Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 15 juillet 2026
RGPD

Modèle de consentement RGPD : 7 exemples à copier 2026

7 modèles de consentement RGPD à copier : newsletter, cookies, données sensibles, prospection, bêta. Formulations conformes et preuve à conserver (2026).

L’essentiel. Un consentement RGPD valide doit être libre, spécifique, éclairé et univoque (Art. 4(11) et 7). En pratique : une case à cocher non pré-cochée par finalité, une information claire sur qui traite quoi et pourquoi, un retrait aussi simple que l’octroi, et une preuve conservée (qui, quand, comment, quel texte). Vous trouverez ci-dessous 7 formulations prêtes à copier — newsletter, contact, cookies, prospection, données sensibles, programme bêta, partage à des partenaires — à adapter à vos finalités réelles.

Le consentement n’est que l’une des six bases légales du RGPD, mais c’est celle qui se rate le plus souvent : cases pré-cochées, finalités groupées, retrait impossible. Cet article donne les critères de validité, sept modèles concrets, les erreurs qui invalident un consentement et la manière de constituer la preuve exigée par l’article 7.

Les quatre critères d’un consentement valide

L’article 4(11) du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque » par laquelle la personne accepte le traitement de ses données. Ces quatre critères sont cumulatifs : il suffit qu’un seul manque pour invalider le consentement.

Critère Ce qu’il exige À éviter
Libre Choix réel, sans conséquence négative en cas de refus Conditionner un service à un consentement marketing non nécessaire
Spécifique Un consentement par finalité distincte Une case unique pour newsletter + CGV + partenaires
Éclairé Identité du responsable, finalités, droits, retrait Renvoi vague à « notre politique » sans information
Univoque Acte positif clair Case pré-cochée, poursuite de navigation, silence

Deux points de vigilance qui concentrent l’essentiel des non-conformités :

  • Le retrait doit être aussi simple que l’octroi (Art. 7(3)). Si l’on consent en un clic, on doit pouvoir se désinscrire en un clic.
  • La charge de la preuve pèse sur le responsable de traitement (Art. 7(1)). C’est à vous de démontrer le consentement, pas à la personne de prouver qu’elle n’a pas consenti.

Quand le consentement est-il obligatoire ?

Le consentement n’est pas toujours requis : un traitement peut reposer sur cinq autres bases légales (contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêt légitime). Notre guide de l’article 6 du RGPD détaille chacune d’elles, et la fiche consentement RGPD précise sa portée.

Le consentement devient toutefois impératif dans plusieurs cas :

  • la prospection commerciale par voie électronique adressée aux particuliers (B2C) ;
  • le traitement de données sensibles au sens de l’article 9 (santé, opinions, orientation, etc.), qui exige un consentement explicite ;
  • le dépôt de cookies et traceurs non strictement nécessaires au service.

Avant de rédiger un formulaire, posez-vous donc la première question : le consentement est-il la bonne base légale, ou un intérêt légitime documenté suffit-il ? Rappelons aussi le principe de finalité : chaque consentement se rattache à une finalité déterminée.

Consentement ou intérêt légitime : bien choisir

L’erreur de base légale précède l’erreur de formulation. Beaucoup d’organisations demandent un consentement là où un intérêt légitime documenté suffirait — s’imposant ainsi la contrainte du retrait à tout moment — ou l’inverse. Ce tableau aide à trancher les cas courants.

Situation Base la plus adaptée Pourquoi
Newsletter à des particuliers Consentement Prospection électronique B2C : opt-in requis
E-mail à un client existant sur produits similaires Intérêt légitime (sous conditions) Exception « clients » de la prospection, avec opt-out
Réponse à un formulaire de contact Mesure précontractuelle / intérêt légitime Traitement nécessaire pour répondre
Cookies de mesure d’audience non exemptés Consentement Traceurs non strictement nécessaires
Données de santé Consentement explicite Données sensibles (Art. 9)
Partage à des partenaires marketing Consentement Finalité distincte, destinataires tiers

Retenez une règle simple : dès que le traitement relève de la prospection électronique vers des particuliers, des données sensibles ou des traceurs non essentiels, le consentement s’impose. En dehors de ces cas, un intérêt légitime correctement documenté est souvent plus robuste et plus confortable à gérer, car il ne dépend pas d’un consentement révocable.

Double opt-in : sécuriser la preuve

Pour une newsletter ou une inscription à des communications commerciales, le double opt-in est la meilleure pratique. Le principe : après la saisie de l’adresse, un e-mail de confirmation est envoyé, et l’inscription n’est validée qu’après clic sur le lien de confirmation.

Ce mécanisme apporte deux avantages décisifs :

  • il prouve que l’adresse appartient bien à la personne qui s’inscrit (et non à un tiers inscrit à son insu) ;
  • il horodate un acte positif supplémentaire, ce qui renforce la preuve exigée par l’article 7.

Conservez l’e-mail de confirmation, la date du clic et l’adresse IP associée : c’est la trace la plus solide en cas de contestation ou de contrôle.

Cas particuliers à connaître

Prospection B2B. La prospection par e-mail vers des professionnels sur leur adresse professionnelle bénéficie d’un régime plus souple : elle peut souvent reposer sur l’intérêt légitime dès lors que le message se rapporte à la profession de la personne et qu’un droit d’opposition est offert. Le consentement préalable n’est donc pas systématiquement exigé en B2B — à distinguer du B2C.

« Cookie walls ». Conditionner l’accès à un site à l’acceptation de tous les cookies (mur de traceurs) fragilise le caractère libre du consentement. La CNIL admet certaines formes de cookie walls sous conditions strictes, appréciées au cas par cas ; en pratique, prévoyez toujours une alternative crédible au « tout accepter ».

Enfants. Le consentement d’un mineur appelle une vigilance renforcée (voir la FAQ ci-dessous) : information adaptée à l’âge, vérification raisonnable de l’autorisation parentale en deçà du seuil légal, et finalités particulièrement restreintes.

7 modèles de consentement prêts à copier

Modèles indicatifs fournis à titre documentaire — ne constituent pas un conseil juridique. À adapter à vos finalités réelles avant usage. Version 2026-07 — consentement-v2. Chaque case ci-dessous doit être non pré-cochée et présentée séparément.

1. Newsletter

Je souhaite recevoir la newsletter de [Société]. J’accepte que mon adresse e-mail soit utilisée pour m’envoyer des actualités et informations. Je peux me désinscrire à tout moment via le lien présent dans chaque e-mail. [Responsable : Société — DPO : dpo@…].

Pourquoi ça marche : une finalité unique et claire, un retrait explicite (lien de désinscription), l’identité du responsable. Ne regroupez jamais la newsletter avec l’acceptation des CGV.

2. Formulaire de contact

En envoyant ce formulaire, vous acceptez que [Société] utilise les informations communiquées uniquement pour répondre à votre demande. Vos données sont conservées [durée] puis supprimées. Vous disposez d’un droit d’accès, de rectification et d’opposition (contact : dpo@…).

Pourquoi ça marche : le traitement se limite au traitement de la demande (souvent fondé sur l’intérêt légitime ou une mesure précontractuelle plutôt que sur le consentement). N’ajoutez pas d’usage marketing masqué : ce serait un consentement non spécifique.

3. Cookies et traceurs non essentiels

Nous utilisons des cookies de mesure d’audience et de personnalisation. Ils ne sont déposés qu’avec votre accord. [Tout accepter] [Tout refuser] [Personnaliser] — le refus est aussi simple que l’acceptation et n’empêche pas la navigation.

Pourquoi ça marche : le bouton « Tout refuser » est au même niveau que « Tout accepter », conformément à la doctrine de la CNIL. Les cookies ne sont déposés qu’après action positive. Distinguez clairement cookies essentiels (sans consentement) et non essentiels.

4. Prospection commerciale par e-mail (B2C)

J’accepte de recevoir par e-mail les offres commerciales de [Société] concernant [type de produits/services]. Je peux retirer ce consentement à tout moment (lien de désinscription dans chaque message).

Pourquoi ça marche : la prospection électronique vers des particuliers suppose un opt-in préalable et spécifique. Distinguez-le d’une simple inscription à un service. Pour comprendre la frontière, voir opt-in / opt-out et le régime de la prospection commerciale.

5. Données sensibles (exemple : donnée de santé)

Je consens expressément à ce que [Société] traite les données de santé que je communique, dans le seul but de [finalité précise, ex. adapter la prestation]. Ces données ne seront pas transmises à des tiers sans mon accord. Je peux retirer ce consentement à tout moment.

Pourquoi ça marche : les données sensibles exigent un consentement explicite (Art. 9(2)(a)) : une mention dédiée, une finalité étroite, aucun regroupement avec d’autres traitements. Appliquez aussi le principe de minimisation : ne collectez que le strict nécessaire.

6. Programme bêta / test produit

J’accepte de participer au programme bêta de [Produit]. Je comprends que mes retours, mes données d’usage et [préciser] seront analysés pour améliorer le produit, pendant la durée du test. Je peux quitter le programme et retirer mon consentement à tout moment.

Pourquoi ça marche : la finalité (amélioration produit via données d’usage) est explicite et bornée dans le temps. Précisez les catégories de données collectées pendant le test pour rester spécifique et éclairé.

7. Partage des données avec des partenaires

J’accepte que [Société] transmette mes coordonnées à ses partenaires [nommer les catégories de partenaires] afin qu’ils m’adressent leurs offres. Ce consentement est indépendant de mon inscription et peut être retiré à tout moment.

Pourquoi ça marche : le partage à des tiers est une finalité distincte qui exige son propre consentement, séparé de l’inscription au service. Nommer les catégories de destinataires est indispensable au caractère éclairé.

Erreurs qui invalident un consentement

Erreur Critère violé Correction
Case pré-cochée Univoque Case vide, action positive requise
Une case pour plusieurs finalités Spécifique Une case par finalité
Service conditionné à un consentement marketing Libre Découpler service et marketing
Information vague ou absente Éclairé Identité, finalités, durée, droits, retrait
Retrait plus difficile que l’octroi Art. 7(3) Lien de désinscription en un clic
Aucune trace conservée Art. 7(1) Registre des consentements horodaté

La preuve du consentement (article 7)

Obtenir le consentement ne suffit pas : il faut pouvoir le démontrer. Votre documentation doit permettre de reconstituer quatre éléments :

  • Qui a consenti (identifiant de la personne) ;
  • Quand (date et heure, horodatage) ;
  • Comment (canal : formulaire web, bannière, double opt-in) ;
  • À quoi (la version exacte du texte présenté et des cases proposées).

Conservez donc non seulement le fait du consentement, mais aussi le libellé précis affiché au moment de l’accord. Ces éléments trouvent naturellement leur place dans votre registre des traitements et dans un registre des consentements dédié. En cas de retrait, gardez également la trace de la date de retrait. Cette rigueur documentaire est ce que la CNIL examine en premier lors d’un contrôle sur ce point, et son absence expose à des sanctions.

Gestion technique et retrait

Un formulaire conforme n’est que le début : les choix exprimés doivent être respectés dans tous vos systèmes.

  • Enregistrement fiable et centralisé. Chaque case cochée doit produire un enregistrement horodaté, associé à la version du texte présenté.
  • Plateforme de gestion du consentement (CMP). Pour les cookies notamment, une CMP centralise les préférences, applique le refus et alimente le registre des consentements.
  • Retrait effectif. Prévoyez un processus qui propage réellement le retrait (désinscription, arrêt du traçage) rapidement, conformément à l’article 12 sur la facilité d’exercice des droits.
  • Renouvellement. Si les finalités évoluent de façon notable, sollicitez un nouveau consentement plutôt que d’étendre l’ancien.

Lorsque le volume de consentements et de retraits devient important, un logiciel RGPD permet d’industrialiser leur traçabilité et de relier chaque preuve à la finalité concernée.

Checklist avant mise en ligne

  • [ ] Une case distincte et non pré-cochée par finalité.
  • [ ] Identité du responsable (et du DPO le cas échéant) indiquée.
  • [ ] Finalités décrites concrètement, pas de mention vague.
  • [ ] Durée de conservation précisée ou déterminable.
  • [ ] Lien de retrait aussi simple que l’octroi.
  • [ ] Consentement explicite pour les données sensibles.
  • [ ] Bouton « Tout refuser » au même niveau que « Tout accepter » pour les cookies.
  • [ ] Enregistrement horodaté du consentement et de la version du texte.
  • [ ] Processus de retrait qui propage réellement la décision.

Ce qu’il faut retenir

  • Le consentement doit être libre, spécifique, éclairé et univoque — les quatre critères sont cumulatifs.
  • Ce n’est qu’une base légale parmi six : vérifiez qu’elle est bien la bonne avant de rédiger un formulaire.
  • Une case par finalité, jamais pré-cochée ; le partage à des tiers et le marketing exigent leur propre consentement.
  • Les données sensibles requièrent un consentement explicite et une finalité étroite.
  • Conservez la preuve (qui, quand, comment, quel texte) : la charge pèse sur vous.

FAQ

Faut-il toujours un consentement pour traiter des données personnelles ?

Non. Le consentement n’est qu’une des six bases légales. Un traitement peut reposer sur l’exécution d’un contrat, une obligation légale, l’intérêt légitime, etc. Le consentement devient obligatoire surtout pour la prospection électronique B2C, les données sensibles et les cookies non essentiels.

Une case pré-cochée est-elle valable ?

Non. Une case pré-cochée ne constitue pas un acte positif clair : elle viole le critère d’univocité. La personne doit cocher elle-même une case vide, cliquer sur « J’accepte » ou accomplir une autre action positive. Le silence et l’inaction ne valent jamais consentement.

Peut-on regrouper plusieurs finalités dans un seul consentement ?

Non. Le consentement doit être spécifique : chaque finalité distincte (newsletter, prospection, partage à des partenaires) requiert sa propre case. Un consentement « groupé » couvrant plusieurs usages est non conforme.

Comment prouver qu’un consentement a bien été recueilli ?

En conservant, pour chaque consentement, l’identité de la personne, la date et l’heure (horodatage), le canal de recueil et la version exacte du texte présenté. Ces éléments constituent la preuve exigée par l’article 7, dont la charge pèse sur le responsable de traitement.

Le retrait du consentement doit-il être facile ?

Oui. L’article 7(3) impose que le retrait soit aussi simple que l’octroi. Si l’on s’inscrit en un clic, on doit pouvoir se désinscrire en un clic. Un retrait effectif doit en outre se propager dans vos systèmes (arrêt des envois, du traçage), et il ne remet pas en cause la licéité du traitement antérieur.

Comment recueillir le consentement d’un mineur ?

En France, pour les services en ligne, un mineur peut consentir seul à partir de 15 ans. En deçà, le consentement doit être donné ou autorisé par le titulaire de l’autorité parentale, et le responsable de traitement doit faire des efforts raisonnables pour vérifier cette autorisation, en tenant compte des moyens techniques disponibles.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →