Délibération n° 2025-131 du 18 décembre 2025 proposant des modalités pratiques de mise en conformité du consentement multi-terminaux et portant modification de la recommandation n° 2020-092 du 17 septembre 2020 dite « cookies et autres traceurs »

JO du 18 janvier 2026

L’accès aux sites web ou aux applications mobiles est réalisé à partir de divers équipements terminaux (ordinateurs, télévisions connectées, tablettes…). Cet usage confronte l’utilisateur fréquemment à des demandes de consentement pour l’utilisation de cookies et autres traceurs.
Dans ce contexte, certains acteurs du numérique cherchent à « implémenter des solutions de consentement multi-terminaux (ou consentement cross-device), permettant de recueillir un consentement valable quel que soit le terminal utilisé ».
Face à ce constat, la CNIL vient compléter la délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » dans le but de :
– préciser les modalités pratiques des obligations des responsables de traitement voulant mettre en œuvre le recueil d’un consentement multi-terminaux en univers authentifié ;
– rappeler les obligations réglementaires applicables en la matière ;
– présenter des recommandations pour s’y conformer.
Ces dispositions visent à aider les professionnels concernés dans leur démarche de mise en conformité. Elles tiennent compte des configurations spécifiques des environnements web et des applications mobiles. Elles peuvent également servir de guide pour l’élaboration d’interfaces dans d’autres contextes où le consentement de l’utilisateur est requis réglementairement.
Elles s’appliquent aux environnements dans lesquels les utilisateurs sont authentifiés à un compte et aux univers où ils ne le sont pas (« univers non logués »).
Néanmoins, l’article 7 de la délibération relatif au consentement multi-terminaux concerne uniquement les univers dans lesquels les utilisateurs sont authentifiés. Il s’applique, en conséquence, à l’ensemble des environnements (terminal, navigateur ou application) à partir desquels les utilisateurs s’authentifient.
Dans ce cadre, ce texte explicite notamment :
– les conditions nécessaires à la mise en œuvre d’un consentement multi-terminaux dans un univers authentifié. Cette mise en œuvre est facultative et ne constitue pas une obligation pour le responsable du traitement. Elle implique principalement de respecter :
– les conditions de légalité de cette mise en œuvre (en particulier, si le consentement peut être donné en une fois pour plusieurs terminaux, il doit en être de même pour le refus ou le retrait du consentement ; l’utilisateur doit, par ailleurs, être informé de la portée du consentement avant de pouvoir exercer son choix afin que celui-ci soit éclairé) ;
– l’adaptation de l’information aux caractéristiques du consentement multi-terminaux. Ainsi, l’information de l’utilisateur peut se faire, par exemple, par le biais de la fenêtre de recueil du consentement dès le premier niveau d’information. L’information relative à la portée des choix effectués et la possibilité de les modifier doit, en tout état de cause, être rappelée immédiatement après l’authentification lorsqu’il s’agit d’un terminal qui n’a pas encore été relié au compte, à l’aide d’un bandeau éphémère d’information précisant, le cas échéant, si les choix associés au compte ont été enregistrés ou modifiés ;
– la gestion de l’éventuelle contradiction entre les choix formulés en univers non authentifié et ceux enregistrés sur le compte ;
– l’interaction avec l’univers non authentifié. En particulier, le texte prévoit le principe suivant : les choix de l’utilisateur en univers authentifié ne doivent pas avoir d’impact sur les choix préalablement enregistrés en univers non authentifié ;
– la minimisation des données transmises en cas de recours à un sous-traitant. En ce sens, la CNIL conseille de ne pas transmettre l’identifiant de compte de l’utilisateur dans la mesure où il contient en clair des données à caractère personnel fournies par l’utilisateur (par exemple, un pseudonyme contenant le prénom ou une adresse de courrier électronique) au prestataire de la plateforme de gestion du consentement. Celui-ci doit être remplacé par un identifiant technique ;
– les modalités de l’évolution vers un mécanisme de consentement multi-terminaux ;
– les bonnes pratiques à mettre en place. Ainsi, la CNIL encourage le responsable du traitement à permettre à l’utilisateur de revenir sur ses choix, terminal par terminal pour permettre de différencier ses usages et la gestion de ses données à caractère personnel en fonction des contextes dans lesquels il accède au service et, donc, des terminaux qu’il utilise. En pratique, cette possibilité peut être accessible au niveau du panneau de configuration qui permet la gestion et le retrait du consentement associé au compte au travers d’un centre de préférences.