Délibération n° 2025-131 du 18 décembre 2025 proposant des modalités pratiques de mise en conformité du consentement multi-terminaux et portant modification de la recommandation n°2020- 092 du 17 septembre 2020 dite « cookies et autres traceurs »
| Numéro | 2025-131 |
| Date | jeudi 18 décembre 2025 |
| Nature | Délibération |
| Type d'acte | Recommandation/Lignes directrices |
| État | En vigueur |
| Référence | CNILTEXT000053383564 |
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-2°-b ;
Vu la délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs" ;
Après avoir entendu le rapport de Mme Laurence Franceschini, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement
Formule les observations suivantes :
C’est via une multitude d’équipements terminaux (ordinateur, ordiphone, télévision connectée, tablette, etc.) que se fait l’accès aux sites web ou aux applications mobiles. L'usage de divers terminaux conduit l’utilisateur à être confronté fréquemment à des demandes de consentement pour l'utilisation de cookies et autres traceurs. Dans ce contexte, certains acteurs du numérique cherchent à implémenter des solutions de consentement multi-terminaux (ou consentement cross-device), permettant de recueillir un consentement valable quel que soit le terminal utilisé.
La CNIL a en conséquence souhaité compléter sa recommandation du 17 septembre 2020 afin de clarifier les modalités pratiques des obligations des responsables de traitement qui souhaiteraient mettre en œuvre le recueil d’un consentement multi-terminaux en univers logué. Cet ajout rappelle les obligations posées par la règlementation et formule des recommandations pour s’y conformer.
Cette recommandation a pour objectif d’aider les professionnels concernés dans leur démarche de mise en conformité. Elle n’est ni prescriptive ni exhaustive.
Elle a été élaborée à la suite d’une concertation avec des représentants notamment des professions concernées par la publicité numérique ainsi qu’avec des représentants de la société civile. Elle a également fait l’objet d’une consultation publique du 24 avril au 5 juin 2025.
Article 1er
Périmètre de la recommandation
Le paragraphe 1-2 de l’article 1er de la recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs" est remplacé par ce qui suit :
"1.2 – Environnements concernés
La présente recommandation tient particulièrement compte des configurations propres aux environnements web et aux applications mobiles. La présente recommandation peut cependant inspirer et guider l’élaboration d’interfaces dans d’autres contextes où le consentement prévu par l’article 82 de la loi "Informatique et Libertés" est requis : télévision connectée, console de jeux vidéo, assistant vocal, objets communicants, véhicule connecté, etc.
La recommandation concerne tant les environnements dans lesquels les utilisateurs sont authentifiés à un compte (parfois appelés "univers logués") que les univers où ils ne le sont pas ("univers non logués"). En effet, le fait que les utilisateurs soient authentifiés ne dispense pas de recueillir leur consentement conformément à l’article 82 de la loi "Informatique et Libertés", dès lors que des traceurs soumis au consentement sont utilisés.
Toutefois, l’article 7 relatif au consentement multi-terminaux concerne uniquement les univers dans lesquels les utilisateurs sont authentifiés et s’applique à l’ensemble des environnements (terminal, navigateur ou application) à partir desquels ils s’authentifient."
Article 2
L’article 7 devient l’article 8. Le nouvel article 7 est ainsi rédigé :
"Article 7
Conditions nécessaires à la mise en œuvre d’un consentement multi-terminaux dans un univers logué
La mise en œuvre d’un dispositif de consentement multi-terminaux est facultative et ne constitue pas une obligation pour le responsable du traitement.
7.1 – Définition du consentement multi-terminaux et conditions de légalité
Le consentement multi-terminaux est un mécanisme permettant d’appliquer les choix d'un utilisateur concernant la mise en œuvre d’opérations de lecture ou d’écriture d’informations à l’ensemble des environnements (les terminaux - ordinateur, tablette, ordiphone, télévision connectée, etc.-, le navigateur ou l’interface applicative utilisés) à partir desquels il accède à un site web ou une application mobile donnée, sans qu’il ait besoin de les répéter sur chacun de ces environnements. Dans le contexte des univers logués, ces choix ne sont plus rattachés à un terminal mais au compte de l’utilisateur associé à un site web ou à une application mobile. Lorsqu'un utilisateur y accède et exprime ses choix sur un appareil connecté à son compte, ils sont automatiquement appliqués aux autres environnements via lesquels il peut également se connecter (comme sa tablette, son ordinateur ou sa télévision connectée). L’utilisateur peut gérer les choix rattachés à son compte quel que soit le terminal utilisé.
Le consentement multi-terminaux, dans un univers logué, ne peut être mis en œuvre que dans les conditions juridiques rappelées dans les lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux "cookies et autres traceurs") et aux autres articles de la présente recommandation (notamment l’article 2, paragraphes 2-1, 2-3 et 2-4), ainsi qu’aux conditions suivantes.
En premier lieu, les choix formulés par l’utilisateur doivent avoir une portée identique pour assurer le respect des règles rappelées aux articles 2 et 3 de la recommandation. Ainsi, si le consentement peut être donné en une fois pour plusieurs terminaux, il doit en être de même pour le refus ou le retrait du consentement.
En second lieu, l’utilisateur doit être informé de la portée du consentement avant de pouvoir exercer son choix afin que celui-ci soit éclairé : l’information doit notamment préciser que les choix seront appliqués pour tous les terminaux sur lesquels l’utilisateur du compte est authentifié.
7.2 - Adapter l’information aux caractéristiques du consentement multi-terminaux
L’information de l’utilisateur peut se faire, par exemple, par le biais de la fenêtre de recueil du consentement (aussi appelée consent management platform ou CMP), dès le premier niveau d’information.
L’information relative à la portée des choix effectués et la possibilité de les modifier devrait être rappelée immédiatement après l’authentification lorsqu’il s’agit d’un terminal qui n’a pas encore été relié au compte, à l’aide d’un bandeau éphémère d’information qui indique, le cas échéant, si les choix associés au compte ont été enregistrés ou modifiés.
7.3 - Gérer l’éventuelle contradiction entre les choix formulés en univers non logué et ceux enregistrés sur le compte
S’agissant des solutions pour gérer cette situation
Lorsque des traceurs sont utilisés dans un univers non logué, un terminal sur lequel aucun choix n’est enregistré (lors d’une première visite sur le site via le terminal en question ou quand les traceurs précédemment déposés sur ce terminal ont été effacés) va afficher une fenêtre de recueil du consentement. Or, via cette fenêtre, l’utilisateur est susceptible, avant de s’authentifier, d’exprimer et d’enregistrer sur son terminal des choix différents de ceux enregistrés sur son compte. Il appartient au responsable de traiter cette situation d’une façon qui soit claire et loyale vis-à-vis de l’utilisateur.
La CNIL identifie deux modalités principales qui permettent de résoudre cette contradiction :
La CNIL encourage les acteurs concernés à faire émerger une unique modalité afin de faciliter la compréhension par les utilisateurs du dispositif, quel que soit l’application mobile ou le site web visité.
S’agissant de l’information spécifique à la gestion des contradictions
L’information doit être adaptée au contexte dans lequel elle apparaît (utilisateur authentifié ou non, contradiction entre les choix, etc.) afin de limiter les risques de confusion pour l’utilisateur. Une fois authentifié, l’utilisateur doit être informé, de manière claire, de la contradiction entre les choix qui viennent d’être formulés et ceux déjà associés au compte. L’information donnée doit alors indiquer :
Quelle que soit la modalité, l’information doit préciser les moyens à la disposition de l’utilisateur pour modifier ses choix, ce qui peut prendre la forme d’un bandeau éphémère qui peut être le même que celui visé au paragraphe 7.2 de la recommandation sous réserve d’une information adaptée et spécifique à la gestion des contradictions.
7.4 - Sur l’interaction avec l’univers non logué
Dans le cadre d’un dispositif de consentement multi-terminaux, les choix de l’utilisateur en univers logué ne doivent pas avoir d’impact sur les choix préalablement enregistrés en univers non logué (par exemple via un cookie déposé au sein d’un navigateur).
Ainsi, dans le cas de terminaux partagés entre plusieurs utilisateurs (par exemple, un ordinateur familial ou une télévision connectée au sein d’un foyer), les choix individuels associés à un compte donné (éventuellement exprimés sur un autre terminal individuel) ne doivent pas impacter l’ensemble des utilisateurs du terminal partagé lorsqu’ils ne sont pas authentifiés par ce même compte (navigation en univers non logué).
7.5 – Minimiser les données transmises en cas de recours à un sous-traitant
Dans le cadre de la mise en place d’un dispositif de consentement multi-terminaux, une attention devrait être portée aux données à caractère personnel échangées avec un prestataire qui pourrait intervenir dans le traitement de données.
En particulier, la CNIL recommande, conformément aux principes de minimisation et de protection des données dès la conception et la protection des données par défaut (article 25 du RGPD), de ne pas transmettre l’identifiant de compte de l’utilisateur dans la mesure où il contient en clair des données à caractère personnel fournies par l’utilisateur (par exemple, un pseudonyme contenant le prénom, voire le nom, ou une adresse de courrier électronique) au prestataire de la plateforme de gestion du consentement. Elle recommande de lui substituer systématiquement un identifiant technique pour lui permettre notamment de réconcilier les différents terminaux de l’utilisateur.
7.6 – Évolution vers un mécanisme de consentement multi-terminaux
Lorsque le recueil du consentement se traduit en un mécanisme de consentement multi-terminaux pour un site web ou une application mobile, les responsables de traitement devront recueillir un nouveau consentement libre, spécifique, éclairé et univoque. En effet, le consentement exprimé sur un terminal donné préalablement au passage à une gestion du consentement multi-terminaux ne pourra pas être considéré valide pour d’autres terminaux, l’utilisateur n’ayant pas été informé de la portée multi-terminaux du consentement exprimé.
7.7 – Bonne pratique : permettre à l’utilisateur de faire des choix distincts par terminal
A titre de bonne pratique, la CNIL encourage le responsable du traitement à laisser à l’utilisateur la possibilité de revenir sur ses choix, terminal par terminal, afin d’avoir la possibilité de différencier ses usages et la gestion de ses données à caractère personnel en fonction des contextes dans lesquels il accède au service et, donc, des terminaux qu’il utilise.
En pratique, cette possibilité pourrait être accessible, par exemple, au niveau du panneau de configuration qui permet la gestion et le retrait du consentement associé au compte au travers d’un centre de préférences."
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026