Gestion du consentement RGPD : exigences et bonnes pratiques

Le consentement est l’un des aspects les plus mal compris du RGPD. De nombreuses entreprises SaaS font du consentement leur base juridique par défaut pour tout — chaque formulaire, chaque email, chaque activité de traitement de données reçoit une case à cocher. Cette approche crée une friction inutile pour les utilisateurs et un risque inutile pour votre entreprise.

La réalité est que le consentement n’est qu’une des six bases juridiques du RGPD, et ce n’est souvent pas la bonne. L’exécution du contrat, l’intérêt légitime et l’obligation légale couvrent la majorité du traitement que les entreprises SaaS doivent effectuer. Le consentement devrait être réservé au traitement où la personne a véritablement un libre choix — principalement les communications marketing et les cookies non essentiels.

Mais lorsque le consentement est la bonne base, le RGPD fixe un standard élevé. Le consentement doit être donné librement, être spécifique, éclairé et sans ambiguïté. Les cases pré-cochées, le consentement groupé et les dark patterns ne comptent pas. Et une fois que vous vous appuyez sur le consentement, vous devez être prêt à ce que les personnes le retirent à tout moment.

Ce guide couvre quand le consentement s’applique, ce qui le rend valide, comment le mettre en oeuvre correctement et comment gérer les registres de consentement à travers votre plateforme SaaS.

Quand le consentement est-il la bonne base juridique ?

Utilisez le consentement pour

Les communications marketing. Les emails, SMS, notifications push et autres communications marketing directes aux personnes nécessitent le consentement dans la plupart des juridictions de l’UE (la directive ePrivacy renforce ce point). L’exception : vous pouvez vous appuyer sur l’intérêt légitime pour le marketing auprès de clients existants concernant des produits similaires, sous certaines conditions.

Les cookies et le suivi non essentiels. La directive ePrivacy (et ses transpositions nationales) exige le consentement pour les cookies et technologies similaires qui ne sont pas strictement nécessaires à votre service. Cela inclut les cookies d’analyse, les traceurs publicitaires, les scripts de tests A/B et les plugins de réseaux sociaux. Les cookies strictement nécessaires (cookies de session, cookies d’authentification, cookies de sécurité) ne nécessitent pas de consentement.

Le traitement de catégories particulières de données. Si vous traitez des données sensibles — données de santé, données biométriques, données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale ou l’orientation sexuelle — le consentement explicite est l’une des rares bases juridiques disponibles. Le standard pour le consentement explicite est plus élevé que pour le consentement standard.

Le traitement allant au-delà de ce qui est nécessaire pour le contrat. Si vous souhaitez utiliser les données clients à des fins au-delà de la fourniture de votre service — enrichir les profils avec des données tierces, partager des données avec des entreprises partenaires, utiliser des données pour la recherche — le consentement donne à la personne concernée un contrôle véritable sur ces utilisations optionnelles.

N’utilisez pas le consentement pour

Le traitement nécessaire à la fourniture de votre service. Si quelqu’un s’inscrit à votre produit SaaS, vous n’avez pas besoin de consentement pour stocker ses données de compte — c’est la nécessité contractuelle. Demander le consentement quand vous traiterez les données de toute façon (parce que le service ne fonctionnera pas sans) rend le consentement invalide. Il n’est pas « donné librement » si dire non signifie ne pas pouvoir utiliser le produit.

Le traitement que vous effectueriez indépendamment du consentement. Si vous prévoyez de traiter les données que la personne consente ou non, le consentement est la mauvaise base. Choisissez l’intérêt légitime ou une autre base à la place. Utiliser le consentement comme façade tout en s’appuyant sur une base différente en pratique est trompeur et non conforme.

Les relations employeur-employé. En raison du déséquilibre de pouvoir, le consentement des employés est rarement considéré comme « donné librement ». Utilisez la nécessité contractuelle, l’obligation légale ou l’intérêt légitime pour la plupart des traitements de données employés.

Qu’est-ce qui rend le consentement valide sous le RGPD ?

L’article 4(11) définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». L’article 7 ajoute des conditions pour démontrer le consentement. Détaillons chaque exigence :

Donné librement

La personne doit avoir un véritable choix. Le consentement n’est pas libre si :

Le refus du consentement a des conséquences négatives. Si refuser le consentement signifie perdre l’accès à un service qui ne nécessite pas le traitement consenti, le consentement n’est pas libre. Exemple : exiger le consentement aux emails marketing comme condition d’utilisation d’un outil de gestion de projet — le marketing n’a rien à voir avec le service.
Il existe un déséquilibre de pouvoir. Un employeur demandant à un employé de consentir au partage de ses données avec un tiers — l’employé peut sentir qu’il ne peut pas refuser.
Le consentement est groupé. Demander un consentement unique couvrant plusieurs finalités de traitement non liées. Chaque finalité devrait faire l’objet d’un consentement séparé.

Bonne pratique pour le SaaS : Utilisez des options de consentement granulaires. Permettez aux utilisateurs d’accepter le marketing séparément de l’analyse. Ne conditionnez pas l’accès à votre produit au consentement à un traitement non nécessaire au service.

Spécifique

Le consentement doit porter sur une ou plusieurs finalités de traitement spécifiques. « Je consens au traitement de mes données personnelles » n’est pas spécifique. « Je consens à recevoir des emails de mise à jour produit de GRCTrail » est spécifique.

Bonne pratique pour le SaaS : Créez des mécanismes de consentement séparés pour chaque finalité : emails marketing, newsletters produit, communications partenaires, suivi analytique, participation à la recherche. Ne les regroupez pas.

Éclairé

Avant de donner son consentement, la personne doit savoir au minimum :

Qui demande le consentement (l’identité de votre organisation)
Quelles données seront traitées
Pour quelle(s) finalité(s)
Son droit de retirer le consentement à tout moment
Le cas échéant, que les données seront utilisées pour une prise de décision automatisée
Le cas échéant, que les données seront transférées internationalement

Bonne pratique pour le SaaS : Placez des informations claires et concises à côté de chaque mécanisme de consentement. Faites un lien vers votre avis de confidentialité complet pour les détails, mais fournissez les informations essentielles directement. Personne ne devrait avoir besoin de lire un document de 10 pages pour comprendre à quoi il consent.

Sans ambiguïté

Le consentement doit impliquer un acte positif clair. Cela signifie :

Opt-in, pas opt-out. Les cases pré-cochées ne constituent pas un consentement valide. La case doit commencer décochée, et l’utilisateur doit activement la cocher.
Le silence n’est pas un consentement. L’inactivité, le défilement d’une page ou la poursuite de la navigation sur un site web ne constituent pas un consentement.
Pas de dark patterns. Rendre le bouton « accepter » grand et coloré tout en cachant l’option « refuser » en petit texte gris n’est pas un consentement sans ambiguïté — c’est de la manipulation.

Mettre en oeuvre les mécanismes de consentement

Consentement aux cookies

Le consentement aux cookies est l’implémentation de consentement la plus visible pour la plupart des sites web SaaS. Les exigences :

Avant que les cookies ne soient déposés : Affichez une bannière de consentement claire qui :

Liste les catégories de cookies (fonctionnels, analytiques, marketing)
Explique ce que fait chaque catégorie
Fournit un moyen d’accepter ou de refuser chaque catégorie indépendamment
Ne dépose pas de cookies non essentiels avant que le consentement ne soit donné (pas de « consentement par navigation »)
N’utilise pas de catégories pré-sélectionnées

Contrôles granulaires : Les utilisateurs doivent pouvoir accepter les cookies analytiques mais refuser les cookies marketing, ou vice versa. Un bouton « tout accepter » est acceptable tant que les options granulaires sont tout aussi accessibles.

Persistance et retrait : Enregistrez les préférences de consentement de l’utilisateur et respectez-les. Fournissez un moyen de modifier les préférences à tout moment (généralement via un lien « Paramètres des cookies » en pied de page).

Pas de murs de cookies : Bloquer entièrement l’accès à votre site web si l’utilisateur n’accepte pas les cookies n’est généralement pas autorisé dans l’UE, car le consentement donné dans ces conditions n’est pas « donné librement ».

Consentement au marketing par email

Double opt-in : La bonne pratique est d’utiliser le double opt-in (aussi appelé opt-in confirmé). L’utilisateur saisit son email, et vous envoyez un email de confirmation avec un lien de vérification. Ce n’est qu’après avoir cliqué sur le lien que le consentement est enregistré. Cela fournit une preuve solide que la personne a effectivement consenti et que l’adresse email lui appartient.

Description claire : Au point d’inscription, décrivez ce que la personne recevra : « Mises à jour mensuelles du produit et conseils de conformité RGPD » — pas « des communications de notre part ».

Désabonnement facile : Chaque email marketing doit inclure un mécanisme de désabonnement clair et en un clic. N’exigez pas de l’utilisateur qu’il se connecte, remplisse un formulaire ou explique pourquoi il se désabonne.

Consentement dans l’application

Pour le consentement collecté au sein de votre application SaaS (opt-in aux fonctionnalités bêta, activation d’intégrations qui partagent des données avec des tiers, participation à la recherche) :

Utilisez des boîtes de dialogue modales claires ou des formulaires de consentement intégrés
Expliquez à quoi l’utilisateur accepte de participer
Fournissez une confirmation immédiate de leur choix
Permettez le retrait via les paramètres du compte

Gérer les registres de consentement

L’article 7(1) stipule : « Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement. » Vous devez maintenir des registres prouvant :

Qui a consenti (personne identifiable, pas seulement un ID de cookie)
Quand la personne a consenti (horodatage)
À quoi elle a consenti (la finalité spécifique et le libellé exact qu’elle a vu)
Comment elle a consenti (le mécanisme — case à cocher, double opt-in, bannière de cookies)
La version du texte de consentement au moment du consentement (si vous mettez à jour votre libellé de consentement, vous devez savoir quelle version chaque personne a vue)

Ces registres doivent être accessibles et organisés. Si une autorité de contrôle vous demande de démontrer qu’une personne spécifique a consenti aux emails marketing, vous devez produire la preuve — pas deviner en fonction de sa présence dans votre liste de diffusion.

Retrait du consentement

L’article 7(3) stipule : « Il est aussi simple de retirer que de donner son consentement. » Cela est fréquemment violé. Manquements courants :

Exiger un appel téléphonique pour se désabonner quand le consentement a été donné en un seul clic
Processus de retrait en plusieurs étapes nécessitant de se connecter, de naviguer vers les paramètres et de confirmer plusieurs fois
Délais de traitement où les données continuent d’être traitées pendant des jours ou des semaines après le retrait

Lorsque quelqu’un retire son consentement :

Arrêtez immédiatement le traitement basé sur le consentement
N’utilisez pas le retrait comme une opportunité pour redemander le consentement
Ne pénalisez pas la personne (ex. : en réduisant la qualité du service)
Conservez un enregistrement que le consentement a été retiré (et quand)
Notez que le retrait n’affecte pas la licéité du traitement effectué avant le retrait

Consentement vs. autres bases juridiques

Une question courante : « Puis-je changer de base juridique si quelqu’un retire son consentement ? »

La réponse est généralement non. Si vous avez traité des données sur la base du consentement et que la personne le retire, vous ne pouvez pas rétroactivement affirmer que vous aviez un intérêt légitime depuis le début. Le Comité Européen de la Protection des Données a été clair : choisir le consentement comme base puis changer quand cela devient gênant sape l’intégrité du consentement en tant que mécanisme.

C’est pourquoi il est essentiel de choisir la bonne base juridique dès le départ. Si l’intérêt légitime s’applique véritablement, utilisez-le. Ne choisissez pas le consentement par défaut parce que cela semble plus simple — le consentement s’accompagne de contraintes.

Comment GRCTrail aide à la gestion du consentement

GRCTrail intègre la gestion du consentement dans votre programme de conformité global :

Suivi du consentement dans votre RAT. Chaque activité de traitement dans votre Registre des Activités de Traitement enregistre la base juridique applicable. Lorsque le consentement est la base, GRCTrail fait le lien avec vos registres et mécanismes de consentement.

Gestion des preuves. Maintenez des registres auditables de la collecte du consentement, du libellé de consentement utilisé et des événements de retrait. Démontrez la conformité aux autorités de contrôle avec des preuves structurées, pas un tas de captures d’écran d’emails.

Connecté à vos avis de confidentialité. Vos mécanismes de consentement doivent être cohérents avec ce que votre avis de confidentialité indique. GRCTrail aide à assurer la cohérence entre ce que vous dites aux personnes et ce que vous faites.

Gérez le consentement en toute confiance →

Guides connexes

Les six bases juridiques du traitement — Comprendre toutes vos options
Exigences relatives aux avis de confidentialité — Ce qu’il faut communiquer aux personnes concernées
Checklist de conformité RGPD — Le cadre de conformité complet
Registre des Activités de Traitement (RAT) — Documenter votre traitement

Commencez avec GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours