Cookies et cross-device : comment la CNIL veut en finir avec la « fatigue du consentement »

Fruit d'un an de travail, les nouvelles recommandations de la CNIL sur le suivi cross-device visent à fluidifier l'expérience utilisateur.

Depuis plusieurs mois, la CNIL fait preuve d’une hyperactivité notable par rapport à ses homologues européens, note Thomas Adhumeau, Chief Privacy Officer chez Didomi. Son dernier cheval de bataille ? Le suivi « cross-device » (inter-terminaux), objet de nouvelles recommandations fruits d’un an de travail.

L’objectif du régulateur français est de lutter contre la lassitude des utilisateurs qui doivent accepter ou refuser les cookies à chaque fois qu’ils changent d’appareil (ordinateur, mobile, TV connectée) pour un même service. La règle est celle de la symétrie : un choix effectué sur un ordinateur doit s’appliquer automatiquement sur l’application mobile si l’utilisateur est identifié.

Un simple bandeau d’information

Pour les éditeurs et les plateformes, la principale nouveauté réside dans l’interface. Lorsqu’un utilisateur déjà consentant se connecte sur un nouvel appareil, la CNIL recommande de remplacer la traditionnelle bannière de consentement par un simple bandeau d’information.

Ce bandeau indique à l’utilisateur : « Au fait, vous avez déjà fait des choix, donc on ne vous réaffiche pas la bannière, mais voici un rappel ». Selon Thomas Adhumeau, cette pratique, déjà observable chez des acteurs comme TF1, est une « petite innovation » bénéfique : elle respecte la transparence sans bloquer la navigation et n’a aucun impact négatif sur la monétisation publicitaire.

Efficace dans les environnements logués

Pour que ce système fonctionne, il faut pouvoir réidentifier l’utilisateur d’un appareil à l’autre. Ce mécanisme s’applique donc principalement aux environnements logués (où l’utilisateur s’identifie avec un compte), comme les sites e-commerce, les plateformes de streaming (l’exemple de TF1 ci-dessus) ou les applications de services.

Thomas Adhumeau précise que la démarche est techniquement possible via des identifiants techniques (comme First ID ou ID5) sans connexion explicite. Mais le scénario de l’utilisateur connecté reste le plus pertinent et le plus simple à mettre en œuvre.

Une recommandation de transparence, pas une obligation stricte

Il est important de noter que ce « bandeau de rappel » n’est pas une exigence formelle du RGPD, mais une bonne pratique de transparence encouragée par la CNIL.

« Juridiquement, rien n’interdit formellement à un éditeur de ne rien afficher du tout si le consentement a déjà été obtenu ailleurs, mais la CNIL considère que rappeler ce fait à l’utilisateur, qui a pu oublier ses choix faits il y a deux semaines, est préférable », explique le Chief Privacy Officer chez Didomi.

À l’inverse, un éditeur a toujours le droit de continuer à afficher des bannières de consentement classiques s’il le souhaite, bien que la CNIL voie d’un bon œil l’adoption de ce système plus fluide.