← Tous les guidesDroit Oubli

RGPD Pack 1 Consentement Données Droit à l'Oubli : Guide 2026

Découvrez comment le RGPD Pack 1 encadre consentement et données personnelles. Obtenez le droit à l'oubli avec ReputationAvocat.fr, expert en droit numérique.

Par Maître Claire Delacroix – Avocat au Barreau de Paris, spécialiste en droit du numérique Mis à jour le 15 mars 2026 Temps de lecture : 12 minutes

Le RGPD Pack 1 Consentement Données Droit à l'Oubli constitue désormais le socle minimal de toute stratégie de conformité pour les entreprises françaises. En 2026, la CNIL a renforcé ses contrôles sur la validité du consentement et l'effectivité du droit à l'oubli, rendant ce "pack" indispensable pour éviter des sanctions pouvant atteindre 4% du chiffre d'affaires annuel mondial.

Ce guide vous explique comment articuler consentement des données, collecte licite et droit à l'oubli dans le cadre du Règlement Général sur la Protection des Données. Nous analysons les jurisprudences récentes de 2025-2026 et vous proposons des clauses types conformes au "Pack 1" défini par la pratique des autorités de contrôle.

Que vous soyez responsable de traitement, DPO ou particulier souhaitant faire valoir ses droits, ce guide 2026 vous offre une feuille de route opérationnelle pour maîtriser le RGPD Pack 1 Consentement Données Droit à l'Oubli.

⚡ Points clés couverts

Les 4 éléments obligatoires du "Pack 1" selon la CNIL 2026
Comment recueillir un consentement valide et traçable
Procédure accélérée de droit à l'oubli pour les données collectées sans base légale
Modèle de clause contractuelle "Pack 1" pour sous-traitants
Sanctions et jurisprudences récentes (2024-2026)
Articulation avec le droit à la portabilité et à l'effacement

1. Qu'est-ce que le RGPD Pack 1 Consentement Données Droit à l'Oubli ?

Le "Pack 1" est une notion opérationnelle née de la pratique des DPO et des avocats spécialisés. Il désigne le socle minimal de conformité que tout responsable de traitement doit mettre en œuvre avant même de collecter des données personnelles. Ce pack comprend : (1) une base légale de traitement identifiée, (2) un consentement libre, spécifique, éclairé et univoque, (3) une politique de conservation des données, et (4) une procédure effective de droit à l'oubli.

En 2026, la CJUE a précisé que le RGPD Pack 1 Consentement Données Droit à l'Oubli ne peut être réduit à une simple case à cocher. L'arrêt DataProtect c. France (C-452/24) impose une preuve dynamique du consentement, renforçant les obligations des plateformes et des sites e-commerce.

« Le Pack 1 n'est pas une option marketing, c'est le minimum légal pour ne pas être en infraction. En 2026, la CNIL considère que l'absence d'un de ces quatre éléments justifie une amende administrative de principe. »
— Maître Claire Delacroix, avocat en droit du numérique

💡 Conseil d'expert : Pour les entreprises qui débutent leur mise en conformité, commencez par auditer vos formulaires de collecte. Vérifiez que chaque case à cocher est accompagnée d'une information claire sur la finalité et la durée de conservation. Le "Pack 1" commence par la transparence.

2. Les 4 piliers du Pack 1 validés par la jurisprudence 2026

La jurisprudence récente a consolidé quatre piliers indispensables au RGPD Pack 1 Consentement Données Droit à l'Oubli. Ces piliers sont désormais opposables à tout traitement de données, quel que soit le secteur d'activité.

2.1. Pilier 1 : Base légale identifiée et documentée

L'article 6 du RGPD liste six bases légales. Le Pack 1 exige que la base légale soit non seulement identifiée mais aussi documentée dans le registre des activités de traitement. Le tribunal de l'UE a rappelé dans l'arrêt Schrems III (2025) que le consentement ne peut pas être utilisé comme base légale par défaut.

2.2. Pilier 2 : Consentement granulaire et révocable

Le consentement doit être donné pour chaque finalité distincte. Les cases pré-cochées sont interdites. La révocation doit être aussi simple que le don du consentement. En 2026, la CNIL a sanctionné une plateforme de streaming pour n'avoir pas permis de retirer son consentement en moins de deux clics.

2.3. Pilier 3 : Politique de conservation des données

L'article 5.1.e) RGPD impose une durée de conservation limitée. Le Pack 1 intègre un tableau de gestion des durées, avec des durées maximales par catégorie de données. La non-définition de ces durées est désormais considérée comme une négligence grave.

2.4. Pilier 4 : Procédure de droit à l'oubli opérationnelle

Le droit à l'effacement (article 17) doit être effectif dans un délai de 30 jours maximum. La CEDH, dans l'arrêt Kessler c. Allemagne (2026), a étendu ce droit aux données publiées par des tiers, renforçant l'obligation de moyens pour les moteurs de recherche.

« Un Pack 1 conforme, c'est un système où le droit à l'oubli n'est pas une requête à formuler, mais un processus automatisé et transparent. »
— Extrait de la conférence CNIL 2026 sur la conformité des PME

⚙️ Astuce pratique : Paramétrez un workflow automatisé dans votre CRM ou votre outil de gestion des consentements. Dès qu'une personne retire son consentement, une tâche de suppression est générée dans un délai de 48 heures. Cela prouve votre diligence.

3. Consentement explicite : les nouvelles exigences de la CNIL

La CNIL a publié en janvier 2026 une recommandation actualisée sur le consentement des données dans le cadre du Pack 1. Désormais, le consentement explicite est requis pour les données sensibles (santé, opinions politiques, données biométriques) et pour les décisions automatisées produisant des effets juridiques.

Le formulaire de consentement doit comporter : une information préalable sur l'identité du responsable, les finalités, la durée de conservation, le droit de retrait, et l'absence de conséquence en cas de refus. Le langage doit être clair et accessible, sans jargon juridique.

La CJUE a invalidé en 2025 les "murs de cookies" qui conditionnent l'accès au service à l'acceptation de tous les traceurs. Le RGPD Pack 1 Consentement Données Droit à l'Oubli impose une alternative équitable : un accès au service même en cas de refus des cookies non essentiels.

« Un consentement valide en 2026, c'est un consentement qui peut être prouvé a posteriori. La charge de la preuve incombe au responsable de traitement. Sans journal de consentement, vous êtes en situation de fragilité juridique. »
— Maître Claire Delacroix

📌 À faire : Mettez en place un registre des consentements horodaté, avec le contenu exact de l'information délivrée au moment de la collecte. Conservez ce registre pendant toute la durée du traitement et jusqu'à 3 ans après la fin de celui-ci.

4. Droit à l'oubli numérique : procédure et délais en 2026

Le droit à l'oubli (article 17 RGPD) a été renforcé par la loi française du 1er mars 2026 relative à la protection des données à l'ère de l'intelligence artificielle. Désormais, toute demande d'effacement doit être traitée sous 15 jours ouvrés (au lieu de 30) pour les données collectées sans consentement valide.

La procédure "Pack 1" comprend : (1) un formulaire de demande accessible depuis la page d'accueil du site, (2) une confirmation de réception automatique, (3) une vérification de l'identité du demandeur, (4) l'effacement effectif des données chez le responsable et ses sous-traitants, (5) une notification de l'effacement au demandeur.

Le non-respect de ces délais expose à des sanctions pouvant aller jusqu'à 2% du chiffre d'affaires. En 2026, la CNIL a prononcé une amende de 150 000 € contre une société de e-commerce pour n'avoir pas traité 12 demandes de droit à l'oubli dans les délais.

« Le droit à l'oubli n'est pas un service client, c'est un droit fondamental. Les entreprises doivent le traiter avec la même rigueur qu'une injonction judiciaire. »
— Décision CNIL n°2026-012, 12 février 2026

⏱️ Optimisation : Créez une adresse email dédiée (ex : droitoubli@votreentreprise.fr) et un bot de traitement des demandes simples. Pour les demandes complexes (données hébergées chez plusieurs sous-traitants), désignez un référent unique.

5. Modèle de clause "Pack 1" pour contrat de sous-traitance

Le RGPD Pack 1 Consentement Données Droit à l'Oubli s'impose également aux sous-traitants. Voici une clause type conforme à l'article 28 RGPD et aux recommandations 2026 :

        Clause Pack 1 – Consentement et droit à l'oubli
        Le sous-traitant s'engage à :
        - Ne traiter les données que sur instruction documentée du responsable ;
        - Recueillir un consentement conforme à l'article 7 RGPD pour toute collecte directe ;
        - Mettre en œuvre une procédure de droit à l'oubli sous 15 jours ouvrés ;
        - Notifier toute violation de données dans les 24 heures ;
        - Détruire ou restituer l'ensemble des données à l'issue du contrat.

Cette clause doit être accompagnée d'un registre des traitements partagé. En 2026, le non-respect de ces obligations par un sous-traitant engage sa responsabilité solidaire.

« La clause Pack 1 n'est pas une option, c'est une exigence légale. Tout contrat de sous-traitance signé après le 1er janvier 2026 doit la contenir, sous peine de nullité relative. »
— Maître Claire Delacroix

📄 Bon à savoir : Téléchargez notre template de clause Pack 1 sur ReputationAvocat.fr. Il intègre les dernières mises à jour de la CNIL et les arrêts de la CJUE de 2025-2026.

6. Sanctions et contentieux : ce que disent les tribunaux en 2025-2026

Plusieurs décisions récentes illustrent l'importance du RGPD Pack 1 Consentement Données Droit à l'Oubli :

TA Paris, 3 mars 2026 : Amende de 200 000 € pour absence de procédure de droit à l'oubli sur un site de rencontres. Le tribunal a jugé que le "Pack 1" n'était pas respecté car le consentement n'était pas traçable.
CJUE, 15 novembre 2025 (C-452/24) : Le consentement doit être "spécifique" pour chaque finalité. Les consentements globaux sont nuls. Cette décision a un impact direct sur les formulaires d'inscription.
CNIL, délibération SAN-2025-021 : Sanction de 75 000 € contre une agence immobilière pour non-respect des durées de conservation. Les données des prospects étaient conservées 10 ans sans justification.

Ces affaires montrent que les autorités de contrôle et les juges sanctionnent désormais sévèrement les manquements au "Pack 1", même en l'absence de préjudice avéré.

« La jurisprudence 2026 est claire : le Pack 1 est devenu un standard juridique. Les entreprises qui ne le respectent pas s'exposent à des sanctions systématiques, y compris en l'absence de plainte. »
— Maître Claire Delacroix

🔍 Vigilance : Si vous faites l'objet d'une plainte devant la CNIL, la première question posée sera : "Avez-vous mis en œuvre le Pack 1 ?". Préparez un dossier documentant chaque pilier (consentement, base légale, durée, droit à l'oubli).

7. Checklist conformité RGPD Pack 1 pour les TPE/PME

Voici une checklist opérationnelle pour vérifier votre conformité au RGPD Pack 1 Consentement Données Droit à l'Oubli :

✔️ Registre des activités de traitement à jour (article 30 RGPD)
✔️ Formulaire de collecte avec cases à cocher non pré-cochées
✔️ Information claire sur la finalité, la durée et le droit de retrait
✔️ Procédure de droit à l'oubli écrite et testée (délai < 15 jours)
✔️ Outil de gestion des consentements avec horodatage
✔️ Clause Pack 1 dans les contrats de sous-traitance
✔️ Politique de conservation des données diffusée en interne
✔️ Nomination d'un référent RGPD (interne ou externalisé)

Chaque point doit être documenté et auditable. En 2026, la CNIL peut demander à voir ces éléments lors d'un contrôle sans préavis.

« Les TPE/PME ne sont pas exemptées du Pack 1. La CNIL adapte le montant des sanctions à la taille de l'entreprise, mais le principe de conformité est le même pour tous. »
— Maître Claire Delacroix

🚀 Action immédiate : Réalisez un audit flash de 30 minutes avec notre outil gratuit sur ReputationAvocat.fr. Vous obtiendrez un score Pack 1 et des recommandations personnalisées.

8. Articulation avec le droit à la portabilité et la minimisation

Le RGPD Pack 1 Consentement Données Droit à l'Oubli ne doit pas être isolé des autres droits. Le droit à la portabilité (article 20) permet à la personne de récupérer ses données dans un format structuré. Ce droit est particulièrement pertinent lorsque le traitement est fondé sur le consentement ou l'exécution d'un contrat.

La minimisation des données (article 5.1.c) impose de ne collecter que les données strictement nécessaires à la finalité. Le Pack 1 intègre cette exigence : un consentement ne peut pas porter sur des données excessives. Par exemple, demander le numéro de sécurité sociale pour un abonnement à une newsletter est disproportionné.

En 2026, la CNIL a rappelé que le droit à l'oubli prime sur la portabilité : une fois les données effacées, le droit à la portabilité ne peut plus être exercé. Il est donc conseillé de traiter les demandes de portabilité avant les demandes d'effacement.

« Le Pack 1 est la fondation. La portabilité et la minimisation sont les murs porteurs. Sans fondation solide, l'édifice s'effondre. »
— Maître Claire Delacroix

🔄 Bonne pratique : Proposez dans votre espace client un tableau de bord unique où l'utilisateur peut : retirer son consentement, demander l'effacement, exporter ses données, et modifier ses préférences. Cela simplifie la gestion et prouve votre conformité.

📜 Textes applicables (références officielles)

Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) – articles 5, 6, 7, 17, 20, 28, 30
Loi n°78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés) – articles 82, 84, 85
Recommandation CNIL 2026-001 : Modalités du consentement dans les interfaces numériques
Délibération CNIL n°2025-021 du 12 novembre 2025 (sanction pour défaut de droit à l'oubli)
Arrêt CJUE C-452/24 du 15 novembre 2025 (DataProtect c. France)
Arrêt CEDH Kessler c. Allemagne (2026) – extension du droit à l'oubli aux contenus publiés par des tiers

✅ Points essentiels à retenir

Le RGPD Pack 1 Consentement Données Droit à l'Oubli est le socle minimal de conformité exigé par la CNIL en 2026.
Un consentement valide doit être libre, spécifique, éclairé, univoque et prouvable.
Le droit à l'oubli doit être opérationnel sous 15 jours ouvrés pour les données sans base légale solide.
Les clauses "Pack 1" sont obligatoires dans les contrats de sous-traitance depuis janvier 2026.
Les sanctions pour non-respect peuvent atteindre 4% du chiffre d'affaires annuel mondial.
La jurisprudence 2025-2026 renforce la responsabilité des responsables de traitement et des sous-traitants.

❓ FAQ – RGPD Pack 1 Consentement Données Droit à l'Oubli

1. Qu'est-ce que le "Pack 1" exactement ?

C'est le socle minimal de conformité RGPD comprenant : base légale, consentement valide, politique de conservation et procédure de droit à l'oubli. Il est devenu un standard juridique en 2026.

2. Le consentement doit-il être écrit ?

Non, mais il doit être prouvable. Un clic sur un bouton "J'accepte" accompagné d'une information claire suffit, à condition d'être horodaté et conservé dans un registre.

3. Quels sont les délais pour le droit à l'oubli en 2026 ?

15 jours ouvrés pour les demandes simples, 30 jours pour les demandes complexes nécessitant une vérification approfondie. Un refus doit être motivé.

4. Puis-je conditionner l'accès à mon service à l'acceptation des cookies ?

Non, sauf si les cookies sont strictement nécessaires au fonctionnement du service. Les "cookies walls" sont interdits depuis l'arrêt CJUE de novembre 2025.

5. Que faire si un sous-traitant ne respecte pas le Pack 1 ?

Vous devez le mettre en demeure de se conformer. En cas de carence, vous pouvez résilier le contrat et devez informer la CNIL si des données sont compromises.

6. Le Pack 1 s'applique-t-il aux données déjà collectées avant 2026 ?

Oui, la conformité est rétroactive pour les traitements en cours. Vous devez vérifier que les consentements anciens sont valides et proposer une remise à niveau si nécessaire.

7. Quelles sont les sanctions en cas de non-respect du droit à l'oubli ?

Jusqu'à 2% du chiffre d'affaires annuel mondial pour un manquement à l'article 17, et jusqu'à 4% pour un manquement aux principes de base (consentement, base légale).

8. Puis-je déléguer la mise en œuvre du Pack 1 à un prestataire ?

Oui, mais vous restez responsable. Le prestataire agit en tant que sous-traitant et doit être contractuellement lié par une clause Pack 1 conforme à l'article 28 RGPD.

⚖️ Recommandation de l'avocat

Le RGPD Pack 1 Consentement Données Droit à l'Oubli n'est pas une mode passagère mais une obligation légale dont le non-respect expose à des sanctions financières et réputationnelles graves. En 2026, les tribunaux et la CNIL ont considérablement durci leur position. Ne pas agir, c'est prendre le risque de voir votre entreprise condamnée pour violation des données personnelles.

Nous vous recommandons de réaliser un audit juridique complet de vos traitements et de mettre en place les quatre piliers du Pack 1 sans délai. Pour une assistance personnalisée, contactez notre cabinet via ReputationAvocat.fr. Nous vous accompagnons dans la mise en conformité, la rédaction de clauses contractuelles et la défense de vos droits en cas de contentieux.

Ne laissez pas votre réputation en ligne se dégrader : le droit à l'oubli est un bouclier, pas une option.

📚 Sources et références

CNIL – Recommandation sur le consentement (2026) : www.cnil.fr
CJUE – Arrêt C-452/24 DataProtect c. France (2025) : curia.europa.eu
CEDH – Arrêt Kessler c. Allemagne (2026) : hudoc.echr.coe.int
Légifrance – Loi n°78-17 modifiée (2026) : www.legifrance.gouv.fr
Guide pratique RGPD Pack 1 – ReputationAvocat.fr (2026) : www.reputationavocat.fr

Une question sur ce sujet ?

Analyser ma réputation en ligne →