Cases pré-cochées illégales sous le RGPD: guide Belgique

Cette case sur votre page de commande qui dit « Oui, envoyez-moi des e-mails marketing » et qui arrive déjà cochée ? Elle ne constitue pas un consentement valable. Ce n'est plus le cas depuis octobre 2019, quand la plus haute juridiction de l'UE a tranché la question. Les autorités de contrôle trouvent pourtant encore des cases pré-cochées sur des sites partout en Europe.

Une case pré-cochée est illégale sous le RGPD. Si vous collectez des inscriptions à votre newsletter, des opt-ins marketing ou tout autre consentement à la communication via des cases pré-cochées, vous collectez un consentement qui ne compte pas. Chaque e-mail envoyé sur la base de ce consentement est donc potentiellement une violation du RGPD. Un scan gratuit vérifie chaque formulaire de votre site pour exactement ce problème.

Voici ce qui s'est passé, pourquoi c'est important et ce que vous devez changer.

L'arrêt Planet49 expliqué

En octobre 2019, la Cour de justice de l'Union européenne (CJUE) a rendu son arrêt dans l'affaire C-673/17, connue comme l'affaire Planet49. Une société allemande de loterie en ligne appelée Planet49 organisait un jeu promotionnel où les utilisateurs devaient saisir leurs coordonnées pour participer. Sur le formulaire de participation figurait une case pré-cochée qui consentait à recevoir de la publicité de partenaires par e-mail et SMS.

Les juridictions allemandes ont saisi la CJUE pour savoir si des cases pré-cochées constituent un consentement valable au regard du droit de l'UE.

La réponse de la Cour était sans ambiguïté : non.

La CJUE a jugé que le consentement exige une manifestation active de la volonté de l'utilisateur. Une case pré-cochée que l'utilisateur doit décocher pour refuser n'est pas une manifestation active. C'est l'inverse. Elle présume le consentement sauf si la personne agit pour le retirer. Ce n'est pas ainsi que fonctionne le consentement sous le RGPD.

Cet arrêt n'a pas créé de droit nouveau. Il a confirmé ce que l'article 4, point 11, du RGPD disait déjà. Le consentement doit être une « manifestation de volonté, libre, spécifique, éclairée et univoque ». Une case pré-cochée échoue au test de l'« univoque » parce que le silence ou l'inaction n'est pas un consentement.

Ce qui compte comme un consentement actif

Après Planet49, la ligne est claire. L'utilisateur doit accomplir une action délibérée pour s'inscrire. Concrètement :

• Une case non cochée que l'utilisateur coche lui-même
• Un bouton « s'abonner » clair où la personne saisit son e-mail et clique pour confirmer
• Le double opt-in avec un e-mail de confirmation (la référence absolue)

Ce qui ne compte pas : les cases pré-cochées, le consentement groupé caché dans des conditions générales, les mentions « en utilisant ce site, vous acceptez... » et toute configuration où l'utilisateur doit agir pour refuser plutôt que pour accepter.

Où les cases pré-cochées se cachent encore

On pourrait croire que tout cela serait corrigé partout depuis longtemps. L'arrêt Planet49 date d'il y a plus de six ans. Mais les cases pré-cochées restent étonnamment fréquentes. Voici où elles se cachent :

Les pages de commande. Le coupable le plus fréquent. Une case du type « Envoyez-moi des offres et des nouveautés » arrive pré-cochée pendant le checkout. Le client est concentré sur son achat et ne la remarque pas.

Les formulaires de création de compte. Une case pré-cochée inscrit les utilisateurs au marketing pendant qu'ils sont concentrés sur la configuration de leur compte.

Les formulaires de contact. Une case « Envoyez-moi votre newsletter » pré-cochée sur un formulaire de contact. La personne voulait poser une question, pas s'abonner à des e-mails.

Les formulaires de réservation. Les systèmes de réservation de restaurants, les agendas de rendez-vous et les pages de réservation d'hôtel incluent souvent un consentement marketing pré-coché.

Le consentement cookies lié au marketing. Certains bandeaux cookies regroupent le consentement aux e-mails marketing avec les préférences cookies. Si la case marketing est pré-cochée dans le bandeau, ce consentement est invalide.

Case pré-cochée vs activation par défaut dans les paramètres

Il existe un problème voisin qui prend les entreprises au dépourvu. Les pages de paramètres de compte où les préférences marketing sont activées par défaut.

Imaginons qu'un client crée un compte. Sa page de paramètres affiche des préférences de notification avec des interrupteurs pour « E-mails promotionnels », « Offres de partenaires » et « Nouveautés produits », tous activés. Le client n'a jamais visité cette page de paramètres. Il n'a jamais choisi de recevoir quoi que ce soit.

C'est fonctionnellement identique à une case pré-cochée. La valeur par défaut est « activé » et l'utilisateur doit agir pour la désactiver. Les mêmes principes de consentement s'appliquent. L'utilisateur n'a pas activement choisi de recevoir du marketing, vous n'avez donc pas de consentement valable.

La solution : réglez toutes les préférences marketing sur « désactivé » par défaut. Laissez les utilisateurs s'inscrire quand ils le souhaitent.

L'application par l'APD et le contexte belge

Les autorités de protection des données partout en Europe ont sanctionné des violations liées au consentement pré-coché. En tant qu'entreprise belge, l'APD est votre principal risque d'application. La ligne APD du tableau ci-dessous est la plus concrète parce qu'elle est la plus pertinente pour vous.

Le schéma est cohérent. Les autorités ne traitent pas les cases pré-cochées comme une zone grise. L'arrêt Planet49 a réglé la question. Si vos cases sont pré-cochées, vous êtes en infraction.

Comment l'APD traite les plaintes et ce qu'il faut consigner

Si un visiteur ou un concurrent signale votre case pré-cochée à l'APD, la plainte est transmise à la Chambre Contentieuse. La Chambre Contentieuse peut prononcer des avertissements, des injonctions de mise en conformité du traitement, des interdictions temporaires ou définitives de traitement et des amendes administratives. Les amendes pour violation du RGPD peuvent atteindre 20 millions EUR ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Pour les petites entreprises, l'APD commence généralement par une injonction corrective avec un délai, pas par une amende immédiate. Mais si vous ne corrigez pas le problème dans le délai, l'application s'intensifie. La décision 85/2022 contre Roularta montre que la Chambre Contentieuse est prête à aller jusqu'à une amende de 50 000 EUR lorsque des avertissements préalables restent sans suite.

Les entreprises belges qui collectent le consentement en français et en néerlandais ont une obligation supplémentaire. Si votre texte d'opt-in ou le libellé de votre case apparaît dans une langue et que l'APD le juge peu clair ou trompeur, les deux versions linguistiques sont examinées. L'obligation belge en matière de pratiques du marché vis-à-vis des consommateurs (SPF Économie) signifie que votre texte de consentement doit être clair dans la langue utilisée par le client. Un visiteur francophone de Wallonie qui voit un libellé de case uniquement en néerlandais n'est pas valablement informé. Si vous opérez de part et d'autre de la frontière linguistique, testez vos formulaires dans chaque variante linguistique que vous présentez aux utilisateurs.

Il existe aussi un angle de droit de la consommation. L'article 22 de la directive 2011/83/UE relative aux droits des consommateurs interdit les options par défaut, comme les cases pré-cochées, pour tout paiement supplémentaire au-delà du prix convenu. Si un supplément a été accepté via une option par défaut au lieu d'un consentement exprès, le consommateur a droit au remboursement. En Belgique, c'est le SPF Économie qui veille au respect de ces règles de consommation, en parallèle de l'APD pour le volet données personnelles.

La tenue de registres compte. L'article 7, paragraphe 1, du RGPD vous impose de démontrer qu'un consentement valable a été obtenu. Pour les entreprises belges, cela signifie conserver un journal avec : le libellé exact présenté à l'utilisateur au moment du consentement, l'horodatage et l'adresse IP de l'opt-in, et la version du formulaire en usage à ce moment. Si l'APD demande une preuve, une lacune dans ce registre est traitée comme une absence totale de consentement. Votre fournisseur d'e-mailing ou votre CRM devrait capturer cela automatiquement. Si ce n'est pas le cas, corrigez cela avant tout le reste.

Comment auditer vos formulaires

Passez en revue chaque formulaire de votre site qui collecte un consentement marketing, quel qu'il soit. Voici ce qu'il faut vérifier :

1. Ouvrez chaque formulaire dans une session de navigateur vierge. Ne vous connectez pas d'abord. Voyez le formulaire comme un nouveau visiteur le verrait.

2. Examinez chaque case à cocher. Une case est-elle pré-cochée ? Si oui, corrigez-la. Chaque case de consentement marketing doit démarrer décochée.

3. Vérifiez votre tunnel de commande. Ajoutez un article au panier et parcourez tout le processus de checkout. Cherchez les opt-ins newsletter ou marketing présélectionnés.

4. Vérifiez la création de compte. Créez un compte de test. Des préférences de communication sont-elles sélectionnées par défaut ?

5. Vérifiez vos formulaires de réservation et de contact. Remplissez-les comme un client le ferait. Cherchez les cases de consentement cachées.

6. Vérifiez les paramètres par défaut des comptes. Créez un compte et allez immédiatement dans les paramètres de notification. Les préférences marketing sont-elles sur « activé » avant que l'utilisateur n'y touche ?

7. Vérifiez votre fournisseur d'e-mailing. Certains ESP ont des réglages qui ajoutent automatiquement des contacts depuis vos formulaires web. Assurez-vous que les contacts ne sont ajoutés que lorsqu'ils ont activement donné leur accord.

Vous pouvez aussi lancer un scan gratuit pour repérer les problèmes de consentement courants sur votre site, y compris l'analyse des formulaires et les vérifications du consentement cookies.

Pourquoi certaines entreprises continuent

Certaines entreprises savent que les cases pré-cochées posent problème mais continuent de les utiliser. Le raisonnement est généralement : « Notre taux de conversion pour les inscriptions newsletter chute de 80 % quand nous décochons la case. »

C'est probablement vrai. Les cases pré-cochées génèrent plus d'inscriptions parce que la plupart des gens ne prennent pas la peine de les décocher. C'est exactement le problème, et exactement pourquoi elles ne valent pas consentement.

Voici pourquoi le risque n'en vaut pas la peine :

Ces abonnés ne veulent pas de vos e-mails. Ils n'ont pas choisi de s'inscrire. Les taux d'ouverture seront bas, les taux de désabonnement élevés et les plaintes pour spam nuiront à votre délivrabilité. Vous dépenserez de l'argent à envoyer des e-mails à des gens qui les ignorent.

Toute votre liste pourrait être invalidée. Si une autorité de protection des données enquête et constate que votre mécanisme de consentement est invalide, elle peut vous ordonner de cesser entièrement d'utiliser la liste. Des années de contacts collectés, envolées.

Les amendes sont réelles. Elles ne visent pas que les grandes entreprises. Des petites entreprises partout en Europe ont été sanctionnées pour exactement ce problème. Une amende plus la suppression forcée de votre liste fait bien plus mal qu'un taux de conversion newsletter plus bas.

Un opt-in correct construit une meilleure liste. Les gens qui choisissent activement de s'abonner sont ceux qui lisent vraiment vos e-mails, cliquent sur vos liens et achètent vos produits. Une liste de 500 abonnés engagés vaut mieux qu'une liste de 5 000 personnes qui ignoraient s'être inscrites.

Les mêmes principes de consentement qui s'appliquent aux bandeaux cookies s'appliquent ici. Un consentement actif, éclairé et libre. Pas de raccourcis. Si vous gérez une boutique en ligne, les cases pré-cochées au checkout ne sont qu'une exigence parmi d'autres. Consultez notre checklist de conformité pour webshops belges pour la vue d'ensemble.

Ce qu'il faut faire maintenant

Décochez vos cases. Toutes. Chaque case de consentement marketing sur votre site doit démarrer à l'état décoché. Ce n'est pas optionnel.

Si vous avez collecté du consentement via des cases pré-cochées, envisagez une campagne de re-consentement. Envoyez à votre liste existante un e-mail demandant de confirmer activement qu'ils veulent continuer à recevoir vos e-mails. Vous perdrez des abonnés, mais vous garderez ceux qui comptent et vous serez sur un terrain juridique solide.

Pour un examen plus approfondi de la bonne gestion du consentement newsletter, lisez notre guide sur l'inscription à la newsletter et le RGPD. Et si vous vous demandez si votre bandeau cookies suit les mêmes règles de consentement, la réponse est oui. L'affaire Planet49 s'applique autant aux cookies qu'au consentement marketing.

Scannez votre site gratuitement pour vérifier vos formulaires, votre consentement cookies et d'autres problèmes de conformité.

FAQ

Les cases pré-cochées sont-elles illégales sous le RGPD ?

Oui. La CJUE a jugé dans l'affaire Planet49 (C-673/17) que les cases pré-cochées ne constituent pas un consentement valable en droit de l'UE. Le consentement doit être une action affirmative et active de l'utilisateur. Une case qui démarre cochée et que l'utilisateur doit décocher pour refuser n'est pas un consentement valable. Cela s'applique aux inscriptions newsletter, aux e-mails marketing, aux cookies et à tout autre traitement nécessitant un consentement.

Que se passe-t-il si j'ai utilisé des cases pré-cochées ?

Tout consentement collecté via des cases pré-cochées est invalide. Vous n'avez donc pas de base juridique pour envoyer des e-mails marketing à ces contacts. Corrigez immédiatement vos formulaires pour que toutes les cases de consentement démarrent décochées. Pour votre liste existante, envisagez un e-mail de re-consentement demandant aux abonnés de confirmer activement qu'ils veulent continuer à recevoir vos messages. Les contacts qui ne confirment pas doivent être supprimés.

Cela s'applique-t-il aussi aux e-mails B2B ?

Les exigences de consentement s'appliquent à tout traitement de données personnelles sous le RGPD. Si vous collectez des adresses e-mail de personnes physiques (même dans un contexte professionnel) via un formulaire avec une case marketing pré-cochée, ce consentement est invalide. L'e-mail B2B suit des règles parfois différentes autour de l'intérêt légitime dans certains pays, mais une case pré-cochée ne vaut consentement valable nulle part dans l'UE.

Puis-je utiliser une case pré-cochée pour les e-mails transactionnels ?

Les e-mails transactionnels (confirmations de commande, suivis d'expédition, réinitialisations de mot de passe) ne nécessitent pas de consentement marketing parce qu'ils sont nécessaires à l'exécution d'un contrat. Vous n'avez besoin d'aucune case pour ceux-ci. Mais vous ne pouvez pas glisser du contenu marketing dans des e-mails transactionnels et prétendre que tout est transactionnel. Si votre confirmation de commande contient une section promotionnelle en bas, cette partie promotionnelle nécessite un consentement en bonne et due forme.

En quoi est-ce différent du soft opt-in ?

Certains pays (comme le Royaume-Uni et les Pays-Bas) autorisent un « soft opt-in » qui permet d'envoyer des e-mails aux clients existants sur des produits similaires sans consentement explicite. Mais le soft opt-in a des conditions strictes : le client doit avoir acheté chez vous, vous ne pouvez écrire que sur des produits similaires et vous devez offrir un désabonnement facile dans chaque e-mail. Les cases pré-cochées sont un sujet entièrement distinct. Elles concernent la manière de collecter le consentement, pas la question de savoir si vous en avez besoin. Même là où le soft opt-in s'applique, des cases pré-cochées sur vos formulaires ne génèrent toujours pas de consentement valable.

Scannez votre site gratuitement et découvrez en quelques minutes si vos formulaires contiennent des cases pré-cochées ou d'autres problèmes de consentement.

Sources

• Règlement (UE) 2016/679, règlement général sur la protection des données (eur-lex.europa.eu)
• CJUE, affaire C-673/17 Planet49, cases de consentement pré-cochées (curia.europa.eu)
• Directive 2002/58/CE, directive vie privée et communications électroniques (eur-lex.europa.eu)
• Directive 2011/83/UE relative aux droits des consommateurs, article 22 (eur-lex.europa.eu)
• Autorité de protection des données, décision 85/2022, Roularta, cases cookies pré-cochées (gegevensbeschermingsautoriteit.be)
• Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ejustice.just.fgov.be)

---

Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.