Obtenir un « oui » visible ne protège pas toujours votre conformité RGPD. L’autorité exige en effet que le responsable de traitement démontre, documents à l’appui, que chaque accord repose sur un processus valide. Sans preuve rigoureuse, le traitement devient illégal. Découvrons comment mettre en place une traçabilité complète, proportionnée et pérenne.
1) La charge de la preuve : une obligation légale, pas un simple conseil
D’abord, l’article 7 §1 du RGPD place clairement la charge de la preuve sur le responsable de traitement : il doit montrer, dossier en main, que la personne a consenti au traitement de ses données personnelles. Cette règle tranche avec l’ancienne loi de 1978 qui restait muette sur les modalités de vérification.
Aujourd’hui, lors d’un contrôle CNIL ou d’une réclamation, le responsable ne peut plus se contenter d’une déclaration d’intention. Il doit produire des éléments concrets : horodatage précis, version du formulaire, trace technique de l’action positive et copie des informations fournies au moment de l’accord. Cette exigence s’étend aussi à toute réutilisation des données initialement collectées grâce au consentement ; si vous relancez une base pour un nouveau projet marketing, vous devez prouver que l’accord couvre bien cette finalité ou que vous avez demandé un nouvel accord.
Ensuite, la jurisprudence confirme la sévérité du régime. La CJUE a rappelé, dans l’affaire Planet49, que le doute profite toujours à la personne : si le responsable ne démontre pas la validité de l’accord, celui‑ci est réputé inexistant.
De son côté, la CNIL aligne ses décisions : en 2023 elle a sanctionné un grand fournisseur d’énergie pour absence de journaux fiables et défaut de copie des écrans utilisés au moment du clic. L’amende, pourtant infligée sans fuite de données, rappelle que la traçabilité du consentement constitue un pilier autonome de la conformité RGPD.
2) Liberté des moyens, mais respect strict du principe de minimisation
Cependant il n’y a pas qu’une seule solution technique. Le responsable de traitement reste libre de choisir ses outils, qu’il s’agisse d’une plate‑forme CMP, d’un journal interne, d’un système de signature électronique ou d’un module d’archivage dédié. Cette souplesse encourage l’innovation, mais elle s’accompagne d’un devoir : ne collecter que les informations nécessaires pour établir la preuve. Le principe de minimisation exige que chaque donnée enregistrée serve directement à démontrer la validité de l’accord et rien de plus. Conserver l’adresse IP complète quand un hachage suffirait peut déjà poser problème.
Dans la pratique, bâtir un dispositif proportionné suppose une analyse fine des risques : nature des données, sensibilité, volume d’utilisateurs, fréquence de mise à jour. Pour un site vitrine qui ne dépose que deux cookies facultatifs, un simple journal d’horodatage couplé aux captures d’écran des bandeaux pourra suffire.
Pour une application de santé qui recueille des données sensibles, la preuve devra être renforcée : double validation, horodatage sécurisé, hash des signatures et historique chiffré des mentions d’information. Chaque responsable, épaulé par son DPO, documente ces choix dans le registre des traitements. En cas de doute, il explique pourquoi un élément est conservé ou, au contraire, écarté pour respecter la minimisation. Cette justification écrite nourrit la responsabilité proactive exigée par l’article 5 §2.
3) Un accord limité : la spécificité protège contre les dérives de finalité
Cependant, prouver l’existence d’un clic ne suffit pas.
Le RGPD impose aussi de démontrer que le consentement respecte les cinq conditions vues dans l’article 2 : action univoque, liberté réelle, finalité spécifique, information éclairée, et, si besoin, accord explicite.
La preuve doit donc éclairer le contexte. D’abord, elle montre la version exacte du texte présenté à l’utilisateur : identité du responsable, finalité, durée de conservation, droit de retrait. Cette copie peut prendre la forme d’une capture d’écran ou d’un hachage daté du code source. Ensuite, elle rattache sans ambiguïté la personne à l’accord : identifiant unique, compte client, signature numérique. Elle précise aussi la méthode : case à cocher, bouton, signature manuscrite numérisée. Enfin, elle enregistre la date et l’heure, car le consentement peut perdre sa validité si le responsable modifie les finalités sans avertir.
Cette approche globale répond aux questions que posent les contrôleurs : qui ? quoi ? quand ? comment ? pourquoi ? Elle s’applique à tous les canaux, qu’ils soient numériques ou physiques. Un commerçant recueille un accord papier pour l’envoi d’offres ? Il doit scanner le formulaire, archiver la version de la notice d’information et indexer la montée en CRM via un identifiant. Un service public sollicite le consentement pour publier une photo ? Il enregistre la version signée, l’heure et conserve la fiche informative. Dans chaque cas, la preuve se construit dès la conception du processus, non en urgence après une plainte.
4) Un consentement éclairé, et parfois explicite, grâce à une information transparente
Enfin, la traçabilité ne se limite pas à l’instant T de la collecte. Les preuves doivent rester accessibles, lisibles et sécurisées tout au long du cycle de vie des données. Une conservation trop courte empêche la défense ; une conservation illimitée viole la minimisation. Le responsable détermine donc une durée cohérente avec la finalité.
Pour la prospection, la CNIL recommande trois ans après le dernier contact ; pour un programme de fidélité, elle conseille la durée de la relation commerciale plus un délai de prescription. Au terme, les informations techniques liées à la preuve doivent être archivées sous forme anonymisée ou supprimées.
Parallèlement, le responsable de traitement met en place des audits périodiques. Il vérifie l’intégrité des journaux, teste la lisibilité des preuves et contrôle la cohérence entre les versions de mentions d’information archivées et celles diffusées en ligne. Il évalue aussi la performance de ses sous‑traitants.
L’article 28 RGPD impose à ces prestataires de conserver leurs propres preuves et de les fournir sur demande. Sans cette vigilance, un manquement du sous‑traitant rejaillit sur le client, comme l’illustre une récente sanction italienne : 26,5 millions d’euros pour un consentement groupé mal tracé par un intermédiaire data. À chaque révision, le DPO consigne les résultats, propose des correctifs et veille à l’amélioration continue. Cette boucle qualité transforme la preuve du consentement en outil de gouvernance et non en archivage figé.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
