Modèles & templates Publié le 15 mai 2026 · Lecture : 11 min

Modèle de consentement RGPD 2026 : 10 exemples gratuits (case à cocher, opt-in, formulaire)

En bref : un consentement RGPD valide (article 7) doit respecter 4 conditions simultanées : libre, spécifique, éclairé, univoque (acte positif). Les 3 erreurs les plus fréquentes : case pré-cochée (interdit depuis Planet49 CJUE 2019), consentement groupé pour plusieurs finalités, chantage (« accepter pour accéder »). 10 modèles concrets prêts à copier-coller plus bas : formulaire de contact, newsletter, inscription compte, bandeau cookies, lead magnet, candidature RH, devis B2B, données santé, mineurs, événement.

Le consentement RGPD, c'est la base légale la plus utilisée (et la plus mal utilisée) dans les formulaires français. Sur 100 sites audités en 2025, 73% avaient au moins un consentement non conforme — case pré-cochée, formulation floue, ou consentement noyé dans un texte interminable.

« En cochant cette case vous acceptez nos conditions » — cette formulation, présente sur des milliers de sites français, est illégale dans 90% des cas. Pourquoi : elle mélange consentement RGPD + acceptation contractuelle + politique marketing dans une seule case. La CNIL a déjà sanctionné 12 entreprises pour ce motif en 2024.

Cet article te donne 10 modèles de consentement RGPD prêts à copier-coller, couvrant tous les cas standards d'un site web :

Les 4 conditions du consentement valable selon l'article 7 RGPD
10 modèles concrets (formulaire de contact, newsletter, inscription, cookies, données sensibles, mineurs, B2B, candidatures…)
3 erreurs qui rendent ton consentement nul (et sanctionnable)
Comment recueillir et conserver la preuve du consentement

Les 4 conditions du consentement RGPD valable (article 7)

Le consentement n'est valide que s'il remplit simultanément les 4 conditions suivantes. Manquer une seule = consentement nul et infraction.

✓ Libre

L'utilisateur doit pouvoir refuser sans subir de conséquence. Exemple d'infraction : conditionner l'accès à un service à l'acceptation de la newsletter (sauf si la newsletter EST le service).

✓ Spécifique

Un consentement = une finalité. Tu ne peux pas regrouper « cookies + newsletter + partage partenaires » dans une seule case. Il faut une case par finalité (ou un mécanisme de granularité).

✓ Éclairé

L'utilisateur doit savoir exactement à quoi il consent : quelles données, pour quoi, partagées avec qui, conservées combien de temps. Pas de jargon, pas de phrases ambiguës.

✓ Univoque (acte positif)

Le consentement doit résulter d'une action positive et explicite. Case pré-cochée = interdit. Inscription = consentement implicite = interdit. Il faut un clic, une coche, une signature.

Les 10 modèles de consentement (copier-coller)

Formulaire de contact (simple)

Cas le plus fréquent — quelqu'un te contacte via le formulaire de ton site.

Email * Message *

J'ai lu et j'accepte la politique de confidentialité. Mes données sont utilisées uniquement pour répondre à ma demande et seront supprimées au bout de 3 ans sans nouvelle interaction. *

Pourquoi ça marche : finalité précise (« répondre à ma demande »), durée explicite (« 3 ans »), lien vers la politique complète, case non pré-cochée, astérisque indiquant l'obligation.

Inscription newsletter (opt-in pur)

Pour un abonnement newsletter — finalité unique = pas de case obligatoire mais informer reste indispensable.

Votre email

Je m'abonne à la newsletter de [Société] et accepte de recevoir 1 email par semaine. Je peux me désinscrire à tout moment via le lien en bas de chaque email. Voir la politique de confidentialité.

Pourquoi ça marche : fréquence annoncée (« 1 email par semaine »), mention du désabonnement, lien vers la politique. Tu peux aussi remplacer la case par un bouton « S'inscrire » seul — Plus simple et conforme.

Inscription compte (multi-finalités)

Création d'un compte utilisateur sur un site/SaaS — différencier le compte (contrat) et la newsletter (consentement).

Email * Mot de passe *

J'accepte les CGU et la politique de confidentialité de [Société]. *

Je souhaite recevoir la newsletter mensuelle (1 email/mois, désabonnement en 1 clic).

Pourquoi ça marche : séparation claire entre contrat (CGU + politique, obligatoires) et consentement (newsletter, optionnel et non pré-coché). Inscrire sans la newsletter doit fonctionner.

Bandeau cookies (CMP avec granularité)

Le cas le plus surveillé par la CNIL en 2024-2025 — 100+ amendes sur ce point.

🍪 Ce site utilise des cookies

Nous utilisons des cookies pour analyser notre audience (Plausible) et améliorer le service. Vos données ne sont pas partagées avec des tiers commerciaux.

Pourquoi ça marche : les boutons « accepter » et « refuser » ont le même niveau visuel (taille, position). « Refuser » n'est pas caché derrière « Personnaliser ». Le contenu est bloqué tant qu'aucun choix n'est fait (sauf cookies strictement nécessaires).

Téléchargement lead magnet (ebook, guide PDF)

Stratégie d'inbound marketing — récupérer un email contre un contenu.

Email * Prénom *

J'accepte de recevoir le guide PDF par email et de recevoir 5 emails de conseils complémentaires sur [sujet] sur 2 semaines. Désabonnement possible à tout moment. *

Je souhaite recevoir également la newsletter commerciale mensuelle (1 email/mois).

Pourquoi ça marche : le consentement explicite à la séquence email (5 emails sur 2 semaines) est obligatoire car ce n'est pas la finalité initiale du téléchargement. La newsletter est optionnelle, donc séparée.

Formulaire de candidature (RH)

Recrutement — données sensibles potentielles (CV, photo, parfois nationalité).

Nom * Email * CV (PDF) *

J'accepte que [Société] traite mes données (nom, email, CV) pour étudier ma candidature au poste de [poste]. Mes données seront supprimées après 2 ans en cas de non-recrutement (ou avant à ma demande). *

J'accepte que ma candidature soit conservée dans la CVthèque pour des opportunités futures pendant 2 ans maximum.

Pourquoi ça marche : consentement spécifique au poste demandé (obligatoire) séparé du consentement CVthèque (optionnel). La durée de 2 ans est l'recommandation CNIL standard pour les candidatures non retenues.

Demande de devis B2B

Contact commercial entreprise — base légale possible : intérêt légitime + consentement spécifique pour la prospection.

Email pro * Entreprise * Téléphone *

Je demande un devis et j'accepte d'être recontacté par [Société] dans les 7 jours par email ou téléphone. *

J'accepte de recevoir des informations commerciales sur les produits/services connexes de [Société] (max 1 email/mois).

Pourquoi ça marche : consentement spécifique au rappel commercial (puisque c'est l'objet du formulaire), consentement séparé pour la prospection ultérieure. En B2B, le consentement à la prospection email reste obligatoire selon la CNIL depuis 2023 — fini l'opt-out.

Formulaire santé / données sensibles

Consentement explicite obligatoire pour les données sensibles (santé, opinions, religion, sexualité, biométrie).

Nom * Email * Symptômes ressentis *

Consentement explicite (article 9 RGPD) — J'accepte expressément que mes données de santé (symptômes décrits ci-dessus) soient traitées par [Société] dans le cadre exclusif de ma consultation médicale. Mes données sont hébergées chez un hébergeur agréé HDS et conservées 20 ans (obligation légale médicale). *

Pourquoi ça marche : mention explicite de l'article 9 RGPD, hébergeur HDS (obligatoire santé), durée légale (20 ans pour médical), consentement séparé du reste du formulaire — la jurisprudence européenne exige cette distinction visuelle.

Inscription mineur (avec accord parental)

Sites/services dirigés vers les mineurs (en France, l'âge minimum RGPD est 15 ans).

Mon âge *

⚠️ Tu as moins de 15 ans ? Demande à un parent de cocher la case ci-dessous.

En tant que titulaire de l'autorité parentale, j'autorise l'inscription de mon enfant sur [Société] et j'accepte la politique de confidentialité. Je suis conscient que je peux retirer cette autorisation à tout moment. *

Email du parent *

Pourquoi ça marche : double mécanisme — le mineur déclare son âge, l'autorité parentale donne le consentement explicite. La CNIL recommande aussi de vérifier l'identité parentale (lien email avec code de confirmation) pour les services à risque.

Inscription événement / webinaire

Évènement gratuit ou payant — souvent un moment où on glisse trop de consentements.

Prénom * Email * Entreprise (optionnel)

Je m'inscris au webinaire « [Titre] » du [date]. Je recevrai le lien de connexion + un rappel 24h avant. *

J'accepte de recevoir le replay et les supports associés à l'événement (1-2 emails max).

J'accepte de recevoir la newsletter de [Société] et d'être contacté pour de futurs événements.

Pourquoi ça marche : granularité fine — 3 consentements séparés (participation = obligatoire, replay = optionnel, newsletter = optionnel). L'utilisateur peut participer sans recevoir aucun email commercial.

Les 3 erreurs qui rendent ton consentement nul

Erreur 1 — La case pré-cochée

Toujours en tête des sanctions CNIL. La CJUE (arrêt Planet49, 2019) a définitivement tranché : pré-cocher une case n'est PAS un consentement. Même si techniquement l'utilisateur peut décocher, ce n'est pas un acte positif au sens du RGPD. Amendes en 2024 : Sephora 250 000€, Cdiscount 100 000€.

Fix : toutes les cases doivent être vides par défaut. L'utilisateur DOIT cocher activement.

Erreur 2 — Le consentement groupé

« En soumettant ce formulaire, j'accepte la politique de confidentialité, la newsletter, le partage avec nos partenaires, et les cookies analytiques. » Un seul consentement pour 4 finalités différentes = nul. La CNIL exige une case par finalité.

Fix : séparer chaque finalité (politique de confidentialité = obligatoire, contractuel ≠ consentement ; newsletter = case 1 ; partage partenaires = case 2 ; cookies = bandeau séparé).

Erreur 3 — Le consentement obtenu par chantage

« Pour accéder à ce contenu, vous devez accepter notre newsletter. » Sauf cas particulier (le contenu EST la newsletter), c'est une infraction à la liberté du consentement. La CNIL a sanctionné plusieurs médias français pour ce motif en 2024.

Fix : l'accès au service ne doit jamais dépendre d'un consentement marketing. Le service de base doit être accessible sans consentement non-essentiel.

Comment recueillir et conserver la preuve du consentement

L'article 7.1 RGPD impose que tu puisses prouver que le consentement a été obtenu. En cas de contrôle CNIL ou de litige, c'est à toi d'apporter la preuve, pas à l'utilisateur de prouver qu'il n'a pas consenti.

Éléments à conserver pour chaque consentement :

Date et heure du consentement (timestamp)
IP de l'utilisateur (ou hash si tu veux minimiser)
Texte exact de la case cochée (au moment T)
Page/formulaire sur lequel le consentement a été donné
Identifiant utilisateur (email ou ID interne)
Version de la politique de confidentialité en vigueur au moment T

Concrètement, dans ta base de données, ajoute une table consents avec ces colonnes. À chaque clic « Je m'abonne / J'accepte », tu insères une ligne. Stockage minimum recommandé : 5 ans après la fin de la relation (CNIL).

Si tu utilises un CMP (Tarteaucitron, Cookiebot, Axeptio, Didomi…), il génère automatiquement un « consent receipt » stocké côté serveur. Vérifie qu'il l'active réellement — beaucoup d'implémentations par défaut ne stockent pas les preuves.

Vérifie tes formulaires en 30 secondes

VeriSite scanne ton site, identifie tous tes formulaires (contact, newsletter, inscription) et vérifie la conformité de chaque consentement : case pré-cochée, mention obligatoire, lien vers la politique, granularité. Rapport actionnable immédiat.

Lancer un scan gratuit

FAQ : consentement RGPD

Le consentement est-il obligatoire pour TOUT traitement de données ?

Non. Le consentement est une des 6 bases légales du RGPD (article 6). Les autres : exécution d'un contrat, obligation légale, intérêt vital, mission de service public, intérêt légitime. Tu choisis la base la plus adaptée. Pour une commande e-commerce, la base est le contrat (pas le consentement). Pour une newsletter ou des cookies analytiques, c'est le consentement.

Combien de temps un consentement reste-t-il valable ?

La CNIL recommande de renouveler le consentement tous les 13 mois pour les cookies, et tous les 3 ans environ pour les newsletters (en fonction de l'engagement). Un consentement obtenu il y a 10 ans sur une donnée jamais utilisée depuis = présomption d'invalidité.

Faut-il un consentement pour les emails de prospection B2B en France ?

Oui depuis 2023. La CNIL applique maintenant le RGPD strictement : même en B2B, prospecter par email un contact pro nécessite son consentement préalable (opt-in). Exception : si la personne est cliente active et que tu lui parles de produits/services analogues à ceux qu'elle a achetés (« soft opt-in »).

Une case cochée par défaut sur un site américain est-elle valide en France ?

Non. Si tu cibles le marché français (en français, livraison FR, paiement EUR), le RGPD s'applique indépendamment de la localisation du serveur. Une case pré-cochée sur un site US qui sert des Français = infraction RGPD.

Le « clic sur un bouton » suffit-il comme consentement ?

Oui si le texte du bouton et l'environnement sont clairs. Exemple valide : un bouton « Je m'abonne à la newsletter » placé clairement, avec mention de la finalité juste au-dessus. Exemple invalide : un bouton « Continuer » qui en réalité valide une newsletter cachée dans les CGV.

Faut-il garder la preuve du consentement même si l'utilisateur se désabonne ?

Oui — pendant au moins 5 ans après la désinscription. La preuve sert à démontrer que tu avais une base légale pour traiter les données avant la désinscription. Sans cette preuve, en cas de litige sur un email envoyé il y a 2 ans, tu es présumé fautif.

Quel outil utiliser pour automatiser le recueil du consentement sur mon site ?

Pour les cookies : un CMP comme Tarteaucitron (français, gratuit, open-source) ou Axeptio (français, freemium). Pour les formulaires : le mieux est d'ajouter le code de logging directement dans ton backend (PHP/Python/Node) au moment de la soumission. Pour un site WordPress : plugins comme Complianz ou WP GDPR Cookie Notice.