Recommandation adoptée le 18 décembre 2025 proposant des modalités pratiques de mise en conformité du consentement multi-terminaux
La CNIL vient de publier la version définitive de ses recommandations relatives au recueil du consentement multi-terminaux pour les cookies et autres traceurs. Adopté le 18 décembre 2025, ce texte prend la forme d’un amendement à la recommandation préexistante de la CNIL sur les cookies, afin d’encadrer les mécanismes de recueil du consentement confrontés à la généralisation des usages multi-écrans.
Champ d’application : limité aux univers authentifiés
La CNIL encadre le consentement multi-terminaux dans un périmètre clairement défini : celui des univers authentifiés, c’est-à-dire les situations dans lesquelles un utilisateur se connecte à un même compte depuis plusieurs terminaux (ordinateur, smartphone, tablette, télévision connectée, etc.).
En dehors de ces environnements « logués », le mécanisme de consentement multi-terminaux n’a pas vocation à s’appliquer.
Principes du consentement multi-terminaux
Le consentement multi-terminaux repose sur une logique de centralisation des choix au niveau du compte, et non plus du terminal : lorsqu’un utilisateur authentifié exprime un consentement, un refus ou procède à un retrait de consentement, ce choix peut être automatiquement répercuté sur l’ensemble des terminaux à partir desquels il se connecte à ce même compte. L’objectif est de garantir une cohérence des préférences de l’utilisateur et d’éviter la répétition systématique des fenêtres de recueil du consentement sur chaque appareil.
À titre de bonne pratique, l’autorité encourage toutefois les acteurs à proposer aux utilisateurs un moyen d’appliquer des choix distincts selon les terminaux, via par exemple un centre de préférences dédié au sein du compte. Cette approche vise à tenir compte de la diversité des contextes d’usage (ex. : terminaux personnels ou professionnels).
La CNIL rappelle également que la mise en place d’un consentement multi-terminaux est facultative. Elle ne constitue en aucun cas une obligation pour les responsables de traitement.
Des conditions strictes pour garantir la validité du consentement
La mise en œuvre d’un consentement multi-terminaux suppose le respect de plusieurs conditions cumulatives :
- Unité et cohérence des choix : si le consentement peut être donné de manière globale pour plusieurs terminaux, le refus et le retrait doivent bénéficier de la même portée. Il n’est donc pas possible de globaliser uniquement le consentement, sans offrir une symétrie parfaite pour les autres choix.
- Information préalable renforcée : l’utilisateur doit être informé, avant toute décision, du fait que son choix sera appliqué à l’ensemble des terminaux connectés au même compte. À défaut, le consentement ne pourrait être considéré comme éclairé.
- Traçabilité et intelligibilité : l’information doit apparaître dès le premier niveau de la plateforme de gestion du consentement (CMP). Elle doit également être rappelée lors de la première connexion depuis un nouveau terminal, par exemple au moyen d’un bandeau d’information éphémère.
L’articulation délicate entre univers authentifiés et non authentifiés
La CNIL consacre une part importante de ses recommandations à la gestion des situations de contradiction entre les choix exprimés avant et après authentification.
Lorsqu’un utilisateur exprime des préférences sur un terminal en univers non authentifié, puis se connecte à un compte disposant déjà de choix enregistrés, deux modalités – exclusives l’une de l’autre – peuvent être retenues :
- Soit donner priorité au dernier choix exprimé, c’est-à-dire celui formulé avant l’authentification sur le nouveau terminal.
- Soit donner priorité aux choix associés au compte, les préférences antérieures propres au terminal n’étant alors pas reprises.
Dans tous les cas, l’utilisateur doit être clairement informé de l’existence de cette contradiction, des effets de la modalité retenue et des moyens mis à sa disposition pour modifier ses choix.
Par ailleurs, la CNIL insiste sur un principe fondamental : les choix effectués en univers authentifié ne doivent pas impacter les choix préexistants en univers non authentifié, notamment afin de tenir compte du fait que plusieurs utilisateurs peuvent se partager un même terminal. Cette exigence implique d’être en mesure de distinguer les usages authentifiés et non authentifiés d’un même appareil, ce qui peut s’avérer opérationnellement complexe.
Points d’attention opérationnels
Plusieurs précisions complémentaires méritent l’attention des acteurs :
- Le passage à un mécanisme de consentement multi-terminaux impose de recueillir un nouveau choix. Un consentement antérieur, qui n’informait pas l’utilisateur de cette portée multi-terminaux, ne peut être réutilisé.
- Le responsable du traitement doit éviter de partager avec ses sous-traitants, notamment les CMP, des identifiants bruts relatifs à des utilisateurs authentifiés. La CNIL recommande le recours à des identifiants techniques pseudonymisés.
Ces recommandations s’inscrivent dans la continuité du travail engagé de longue date par la CNIL en matière d’encadrement des pratiques liées aux cookies et autres traceurs. Elles illustrent la volonté de l’autorité d’affiner progressivement son cadre de référence afin de couvrir les différents cas d’usage. La CNIL devrait désormais passer rapidement à une phase de contrôles portant sur ces nouveaux mécanismes de consentement multi-terminaux.
Enfin, l’autorité annonce d’ores et déjà la poursuite de ses travaux en 2026 sur le consentement multi-propriétés (cross-domain), qui viserait à permettre un recueil unique du consentement valable pour plusieurs sites ou médias appartenant à un même groupe.
