Cookies et consentement multi-terminaux : la CNIL fixe le cadre

Après une consultation publique et l’analyse des retours du marché, la CNIL a publié en janvier 2026 ses recommandations finales sur le consentement multi-terminaux (« cross-device »). Pour les directions juridiques et marketing, l’enjeu est double : se conformer à un cadre strict, tout en évitant les pièges opérationnels et les risques de sanction.  

Un consentement unique, mais sous conditions

Dans ses recommandations, la CNIL autorise explicitement le recueil d’un consentement unique pour l’utilisation de traceurs sur l’ensemble des terminaux connectés à un même compte utilisateur. Cette pratique vise à limiter la « fatigue du consentement », particulièrement dans les écosystèmes multimarques ou les groupes de presse.  

Il s’agit toutefois d’une faculté, et non d’une obligation : la CNIL fixe le cadre applicable lorsque les acteurs choisissent de déployer un tel mécanisme.

Cependant (et contrairement à la position défendue par certains acteurs lors de la consultation ouverte en avril 2025), la CNIL encadre strictement ce mécanisme : il n’est valable que dans un « univers authentifié ».

Autrement dit, l’utilisateur doit être connecté à un compte personnel, et ses choix doivent être rattachés à ce compte, et non à un terminal spécifique. Le consentement multi-terminaux n’est donc pas un raccourci permettant de mutualiser les choix à grande échelle : il s’agit d’une faculté conditionnée, qui repose sur un lien direct et traçable entre le compte et les préférences exprimées.

L’intervention de la CNIL vise à mettre en cohérence les pratiques de traçage en ligne avec le cadre juridique existant, en déclinant les principes du RGPD et de la directive ePrivacy dans un scénario spécifique : celui du multi-terminaux. Les recommandations apportent des précisions opérationnelles, notamment concernant deux piliers de la protection des données :

  • L’information doit rester adaptée aux contraintes d’affichage… tout en étant complète et compréhensible. La CNIL introduit ici un point clé : le caractère multi-terminal du consentement doit être mentionné dès le premier niveau d’information. En pratique, cela implique aussi un second temps d’information : lorsqu’un terminal n’a pas encore été relié au compte, l’utilisateur doit être informé après l’authentification, via un bandeau éphémère.

Ce bandeau doit notamment indiquer, le cas échéant, si des choix associés au compte ont déjà été enregistrés ou modifiés et si une contradiction existe entre les préférences enregistrées sur le terminal et celles rattachées au compte.  

Concrètement, cela signifie qu’un nouveau composant d’interface devra être prévu dans de nombreux parcours utilisateurs : un bandeau d’information post-authentification, distinct du bandeau de consentement.

  • Le consentement éclairé et découlant d’un acte positif, qui impose une vigilance particulière lors de la transition vers un mécanisme multi-terminaux. La CNIL précise en effet qu’un consentement exprimé sur un terminal donné, avant le passage à une gestion multi-terminaux, ne peut pas être automatiquement considéré comme valide pour d’autres terminaux. La logique est simple : si l’utilisateur n’a pas été informé de la portée multi-terminaux de son choix au moment où il l’a exprimé, alors ce choix ne peut pas être « étendu » par défaut.

Quand les préférences ne coïncident pas : comment trancher sans risque ?

La CNIL s’est penchée sur un point qui a divisé les acteurs interrogés lors de la consultation : que faire lorsque, avant authentification, un utilisateur exprime sur un terminal des choix différents de ceux déjà enregistrés au niveau de son compte ?

La CNIL envisage deux options :

  • Option n°1 : les choix formulés sur le terminal avant l’authentification écrasent ceux enregistrés au sein du compte. Les nouveaux choix deviennent alors la référence et s’appliquent à l’ensemble des terminaux connectés au compte.

Cette option présente un avantage opérationnel fort : elle garantit que le dernier choix exprimé par l’utilisateur est celui qui prévaut, indépendamment du support utilisé.

  • Option n°2 : les choix enregistrés au sein du compte prévalent sur ceux formulés sur le terminal avant l’authentification. Dans ce scénario, la préférence « compte » l’emporte sur la préférence « terminal », ce qui revient à considérer que la dernière fenêtre de recueil affichée (et validée dans un univers authentifié) doit primer.

Mais cette modalité suppose une conséquence technique importante : il faut être en mesure de distinguer le suivi de navigation selon que l’utilisateur est authentifié ou non, par exemple via deux cookies et/ou identifiants différents.

Il revient aux responsables de traitement de choisir la modalité qu’ils souhaitent appliquer. La CNIL encourage toutefois les acteurs concernés à faire émerger une approche commune, afin de faciliter la compréhension du dispositif par les utilisateurs, quel que soit le site ou l’application visitée.

Les écueils opérationnels : fatigue du consentement, dark patterns involontaires et gestion des comptes partagés

A la lecture de ces recommandations, nous identifions déjà plusieurs écueils opérationnels possibles :  

  • Le risque de « dark patterns » involontaires : la CNIL rappelle que le consentement doit être aussi facile à retirer qu’à donner. Or, la synchronisation des choix entre terminaux peut, si elle est mal conçue, rendre le retrait plus complexe pour l’utilisateur. Par exemple, un utilisateur qui refuse les cookies sur mobile doit pouvoir le faire tout aussi facilement sur desktop, sans avoir à naviguer dans des menus cachés.

Les acteurs doivent veiller à ne pas créer de déséquilibre entre la facilité de consentir et celle de refuser ou de retirer son consentement.

  • La fatigue du consentement et l’expérience utilisateur : la multiplication des rappels et bandeaux éphémères, bien que requis par la CNIL, peut nuire à l’expérience utilisateur et générer une lassitude chez les consommateurs. Le risque de voir les utilisateurs cliquer systématiquement sur « accepter » pour faire disparaître les notifications pourrait aller à l’encontre de l’esprit du RGPD.

  • La gestion des comptes partagés ou familiaux : la CNIL insiste sur le fait que les choix de consentement ne doivent pas impacter les autres utilisateurs d’un même terminal non authentifiés au même compte. Cela pose un défi technique pour les plateformes, notamment dans les foyers où plusieurs personnes utilisent les mêmes appareils.

Le consentement multi-terminaux représente une mise en conformité importante, mais aussi une nouvelle étape de complexité opérationnelle pour les responsables de traitement. Ce n’est ni un gadget juridique, ni un simple réglage de Consent Management Platform : c’est un élément structurant de votre stratégie de conformité des traceurs. À ce titre, il mérite d’être intégré dans une approche globale de gouvernance des données plutôt que traité comme une contrainte isolée.

Nos recommandations : avant d’intégrer un consentement multi-terminaux, il est essentiel de vous assurer que vous êtes en mesure :

  • d’implémenter une gestion de l’information multi-niveaux adaptée et conforme,
  • de gérer les contradictions de choix entre les différents espaces,
  • de tracer ces différents choix,
  • de garantir la simplicité du retrait de tout consentement, quel que soit le terminal utilisé.

Pour toute question ou besoin d’accompagnement, n’hésitez pas à contacter notre équipe IT/Data.

Caroline Chancé, avocate associée et Victoire Grosjean, avocate collaboratrice

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
3 février 2026
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité