Pour la CNIL, le consentement multi-terminaux est possible mais à certaines conditions
One click consent

Alors que certains acteurs du numérique cherchent à recueillir un consentement unique valable sur tous les terminaux, la CNIL publie son projet de recommandation sur le sujet. L’autorité ne s’y oppose pas, mais veut encadrer la pratique.
Sites web ou applications mobiles, nous accédons tous à nos services internet via différents terminaux. Mais le consentement que je donne pour accéder à tel site web pour l’utilisation de cookies et traceurs est-il forcément le même quand je le consulte sur mon smartphone perso ou sur mon ordi pro ?
L’utilisateur peut avoir envie de faire la différence alors que certains acteurs du numérique peuvent chercher à recueillir un consentement unique, valable sur tous les terminaux d’un même utilisateur. En effet, cela permet de ne pas lasser avec des demandes intempestives, mais aussi de récolter directement plus de données sur un même utilisateur.
Consciente de cette évolution, la CNIL veut faire évoluer sa recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » qui date de 2020 [PDF]. Elle explique avoir élaboré un projet de recommandation « sur la base d’échanges avec des professionnels et des associations de la société civile », sans pour autant détailler avec quels acteurs elle a discuté.
Appliquer les choix d’un utilisateur sur plusieurs terminaux
Elle présente maintenant ce projet de recommandation [PDF] et invite maintenant tout acteur public ou privé concerné à participer à une consultation publique à partir de ce document.
Elle y définit le consentement multi-terminaux comme « un mécanisme permettant d’appliquer les choix d’un utilisateur concernant la mise en œuvre d’opérations de lecture ou d’écriture d’informations à l’ensemble des environnements (à savoir les terminaux : ordinateur, tablette, ordiphone, télévision connectée, etc., ainsi que le navigateur ou l’application utilisés) à partir desquels il accède à un site web ou une application mobile donnée, sans qu’il ait besoin de les formuler sur chaque terminal ».
Elle précise que « dans le contexte des univers logués [terme utilisé par la CNIL pour qualifier les environnements dans lesquels les utilisateurs sont authentifiés à un compte, ndlr], ces choix ne sont plus rattachés à un terminal mais au compte de l’utilisateur associé au site web ou à l’application mobile ».
« En premier lieu, les choix formulés par les utilisateurs doivent avoir une portée identique », affirme la CNIL. L’autorité explique plus clairement qu’ « ainsi, si le consentement peut être donné en une fois pour plusieurs terminaux, il doit en être de même pour le refus ou le retrait du consentement ».
« En second lieu », ajoute l’autorité, « les utilisateurs doivent être informés de la portée du consentement avant de pouvoir exercer leurs choix afin que celui-ci soit éclairé : l’information doit notamment préciser que les choix seront appliqués pour tous les terminaux sur lesquels l’utilisateur du compte est authentifié ».
Elle y explique que « l’information des utilisateurs peut se faire, par exemple, par le biais de la fenêtre de recueil du consentement », et recommande de rappeler la portée des choix effectués, ainsi que la possibilité de les modifier « immédiatement après l’authentification au compte ».
Une contradiction possible dans le consentement, deux modalités de résolution
Dans le document, elle identifie une contradiction possible entre le consentement recueilli avant l’authentification et les choix enregistrés sur son compte. Elle demande au responsable de traiter cette contradiction « d’une façon qui soit claire et loyale vis-à-vis de l’utilisateur ».
Pour aider les responsables de traitement, l’autorité a identifié dans son document deux modalités qui permettent de résoudre cette contradiction :
- « Modalité 1 : les choix formulés sur le nouveau terminal avant l’authentification au compte (c’est-à-dire au niveau de la dernière fenêtre de recueil du consentement affichée) écrasent ceux enregistrés précédemment au sein du compte. Les nouveaux choix enregistrés s’appliqueront à l’ensemble des autres terminaux connectés au compte, ce qui présente l’avantage d’assurer que le dernier choix exprimé par l’utilisateur est pris en compte, indépendamment du terminal.
- Modalité 2 : les choix enregistrés au sein du compte prévalent sur les choix formulés sur le nouveau terminal avant l’authentification au compte (c’est-à-dire au niveau de la dernière fenêtre de recueil du consentement affichée). Pour être effectif, cette modalité suppose de distinguer le suivi de navigation de l’utilisateur selon qu’il est logué ou non (par exemple via deux cookies et/ou identifiants différents). »
Elle ajoute que, « quelle que soit la modalité, l’information doit préciser les moyens à la disposition de l’utilisateur pour modifier les choix associés à son compte ».
Elle précise que « les choix des utilisateurs en univers logué ne doivent pas avoir d’impact sur les choix préalablement enregistrés en univers non logué (par exemple via un cookie déposé au sein d’un navigateur) ». L’idée est de protéger, par exemple, les utilisateurs d’un même terminal non logué d’un choix fait par l’un d’entre eux sur son propre compte.
Attention aux identifiants envoyés aux prestataires
La CNIL recommande dans le cas de la mise en place d’un consentement multi-terminaux de faire d’autant plus attention aux échanges avec un prestataire, et notamment « de ne pas transmettre l’identifiant de compte de l’utilisateur dans la mesure où il contient en clair des données à caractère personnel fournies par l’utilisateur (par exemple, un pseudonyme contenant le prénom, voire le nom, ou une adresse de courrier électronique) au prestataire de la plateforme de gestion du consentement ». Elle demande, dans ce cas, de « lui substituer systématiquement un identifiant technique pour lui permettre notamment de réconcilier les différents terminaux de l’utilisateur ».
Si le service en question fait évoluer son mécanisme de consentement d’un système classique à un consentement multi-terminaux, « les responsables de traitement devront recueillir un nouveau consentement libre, spécifique, éclairé et univoque », signale l’autorité.
Enfin, la CNIL « encourage le responsable du traitement à laisser aux utilisateurs la possibilité de revenir sur leurs choix, terminal par terminal ».
Si vous avez des remarques au sujet de ce projet de recommandation, la consultation de la CNIL est ouverte jusqu’au 5 juin prochain.