La Cnil attaque l’année en se positionnant sur la gestion du consentement dans les environnements connectés. Le choix donné par un utilisateur ne s’applique plus seulement à un appareil, mais à l’ensemble de ses terminaux dès lors qu’il est connecté à son compte. Une évolution qui oblige les acteurs de la publicité en ligne à revoir en profondeur leur manière d’informer, de collecter et de gérer le consentement.
La Commission nationale de l’informatique et des libertés (Cnil) poursuit ses efforts de pédagogie en matière de publicité en ligne. Elle a récemment publié une recommandation sur ce qu’elle appelle le consentement multi-terminaux (cross-device), c’est-à-dire un système qui applique un même choix de consentement aux traceurs publicitaires sur tous les appareils d’un utilisateur connecté à son compte.
Autrement dit, le consentement n’est plus rattaché au terminal mais à l’identité de l’utilisateur via son compte.
A travers cette nouvelle doctrine, l‘ohbjectif est d’aider les acteurs à recueillir un consentement conforme aux exigences du RGPD, indique l’organisme français de protection des données.
Plusieurs appareils pour un même individu
Si la Commission souhaite se positionner clairement sur ce sujet, c’est qu’il correspond à la réalité du terrain. En effet, aujourd’hui, les services numériques fonctionnent autour du compte utilisateur. Les personnes utilisent simultanément leur téléphone, leur ordinateur ainsi que divers objets connectés.
Dans ce contexte, maintenir un consentement strictement local par terminal devient artificiel. En pratique, de nombreux acteurs ont déjà commencé à synchroniser les préférences entre appareils. Souvent sans cadre juridique clair.
L’information de l’utilisateur au coeur des exigences
La première exigence posée par la Cnil est l’information. L’utilisateur doit savoir, avant de consentir, que son choix s’appliquera à tous ses terminaux. Cette information doit apparaître dès le premier niveau de la plateforme de gestion du consentement (consent management platform, CMP). A défaut, le consentement est invalide.
La deuxième exigence concerne l’égalité de traitement entre acceptation et refus. Autrement dit, si le consentement peut s’appliquer à tous les terminaux, alors le refus ou le retrait doivent eux aussi avoir la même portée globale.
La troisième exigence porte sur l’apparition d’un bandeau d’information après authentification sur un nouvel appareil. Lorsque l’utilisateur se connecte pour la première fois à son compte sur un appareil donné, il doit être informé que les choix rattachés à son compte sont appliqués à ce terminal. A noter que ce bandeau n’est pas un nouveau recueil du consentement, c’est une information.
Gérer les conflits entre terminal et compte utilisateur
De plus, la Cnil pose un cadre clair autour de la gestion des contradictions entre un terminal et un compte. Il s’agit du cas dans lequel un utilisateur exprime un choix différent de celui enregistré sur son compte. Le responsable du traitement doit alors gérer cette contradiction.
Deux modèles sont ainsi présentés : soit le dernier choix exprimé écrase celui du compte, soit le choix du compte reste prioritaire. Les deux sont juridiquement possibles. Ce qui compte, ce n’est pas le modèle choisi mais que l’utilisateur soit informé de ce qui se passe et qu’il comprenne quel choix est effectivement appliqué.
Sur ce point, la recommandation encourage les acteurs à converger vers une modalité commune afin d’éviter la confusion entre services.
Protéger la pluralité des usages
La cinquième exigence concerne la séparation stricte entre univers authentifié et univers non authentifié. Le consentement multi terminaux ne s’applique que lorsque l’utilisateur est connecté à son compte. Les choix rattachés au compte ne doivent jamais affecter la navigation anonyme sur un terminal partagé. Par exemple, l’ordinateur familial ou la télévision du foyer ne doivent pas hériter silencieusement des préférences d’un utilisateur authentifié ailleurs.
La recommandation rappelle également l’obligation de minimisation des données : lorsque le consentement multi-terminaux repose sur une plateforme de gestion du consentement, l’identifiant réel du compte ne doit jamais être transmis au prestataire. A la place, il convient d’utiliser un identifiant technique.
La Commission prend aussi position sur la mise en place d’un centre de préférences. Elle encourage comme bonne pratique le fait de permettre à l’utilisateur de gérer des préférences différentes via un tel outil. L’idée étant, pour l’utilisateur, de pouvoir faire des choix différenciés par terminal.
De futurs travaux sur le consentement cross domain
Cette nouvelle doctrine n’est qu’un point d’étape. La Cnil annonce qu’elle lancera en 2026 des travaux sur le recueil du consentement dit “multi-propriétés” (cross domain). Il s’agit de la possibilité de collecter un consentement unique pour plusieurs sites, notamment lorsqu’ils appartiennent à un même groupe.
L’enjeu est de limiter la multiplication des demandes de consentement, en particulier dans les groupes de presse ou les univers multimarques. La recommandation sera soumise à consultation publique.
