Source: Ius Mentis
De nombreuses petites entreprises supposent que si un client clique sur « j'accepte » dans leurs conditions générales d'utilisation, elles ont couvert leurs bases légales pour l'utilisation des données personnelles. Selon le blog juridique néerlandais Ius Mentis, rédigé par Arnoud Engelfriet, cette hypothèse est erronée.
Selon Ius Mentis, le RGPD rend légalement impossible l'obtention d'un consentement valide pour l'utilisation de données personnelles via des conditions générales. La raison est simple : le RGPD exige que le consentement soit spécifique. Une clause enfouie dans un ensemble de conditions générales ne satisfait presque jamais à cette exigence.
L'article de blog, publié le 2 avril 2026, pointe spécifiquement vers l'article 7(2) du RGPD. Selon Ius Mentis, cet article exige que toute demande de consentement soit présentée sous une forme clairement distincte, compréhensible et en langage clair, séparée des autres sujets. Une clause juridique glissée dans une page de conditions standard ne satisferait apparemment jamais à cette exigence.
La conséquence pratique, selon le blog, est que vous ne pouvez pas éviter d'utiliser une case à cocher distincte. Et cette case à cocher doit être spécifique. Une déclaration générale telle que « nous pouvons utiliser vos données » ne suffit pas. La finalité et le destinataire doivent être clairement indiqués.
Scan gratuit couvrant le RGPD, le droit d'auteur, l'accessibilité, la sécurité et plus encore.
Lancer le check gratuitUne juridiction européenne a précisé que les entreprises peuvent, dans certaines circonstances, refuser une demande d'accès aux données personnelles (DSAR) même s'il s'agit de la toute première demand
Ius Mentis établit une distinction entre les données personnelles et les données non personnelles. Pour les données non personnelles, le blog note qu'un règlement européen connu sous le nom de Data Act, introduit en 2025, fixe certaines limites à ce que les prestataires de services peuvent faire. Cependant, l'auteur du blog note qu'il n'existe pas encore de jurisprudence sur ces dispositions, de sorte que la situation pratique pour les données non personnelles reste moins établie.
Cet article se concentre sur les données personnelles, où les règles sont, selon Ius Mentis, claires et strictes.
Le blog souligne également un point qu'il est facile de négliger. En droit civil néerlandais, les clauses abusivement contraignantes peuvent être écartées. Selon Ius Mentis, le principe juridique en Europe n'est pas « vous auriez dû lire les conditions et éviter le service ». Il se rapproche davantage de « les clauses inhabituelles ou illicites dans les conditions générales ne sont pas contraignantes ». C'est une protection significative pour les consommateurs, et un risque significatif pour les entreprises dont les conditions vont trop loin.
En France, la CNIL est l'autorité compétente pour contrôler le respect de ces exigences en matière de consentement, et la Loi Informatique et Libertés encadre l'application du RGPD au niveau national.
Pour un examen approfondi de ce que le RGPD exige de votre entreprise, consultez la liste de contrôle de conformité au RGPD et le guide sur les exigences en matière de politique de confidentialité.
Si votre site web collecte des données personnelles et que vous vous appuyez sur vos conditions générales pour couvrir le consentement, cette approche n'est pas légalement valide sous le RGPD. Vous avez besoin d'un mécanisme de consentement distinct et spécifique, tel qu'une case à cocher clairement libellée, qui explique exactement ce pour quoi vous demandez l'autorisation. Examiner votre configuration actuelle par rapport aux exigences du RGPD pour les petites entreprises est une prochaine étape pratique.
L'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, ou AP) sollicite des contributions publiques sur un projet de politique d'application, selon une annonce publiée sur le
La Commission Nationale de l'Informatique et des Libertés (CNIL) a publié son rapport annuel 2025 le 2 avril 2026, donnant un aperçu de ses travaux de contrôle et de ses priorités au cours de l'année