de ce droit avant de donner son consentement, et le retrait doit être aussi simple que l'octroi du consentement.

Ce droit constitue un prolongement direct du caractère libre du consentement, tel que défini à l'article 4, point 11, du RGPD.

L'appréciation du caractère libre du consentement (article 7, §4)

L'article 7 impose une appréciation concrète du caractère libre du consentement.

Il prévoit notamment que le consentement ne peut être considéré comme libre lorsque l'exécution d'un contrat ou la fourniture d'un service est subordonnée à un traitement de données à caractère personnel qui n'est pas nécessaire à cette exécution.

Il en va de même en présence d'un déséquilibre manifeste entre la personne concernée et le responsable du traitement, notamment dans les relations caractérisées par un lien de subordination ou une situation de dépendance économique ou juridique.

Le consentement ne peut ainsi être utilisé pour légitimer un traitement imposé de facto à la personne concernée.

Portée juridique et articulation avec les autres dispositions du RGPD

L'article 7 doit être interprété à la lumière de la définition du consentement figurant à l'article 4, point 11, du RGPD, ainsi que des bases juridiques prévues à l'article 6.

Il est complété par l'article 8 du RGPD relatif au consentement des enfants dans le cadre des services de la société de l'information et par les articles 12 à 14 relatifs à l'information des personnes concernées.

Un consentement ne respectant pas les conditions prévues à l'article 7 ne peut constituer une base juridique valable, ce qui entraîne l'illégalité du traitement au regard de l'article 6.

Les autorités de contrôle fondent régulièrement leurs décisions de sanction sur des manquements aux exigences posées par l'article 7, notamment en matière de caractère libre, de traçabilité et de possibilité effective de retrait du consentement.

Implications pratiques pour les responsables de traitement

Pour les entreprises et les organismes publics, l'article 7 impose une rigueur particulière dans la conception des mécanismes de recueil du consentement.

Les formulaires, interfaces numériques et documents contractuels doivent permettre un consentement distinct, explicite et documenté.

Les modalités de retrait doivent être effectives, accessibles et intégrées aux procédures internes.

Le recours au consentement comme base juridique implique un suivi continu afin d'assurer la validité du consentement dans le temps et la conformité des traitements concernés.

Jurisprudence relative à l'article 7

L'article 7 du RGPD a donné lieu à une jurisprudence européenne significative, notamment dans le domaine des cookies et des services numériques. Dans l'arrêt Planet49 (C-673/17), la Cour de justice de l'Union européenne a confirmé que le consentement doit être donné par un acte positif clair et que les cases pré-cochées ne constituent pas une manifestation valable de consentement. Cette décision renforce les exigences de l'article 7, paragraphe 2, concernant la présentation distincte et intelligible du consentement.

La CNIL sanctionne régulièrement les manquements aux exigences de l'article 7, notamment en cas d'absence de preuve du consentement, de consentement global et non granulaire, ou de difficultés excessives opposées au retrait du consentement. Plusieurs décisions illustrent que le simple fait d'affirmer disposer d'un consentement ne suffit pas : le responsable du traitement doit être en mesure de produire des éléments de traçabilité démontrant la réalité et les modalités de recueil du consentement.

Les autorités de contrôle européennes considèrent également que le caractère libre du consentement, tel qu'encadré par l'article 7, paragraphe 4, fait obstacle à tout mécanisme de conditionnalité où l'accès à un service ou à une prestation serait subordonné à un consentement portant sur des traitements non strictement nécessaires. Cette interprétation stricte vise à prévenir les pratiques de consentement contraint ou forcé.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) a publié des lignes directrices et des recommandations pratiques relatives au consentement, précisant les modalités de recueil, de conservation de la preuve et de retrait. Elle recommande la mise en place de mécanismes techniques permettant de tracer l'ensemble des éléments du consentement : identité de la personne, date et heure, finalités acceptées, version de la politique de confidentialité applicable et modalités de recueil.

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices 05/2020 sur le consentement, qui explicitent les quatre critères cumulatifs du consentement valable : libre, spécifique, éclairé et univoque. Le CEPD rappelle que le retrait du consentement doit être aussi simple que son octroi et que toute asymétrie entre ces deux processus constitue un manquement à l'article 7, paragraphe 3.

La CNIL et le CEPD insistent sur la nécessité de concevoir des interfaces de recueil du consentement respectueuses de l'autonomie de la personne, évitant tout mécanisme de type « dark pattern » susceptible d'influencer indûment le choix de l'utilisateur. Ils recommandent également de renouveler périodiquement le consentement lorsque les finalités ou les destinataires évoluent significativement.

L'article 7 du RGPD encadre strictement l'usage du consentement comme fondement de licéité des traitements de données à caractère personnel. Il vise à garantir que ce consentement repose sur une manifestation réelle, libre et éclairée de la volonté de la personne concernée. Sa maîtrise est indispensable pour sécuriser juridiquement les traitements fondés sur cette base, prévenir les risques contentieux et démontrer une conformité effective en cas de contrôle.