RGPD : le consentement dans les CGU est-il valide ?

De nombreuses petites entreprises supposent que si un client clique sur « j'accepte » dans leurs conditions générales d'utilisation, elles ont couvert leurs bases légales pour l'utilisation des données personnelles. Selon le blog juridique néerlandais Ius Mentis, rédigé par Arnoud Engelfriet, cette hypothèse est erronée.

Ce que la loi exige réellement

Selon Ius Mentis, le RGPD rend légalement impossible l'obtention d'un consentement valide pour l'utilisation de données personnelles via des conditions générales. La raison est simple : le RGPD exige que le consentement soit spécifique. Une clause enfouie dans un ensemble de conditions générales ne satisfait presque jamais à cette exigence.

L'article de blog, publié le 2 avril 2026, pointe spécifiquement vers l'article 7(2) du RGPD. Selon Ius Mentis, cet article exige que toute demande de consentement soit présentée sous une forme clairement distincte, compréhensible et en langage clair, séparée des autres sujets. Une clause juridique glissée dans une page de conditions standard ne satisferait apparemment jamais à cette exigence.

La conséquence pratique, selon le blog, est que vous ne pouvez pas éviter d'utiliser une case à cocher distincte. Et cette case à cocher doit être spécifique. Une déclaration générale telle que « nous pouvons utiliser vos données » ne suffit pas. La finalité et le destinataire doivent être clairement indiqués.

Qu'en est-il des données non personnelles ?

Ius Mentis établit une distinction entre les données personnelles et les données non personnelles. Pour les données non personnelles, le blog note qu'un règlement européen connu sous le nom de Data Act, introduit en 2025, fixe certaines limites à ce que les prestataires de services peuvent faire. Cependant, l'auteur du blog note qu'il n'existe pas encore de jurisprudence sur ces dispositions, de sorte que la situation pratique pour les données non personnelles reste moins établie.

Cet article se concentre sur les données personnelles, où les règles sont, selon Ius Mentis, claires et strictes.

Les conditions générales peuvent être contestées

Le blog souligne également un point qu'il est facile de négliger. En droit civil néerlandais, les clauses abusivement contraignantes peuvent être écartées. Selon Ius Mentis, le principe juridique en Europe n'est pas « vous auriez dû lire les conditions et éviter le service ». Il se rapproche davantage de « les clauses inhabituelles ou illicites dans les conditions générales ne sont pas contraignantes ». C'est une protection significative pour les consommateurs, et un risque significatif pour les entreprises dont les conditions vont trop loin.

En France, la CNIL est l'autorité compétente pour contrôler le respect de ces exigences en matière de consentement, et la Loi Informatique et Libertés encadre l'application du RGPD au niveau national.

Pour un examen approfondi de ce que le RGPD exige de votre entreprise, consultez la liste de contrôle de conformité au RGPD et le guide sur les exigences en matière de politique de confidentialité.

Qu'est-ce que cela signifie pour votre site web ?

Si votre site web collecte des données personnelles et que vous vous appuyez sur vos conditions générales pour couvrir le consentement, cette approche n'est pas légalement valide sous le RGPD. Vous avez besoin d'un mécanisme de consentement distinct et spécifique, tel qu'une case à cocher clairement libellée, qui explique exactement ce pour quoi vous demandez l'autorisation. Examiner votre configuration actuelle par rapport aux exigences du RGPD pour les petites entreprises est une prochaine étape pratique.