Avis aux éditeurs et aux développeurs ! Publiée au Journal officiel du 18 janvier 2026, la délibération n° 2025-131 de la CNIL modifie la recommandation « cookies et autres traceurs ». Elle offre désormais un cadre clair pour l’implémentation du consentement cross-device en univers authentifié. Voici ce qu’il faut retenir.
Jusqu’à présent, le consentement était majoritairement rattaché au terminal (via un cookie local). La CNIL accompagne désormais l’évolution du marché vers le consentement multi-terminaux, permettant d’appliquer les choix d’un utilisateur à l’ensemble de ses équipements (desktop, mobile, Smart TV, consoles) dès lors qu’il est connecté à son compte.
1. Le périmètre : L’univers authentifié uniquement
Le consentement multi-terminaux est facultatif. S’il est mis en œuvre, il ne concerne que les environnements où l’utilisateur est logué.
- Contrainte technique : Le fait d’être authentifié ne dispense en rien du recueil de consentement.
- Extension : La recommandation s’étend au-delà du web classique et englobe les assistants vocaux, les véhicules connectés et l’Internet des Objets (IoT).
2. Les exigences de l’implémentation (Privacy by Design)
Pour les développeurs et éditeurs de CMP (Consent Management Platforms), trois règles d’or s’imposent :
- Symétrie des choix : Si le consentement est synchronisé sur tous les terminaux, le refus et le retrait du consentement doivent l’être exactement dans les mêmes conditions.
- Information « Premier Niveau » : La portée multi-terminaux doit être mentionnée dès l’affichage de la bannière de consentement initiale. L’utilisateur doit savoir, avant de cliquer, que son choix « le suivra » sur ses autres appareils.
- Le bandeau de feedback : Lors de la connexion sur un nouveau terminal, la CNIL recommande l’affichage d’un bandeau éphémère (toast ou notification) confirmant que les choix associés au compte ont été appliqués.
3. Gestion des conflits : Offline vs Online
C’est le point critique pour les développeurs. Que faire si un utilisateur refuse les cookies sur son navigateur (anonyme), puis se connecte à un compte où il les avait acceptés ? La CNIL identifie deux routes :
| Modalité | Logique technique | Impact Utilisateur |
| Modalité 1 | Le choix local (le plus récent) écrase les réglages du compte. | Assure que le dernier choix exprimé est respecté partout. |
| Modalité 2 | Les choix du compte prévalent sur le choix local. | Nécessite de distinguer strictement le tracking « logué » du tracking « non-logué ». |
Attention : Dans les deux cas, vous devez informer l’utilisateur de la résolution de cette contradiction de manière explicite.
4. Sécurité et minimisation des données
La CNIL pose une limite stricte sur l’échange de données avec vos prestataires (AdTech, CMP) :
- Interdiction des ID en clair : Ne transmettez jamais l’identifiant de compte (email, pseudo) au prestataire de votre CMP.
- Pseudonymisation systématique : Vous devez substituer un identifiant technique pour permettre la réconciliation des terminaux sans exposer l’identité de l’utilisateur.
5. Migration et conformité de l’existant
Si vous disposez déjà d’un parc d’utilisateurs ayant consenti sur un terminal unique, vous ne pouvez pas « transformer » ce consentement en consentement multi-terminaux de manière automatique.
L’obligation : Pour passer au cross-device, vous devez recueillir un nouveau consentement, car l’utilisateur n’avait pas été informé initialement de cette portée globale.
Vers une personnalisation par terminal ?
En guise de bonne pratique, la CNIL encourage les éditeurs à proposer, dans le centre de préférences, une option permettant de différencier ses choix par terminal. Un utilisateur pourrait ainsi accepter le tracking sur son ordinateur de bureau mais le refuser sur sa télévision connectée.
