Pour la CNIL, le consentement multi-terminaux est possible mais à certaines conditions

One click consent

Alors que certains acteurs du numérique cherchent à recueillir un consentement unique valable sur tous les terminaux, la CNIL publie son projet de recommandation sur le sujet. L'autorité ne s'y oppose pas, mais veut encadrer la pratique.

Martin Clavey

Le 25 avril à 15h16

6 min

Droit

Sites web ou applications mobiles, nous accédons tous à nos services internet via différents terminaux. Mais le consentement que je donne pour accéder à tel site web pour l’utilisation de cookies et traceurs est-il forcément le même quand je le consulte sur mon smartphone perso ou sur mon ordi pro ?

L'utilisateur peut avoir envie de faire la différence alors que certains acteurs du numérique peuvent chercher à recueillir un consentement unique, valable sur tous les terminaux d’un même utilisateur. En effet, cela permet de ne pas lasser avec des demandes intempestives, mais aussi de récolter directement plus de données sur un même utilisateur.

Consciente de cette évolution, la CNIL veut faire évoluer sa recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » qui date de 2020 [PDF]. Elle explique avoir élaboré un projet de recommandation « sur la base d’échanges avec des professionnels et des associations de la société civile », sans pour autant détailler avec quels acteurs elle a discuté.

Appliquer les choix d'un utilisateur sur plusieurs terminaux

Elle présente maintenant ce projet de recommandation [PDF] et invite maintenant tout acteur public ou privé concerné à participer à une consultation publique à partir de ce document.

Elle y définit le consentement multi-terminaux comme « un mécanisme permettant d’appliquer les choix d'un utilisateur concernant la mise en œuvre d’opérations de lecture ou d’écriture d’informations à l’ensemble des environnements (à savoir les terminaux : ordinateur, tablette, ordiphone, télévision connectée, etc., ainsi que le navigateur ou l’application utilisés) à partir desquels il accède à un site web ou une application mobile donnée, sans qu’il ait besoin de les formuler sur chaque terminal ».

Elle précise que « dans le contexte des univers logués [terme utilisé par la CNIL pour qualifier les environnements dans lesquels les utilisateurs sont authentifiés à un compte, ndlr], ces choix ne sont plus rattachés à un terminal mais au compte de l’utilisateur associé au site web ou à l’application mobile ».

« En premier lieu, les choix formulés par les utilisateurs doivent avoir une portée identique », affirme la CNIL. L'autorité explique plus clairement qu' « ainsi, si le consentement peut être donné en une fois pour plusieurs terminaux, il doit en être de même pour le refus ou le retrait du consentement ».

« En second lieu », ajoute l'autorité, « les utilisateurs doivent être informés de la portée du consentement avant de pouvoir exercer leurs choix afin que celui-ci soit éclairé : l’information doit notamment préciser que les choix seront appliqués pour tous les terminaux sur lesquels l’utilisateur du compte est authentifié ».

Elle y explique que « l’information des utilisateurs peut se faire, par exemple, par le biais de la fenêtre de recueil du consentement », et recommande de rappeler la portée des choix effectués, ainsi que la possibilité de les modifier « immédiatement après l’authentification au compte ».

Une contradiction possible dans le consentement, deux modalités de résolution

Dans le document, elle identifie une contradiction possible entre le consentement recueilli avant l'authentification et les choix enregistrés sur son compte. Elle demande au responsable de traiter cette contradiction « d’une façon qui soit claire et loyale vis-à-vis de l’utilisateur ».

Pour aider les responsables de traitement, l'autorité a identifié dans son document deux modalités qui permettent de résoudre cette contradiction :

« Modalité 1 : les choix formulés sur le nouveau terminal avant l’authentification au compte (c’est-à-dire au niveau de la dernière fenêtre de recueil du consentement affichée) écrasent ceux enregistrés précédemment au sein du compte. Les nouveaux choix enregistrés s’appliqueront à l’ensemble des autres terminaux connectés au compte, ce qui présente l’avantage d’assurer que le dernier choix exprimé par l’utilisateur est pris en compte, indépendamment du terminal.

Modalité 2 : les choix enregistrés au sein du compte prévalent sur les choix formulés sur le nouveau terminal avant l’authentification au compte (c’est-à-dire au niveau de la dernière fenêtre de recueil du consentement affichée). Pour être effectif, cette modalité suppose de distinguer le suivi de navigation de l’utilisateur selon qu’il est logué ou non (par exemple via deux cookies et/ou identifiants différents). »

Elle ajoute que, « quelle que soit la modalité, l’information doit préciser les moyens à la disposition de l’utilisateur pour modifier les choix associés à son compte ».

Elle précise que « les choix des utilisateurs en univers logué ne doivent pas avoir d’impact sur les choix préalablement enregistrés en univers non logué (par exemple via un cookie déposé au sein d’un navigateur) ». L'idée est de protéger, par exemple, les utilisateurs d'un même terminal non logué d'un choix fait par l'un d'entre eux sur son propre compte.

Attention aux identifiants envoyés aux prestataires

La CNIL recommande dans le cas de la mise en place d'un consentement multi-terminaux de faire d'autant plus attention aux échanges avec un prestataire, et notamment « de ne pas transmettre l’identifiant de compte de l’utilisateur dans la mesure où il contient en clair des données à caractère personnel fournies par l’utilisateur (par exemple, un pseudonyme contenant le prénom, voire le nom, ou une adresse de courrier électronique) au prestataire de la plateforme de gestion du consentement ». Elle demande, dans ce cas, de « lui substituer systématiquement un identifiant technique pour lui permettre notamment de réconcilier les différents terminaux de l’utilisateur ».

Si le service en question fait évoluer son mécanisme de consentement d'un système classique à un consentement multi-terminaux, « les responsables de traitement devront recueillir un nouveau consentement libre, spécifique, éclairé et univoque », signale l'autorité.

Enfin, la CNIL « encourage le responsable du traitement à laisser aux utilisateurs la possibilité de revenir sur leurs choix, terminal par terminal ».

Si vous avez des remarques au sujet de ce projet de recommandation, la consultation de la CNIL est ouverte jusqu'au 5 juin prochain.

Commentaires (12)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Furanku

Le 25/04/2025 à 15h37

One Consent To Rule Them All.

ecatomb Abonné

Le 25/04/2025 à 16h00

Ce sera sûrement appliqué à la lettre comme pour les cookies des sites web :
- une fois accepté, c'est accepté à vie
- si refusé (après le parcours du combatant), l'authorisation sera redemandées toutes les semaines ou plus souvent

Soriatane Abonné

Le 25/04/2025 à 17h25

Un peu hors-sujet, mais je rêve que les pages de connexion type www.siteweb.ndm/login n'affiche plus les pop-up d'acceptation des cookies. Surtout si pour avoir de nouveau un affiche du pop-up après avoir rentré le couple identifiant/mot de passe.

fred42 Abonné

Le 25/04/2025 à 17h32

Je pense que tu n'es pas hors sujet. Par contre, je n'ai pas souvenir d'avoir vu de pop-up après le login.
Ce pop-up porte sur quoi ? Les cookies (donc application de e-privacy) ou les données personnelles du compte (donc application du RGPD) ?

Soriatane Abonné

Le 28/04/2025 à 00h54

Sur les cookies mais le pop-up me donne l'impression que cela concerne aussi des données personnelles.

Pour moi, si il y a un paramétrage " permissions" dans Mon espace -> paramètres, ce n'est pas pour avoir un pop-up après avoir saisi son login/mot de passe!!
Surtout avec des intitulés clairs dans ce paramétrage comme " Préférence marketing " , "Cookies", " partage des données et autorisations "

fred42 Abonné

Le 28/04/2025 à 09h39

Sur les cookies mais le pop-up me donne l'impression que cela concerne aussi des données personnelles.

Dans ce cas, oui, tu as raison : inutile de répéter avec la pop-up ce qu'il y a dans le bandeau avant login concernant les cookies. e-Privacy indique bien que les cookies peuvent comporter des données personnelles et que là, le RGPD s'applique à ces données (information, consentement, ou autres points).

Djudenne

Le 28/04/2025 à 10h20

Moi je reve d'une fonction (enfin j'ai jamais cherché peut etre ca existe mais si possible en natif dans le navigateur) ou tu dis d'accepter tout les pop up (ou refuser au choix de l'utilisateur) et de plus en avoir sur aucun site, car bon je préférais avant quand on me demandait pas que de cliquer tout le temps. Mais je sais pas si la CNIL autoriserais ca ou pourrais l'interdire aux navigateur ?

fred42 Abonné

Le 25/04/2025 à 17h28

J'ai un peu de mal à comprendre la CNIL qui se lance dans un truc compliqué.

Ce que j'ai compris :
Il s'agit de modifier les lignes directrices de la délibération n° 2020-091 du 17 septembre 2020.

Ces lignes directrices concernent l'article 83 de la Loi Informatique et libertés, celui-ci étant la transposition de l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »).

Il ne s'agit donc pas directement de l'application du RGPD, même si pour les données à caractère personnel, celui-ci s'applique aussi.

Il s'agit de stockage dans le terminal de l'utilisateur de données pas forcément personnelles. Pour certaines, le consentement n'est pas obligatoire (on doit juste être informé), pour d'autres, par contre, on doit pouvoir refuser le stockage.
Pour résumé, ces articles définissent le comportement des bandeaux informants sur les cookies (et autres traceurs).

Jusque là, tout va bien.

Maintenant, la CNIL aborde l'aspect environnement "logué" et la possibilité d'avoir un consentement multi-terminaux.
C'est là, que ça se complique.

Le consentement est dans la cas où l'on n'est pas logué est stocké dans le terminal (impossible de faire autrement) mais si l'on veut un consentement multi-terminaux, il faut qu'une fois logué, on stocke ces consentements ou refus sur le serveur Web.

Comme indiqué par la CNIL, il y a 2 possibilités quand on passe d'un environnement non authentifié à authentifié (les deux modalités).

J'aurais tendance à privilégier la seconde modalité afin que quelqu'un alors qu'il sait qu'il va se loguer et est qui est pressé accepte tout en pensant que une fois logué, son choix précédent va s'appliquer.

Mais en fait, je pense que c'est une mauvaise idée d'avoir un consentement unique lié à un compte qui concerne le stockage dans le terminal, d'autant plus qu'il y a aussi le cas où l'on passe de l'environnement logué à un environnement non logué, où, la CNIL préconise de ne pas recopier les choix multi-terminaux dans le terminal.

Zebulon84

Le 25/04/2025 à 21h07

I still don't care about cookies

fred42 Abonné

Le 26/04/2025 à 00h20

Une extension qui accepte tous les cookies ou juste les essentiels suivant ce qui lui est plus facile n'est pas une bonne idée, sauf si on sait vraiment ce que l'on fait.

SebGF Abonné

Modifié le 26/04/2025 à 11h40

Vaux mieux faire ça en parallèle d'une suppression systématique.

Remarque, perso même si j'essaye de masquer les cookie banner (c'est relou), quand elles s'affichent encore on peut découvrir des dark patterns intéressants.

J'en ai vu un beau avec Librinova qui utilise une faille dans un autre dark pattern ! Ils ont mis "Fermer et accepter" en haut à droite, là où d'habitude c'est le "Continuer sans accepté" tout petit masqué, connaissant le réflexe d'aller le chercher là-haut. Le bon bouton se trouvant à droite de celui mis en valeur.

Y'a pas à dire, mais la malveillance ne connaît pas de limites.

Berbe Abonné

Modifié le 27/04/2025 à 01h40

Tellement de possibilités de détournement le suivi "technique" pour permettre un suivi à d'autres fins en jouant sur le flou de la frontière.

Le passage de non-authentifié à authentifié ne devrait même pas être stocké, et cette histoire de multi-terminaux revient in fine à croiser des sessions, ce qui augmente le risque d'appétit dangereux…

Quand on a l'habitude de navigation privée, plusieurs sessions de navigation sur un même appareil reviennent à la même situation que des sessions sur des appareils différents.
Ce "besoin" (s'il a été exprimé par des utilisateurs) provient donc en tous cas de personnes qui ne se soucient pas trop de leur vie privée… et j'irais même jusqu'à deviner que c'est un "besoin" imaginé et que personne de l'a exprimé : n'est-ce pas ici les fournisseurs de technologies/contenus qui poussent une extension des possibilités sortie de nulle part ? Pour le dit-appétit ?