Skip to Content
RGPDPartie 7 — Consentement & cookies7.1 — Un consentement valide

Chapitre 7.1 — Un consentement valide

⏱️ TL;DR — Avant de parler cookies, on fixe la barre : un consentement aux traceurs obéit aux mêmes qualités que tout consentement RGPD — libre, spécifique, éclairé, univoque, exprimé par un acte positif clair, et aussi facile à retirer qu’à donner. Donc jamais de case ou d’interrupteur pré-coché (arrêt Planet49, CJUE C-673/17), jamais un « en continuant votre navigation vous acceptez ». La théorie complète du consentement est en Partie 4.2 ; ici, on la branche sur le terrain des cookies pour préparer les chapitres suivants.

🎯 Objectifs

  • Réappliquer les 4 qualités du consentement au cas précis des traceurs.
  • Comprendre pourquoi la poursuite de navigation ne vaut pas consentement.
  • Poser la règle du retrait aussi simple que le recueil, appliquée au bandeau.
  • Savoir ce qui relève de la preuve avant d’attaquer la CMP (chapitre 7.3).

Le consentement, version traceurs

Tu connais déjà les quatre qualités (Partie 4.2). Le sujet cookies ne crée pas un régime à part : il applique ces qualités à un objet particulier — le dépôt et la lecture d’informations dans le terminal de l’internaute. Voici la traduction, terme à terme.

QualitéCe que ça impose pour un traceurLe mauvais réflexe
LibreRefuser doit être sans conséquence sur l’accès au contenu principal.Bloquer tout le site tant qu’on n’a pas accepté (cookie wall abusif).
SpécifiqueUn choix par finalité : mesure d’audience, publicité, réseaux sociaux séparément.Un unique « J’accepte » qui empaquette toutes les finalités.
ÉclairéNommer les finalités, la durée, les tiers destinataires, avant le choix.Un « nous utilisons des cookies » sans dire lesquels ni pour quoi.
UnivoqueUn acte positif : cliquer « Accepter », cocher soi-même un interrupteur éteint.Case pré-cochée, interrupteur activé par défaut, silence, scroll.

📚 Le texte — L’arrêt Planet49 (CJUE, affaire C-673/17) l’a tranché pour les cookies eux-mêmes : une case pré-cochée ne vaut pas consentement, faute d’acte positif de l’internaute. C’est la décision à dégainer chaque fois qu’on te propose un interrupteur « déjà sur ON pour fluidifier ».

« En poursuivant votre navigation… » : non

Le vieux bandeau qui affiche « en continuant à naviguer, vous acceptez les cookies » est mort avec le RGPD et la recommandation CNIL 2020. Faire défiler une page, cliquer sur un lien interne ou simplement rester sur le site n’est pas un acte positif clair : c’est de l’inaction interprétée, exactement ce que « univoque » interdit. Tant que la personne n’a pas agi, son silence vaut refus, pas acceptation.

⚠️ Piège — Traiter l’ouverture du bandeau, ou le fait de le fermer d’une croix, comme une acceptation. Fermer un bandeau n’est pas consentir ; au mieux c’est neutre (donc refus), au pire c’est un dark pattern. Le consentement ne naît que d’une action dont l’objet est clairement d’accepter.

Retirer aussi simplement qu’on accepte

Puisqu’un consentement se retire à tout moment et aussi facilement qu’il se donne, un site qui recueille en un clic (« Tout accepter ») doit permettre de revenir sur ce choix en un geste équivalent — typiquement un lien permanent « Gérer mes cookies » en pied de page, qui rouvre le panneau de choix. Le retrait vaut pour l’avenir : il n’efface pas ce qui a déjà été lu ou déposé licitement, mais il arrête le dépôt et la lecture pour la suite.

💡 Réflexe — Conçois le ré-accès au choix en même temps que le bandeau, pas « plus tard ». Un lien « Gérer mes cookies » toujours visible, qui rouvre exactement le même panneau par finalité. Un consentement qu’on ne peut pas rouvrir proprement n’est pas conforme — et c’est précisément ce que la CMP du chapitre 7.3 va industrialiser.

🔒 Côté personne concernée — Un bon consentement cookies se ressent : on comprend en une phrase ce qui est proposé, on peut dire non aussi vite que oui, et on retrouve toujours le moyen de changer d’avis. À l’inverse, un bandeau qui fatigue, culpabilise ou piège pousse à « tout accepter pour être tranquille » — un consentement obtenu ainsi est fragile juridiquement et se paie en défiance.

🧭 Sur FormaCampus — Sur son site vitrine, FormaCampus part d’un bandeau hérité : « en poursuivant, vous acceptez », un seul bouton « OK », et les tags de mesure d’audience déjà chargés à l’arrivée. Trois violations d’un coup (poursuite de navigation, pas de refus, dépôt avant choix). Tout le reste de la partie raconte comment elle passe à un bandeau par finalité, avec « Tout refuser » aussi accessible qu’« Tout accepter » — l’atelier du chapitre 7.5 le construit pour de bon.

La preuve, déjà en tête

Comme pour tout consentement (accountability, art. 5.2), tu dois pouvoir démontrer que la personne a consenti : quoi, quand, pour quelles finalités, sur quelle version du bandeau. On ne code pas encore ce journal ici — c’est le rôle de la CMP (chapitre 7.3) — mais retiens dès maintenant qu’un choix cookies non tracé ne prouve rien face à un contrôle.

✏️ Exercices

Exercice 1 — Valide ou pas ? Pour chaque mécanisme, dis s’il produit un consentement valide aux traceurs, et pourquoi : (a) un bandeau « En poursuivant votre navigation, vous acceptez nos cookies » ; (b) un panneau avec, par finalité, des interrupteurs éteints et un bouton « Enregistrer mes choix » ; (c) une modale « Nous utilisons des cookies » avec un seul bouton « J’ai compris ».

✅ Solution

(a) Invalide — la poursuite de navigation n’est pas un acte positif clair ; c’est de l’inaction interprétée, contraire à « univoque » et à la recommandation CNIL 2020. (b) Valide — choix spécifique par finalité, univoque (interrupteurs éteints que la personne active elle-même), acte positif via « Enregistrer ». (c) Invalide — « J’ai compris » n’offre aucun choix : pas de refus possible, donc ni libre, ni univoque quant à une acceptation. Un bouton d’information n’est pas un consentement.

Exercice 2 — Le retrait manquant. Un site propose un beau bandeau « Tout accepter / Tout refuser » à la première visite, puis aucun moyen de revenir sur son choix ensuite. Quelle règle est enfreinte, et que faut-il ajouter ?

✅ Solution

La règle du retrait aussi facile que le recueil est enfreinte : on peut consentir en un clic mais pas revenir dessus. Il faut un point d’entrée permanent — un lien « Gérer mes cookies » en pied de page (et souvent une icône flottante) — qui rouvre le panneau de choix par finalité et permet de retirer son consentement aussi simplement qu’on l’a donné. Le retrait vaut pour l’avenir (il stoppe les dépôts suivants).

🧠 Quiz de révision

1. Le cadre des cookies crée-t-il un consentement « spécial », différent de l’art. 6 ?

Non sur la définition : ce sont les mêmes qualités (libre, spécifique, éclairé, univoque, retirable). Ce qui change, c’est le texte déclencheur — la directive ePrivacy / l’art. 82 loi I&L (chapitre 7.2) — pas la notion de consentement.

2. « En poursuivant votre navigation, vous acceptez » : valable ?

Non. Faire défiler ou naviguer n’est pas un acte positif clair. C’est de l’inaction interprétée, contraire à « univoque » (recommandation CNIL 2020). Sans action explicite, le silence vaut refus.

3. Un interrupteur de finalité activé par défaut est-il conforme ?

Non. C’est l’équivalent d’une case pré-cochée : pas d’acte positif de l’internaute (arrêt Planet49, C-673/17). Les interrupteurs doivent être éteints par défaut ; la personne les active elle-même.

4. Comment doit-on pouvoir retirer son consentement aux cookies ?

Aussi facilement qu’on l’a donné, à tout moment — typiquement via un lien permanent « Gérer mes cookies » qui rouvre le panneau par finalité. Le retrait vaut pour l’avenir : il arrête les dépôts et lectures suivants.

5. Où est traitée la théorie complète du consentement ?

En Partie 4.2 (les 4 qualités, le retrait, la preuve, l’arrêt Planet49). La Partie 7 applique cette théorie aux traceurs et ajoute le cadre ePrivacy propre aux cookies.


Chapitre suivant : Cookies & traceurs (ePrivacy) — le vrai cadre juridique (ce n’est pas que le RGPD), ce qui exige un consentement, ce qui en est exempté, et la typologie des traceurs.

Last updated on