Articles
Actus Privacy
Consentement CNIL : Ce qui attend les entreprises en 2026
Actus Privacy
new

Consentement CNIL : Ce qui attend les entreprises en 2026

Publié  

3/4/2026

par 

Francesca DeNisco

Thomas Adhumeau

5
min lecture

Published  

March 4, 2026

by 

Francesca DeNisco

10 min read
Sommaire

En 2026, la Commission nationale de l'informatique et des libertés (CNIL) accélère ses travaux sur le consentement et les pratiques de suivi.

En complément de son action récurrente visant à faire respecter les bonnes pratiques en matière de protection des données (notamment concernant les cookies et les traceurs), elle a entamé l’année 2026 en publiant une série de positions et d’actions en cours qui précisent ses attentes quant au suivi cross-device, aux pixels de suivi dans les e-mails et à la preuve du consentement dans le domaine du marketing.

Pour les entreprises opérant en France et, en pratique, dans l’ensemble de l’Union Européenne, il s’agit moins de nouvelles règles que d’une interprétation et d’une application plus strictes. Le consentement doit être cohérent, démontrable et respecté tout au long du parcours utilisateur, quel que soit l’appareil utilisé.

Dans cet article, nous passons en revue ces trois axes majeurs que les entreprises doivent comprendre et sur lesquels elles doivent agir pour assurer leur conformité aux attentes du régulateur français. 

1) Consentement multi-terminaux (cross-device)

Le consentement multi-terminaux désigne la possibilité de recueillir un consentement unique, valable sur l'ensemble des appareils d'un même utilisateur, dès lors qu'il est connecté à un compte. Le 18 décembre 2025, la CNIL a adopté une recommandation finale (délibération n° 2025-131, publiée au Journal officiel le 18 janvier 2026) qui encadre spécifiquement les conditions dans lesquelles ce mécanisme peut être mis en œuvre.

Dans sa recommandation, la CNIL établit un cadre précis pour la mise en œuvre (facultative) d'un dispositif de consentement multi-terminaux. Celui-ci ne s'applique que lorsque les utilisateurs sont connectés à un compte (univers logué) et couvre l'ensemble des environnements depuis lesquels ils s'authentifient (ordinateur, smartphone, tablette, télévision connectée, etc.). Les points clés de la recommandation sont les suivants :

  • Le consentement multi-terminaux est un mécanisme facultatif : Il ne résulte d'aucune obligation pour le responsable du traitement, mais s'il est mis en œuvre, il doit respecter un cadre strict.
  • Symétrie des choix : Si le consentement peut être donné en une seule fois pour plusieurs terminaux, il en va de même pour le refus et le retrait du consentement.
  • Bandeau de feedback : Lors de la connexion sur un nouveau terminal, la CNIL recommande l'affichage d'une notification éphémère confirmant que les choix associés au compte ont été appliqués.
  • Gestion des contradictions : En cas de conflit entre les choix formulés sur un terminal avant connexion et ceux enregistrés dans le compte, la CNIL propose deux modalités (priorité au dernier choix exprimé, ou priorité aux choix du compte), chacune nécessitant une information explicite de l'utilisateur.
  • Minimisation des données : Les identifiants de compte (email, pseudo) ne doivent jamais être transmis en clair aux prestataires (CMP, AdTech). Une pseudonymisation systématique est requise.
  • Impact sur l’environnement non authentifié: Les choix dans l’univers authentifié ne doivent pas impacter ceux dans l’univers non authentifié, notamment sur les terminaux partagés (ordinateurs familiaux, TV connectées).

À noter, la CNIL a annoncé le lancement, en 2026, de travaux complémentaires sur le consentement multi-propriétés (cross-domain), portant sur la collecte unique d'un consentement valable pour plusieurs sites ou médias d'un même groupe.

Explorez plus en détail les attentes de la CNIL sur le cross-device dans notre article dédié au sujet :

{{CNIL-cross-device}}

2) Les pixels de suivi dans les emails

En juin dernier, la CNIL a ouvert une consultation publique sur son projet de recommandation relative à l’utilisation des pixels de suivi dans les courriels, ce qui a suscité de nombreuses réactions (dont celle de notre Chief Privacy Officer).

Vue d’ensemble de la position de la CNIL

Lorsqu’un email inclut un pixel de suivi collectant des informations telles que l’adresse IP, des données relatives à l’appareil ou des signaux d’interaction, la CNIL considère qu’il s’agit d’une technologie de suivi soumise aux exigences de consentement.

Cette question est particulièrement sensible lorsque :

  • Le suivi est utilisé à des fins de profilage.
  • Les données sont combinées à d’autres identifiants.
  • Le suivi n’est pas strictement nécessaire à la fourniture du service.

Si une technologie accède à des informations stockées sur l’appareil ou suit le comportement de l’utilisateur à des fins non essentielles, un consentement préalable est requis.

Points d’attention pour les entreprises

Ces futures recommandations concernent de nombreux professionnels et entreprises du numérique :

  • Les équipes marketing utilisent des outils de performance pour les e-mails.
  • Les plateformes CRM et d’automatisation.
  • Les éditeurs et les entreprises de médias.
  • Toute organisation recourt au profilage fondé sur l’engagement.

Le projet de recommandation est accessible ici, et nous invitons nos clients, dans l’attente d’une communication officielle (qui devrait intervenir au printemps 2026), à auditer leurs pratiques et, à minima, à s’assurer d’avoir en place un recueil du consentement lors de la collecte de l’adresse électronique. 

Nous nous assurerons de communiquer davantage de conseils et de bonnes pratiques lors de la publication des recommandations officielles. À suivre.

3) Preuve du consentement dans le secteur du marketing

Au-delà des pratiques de suivi elles-mêmes, la CNIL met à nouveau l’accent sur la manière dont les organisations prouvent que le consentement valide a bien été collecté. 

Le récent appel à contributions à ce sujet ouvre un débat public sur les nouvelles lignes directrices du régulateur, avant la finalisation des recommandations. La CNIL y précise que la preuve du consentement doit être :

  • Rattachée à un utilisateur ou à un identifiant spécifique.
  • Horodatée.
  • Associée aux finalités exactes acceptées ou refusées.
  • Traçable jusqu’à la version de l’interface présentée.

Les organisations doivent être en mesure de démontrer ce que l’utilisateur a vu et ce qu’il a choisi, afin de résister à un contrôle réglementaire. Il s’agit d’un domaine sur lequel nos équipes ont déployé beaucoup d’efforts pour aboutir à notre fonctionnalité Versions and Proofs.

Apprenez-en plus sur notre travail autour de la traçabilité du consentement dans notre article dédié, écrit par notre VP Partnership Ecosystem EMEA, Frank Ducret :

{{learn-more-consent-lineage}}

Ce que cela signifie pour les entreprises et comment Didomi peut aider

Pris ensemble, ces développements vont dans la même direction. La CNIL met en avant l’importance d’accroître la transparence pour les utilisateurs, à travers les différents canaux et appareils, ainsi que la profondeur et l’exactitude des informations, et la nécessité d’une responsabilité renforcée grâce à la documentation et à l’auditabilité.

Les pratiques qui reposaient auparavant sur des hypothèses ou des interprétations informelles sont désormais évaluées à l’aune d’exigences plus strictes. Les entreprises doivent examiner la conception de leurs dispositifs cross-device, leurs configurations de suivi email, leur architecture de traçabilité du consentement et leur niveau de préparation aux audits internes afin d’assurer leur conformité.

Chez Didomi, nous travaillons en étroite collaboration avec la CNIL et d’autres autorités européennes afin de faire évoluer notre plateforme au rythme des évolutions réglementaires. Pour les entreprises utilisant Didomi, cela signifie :

  • Des signaux de consentement cross-device collectés et appliqués de manière cohérente
  • Des stratégies de consentement email et web alignées dans un cadre unique
  • Une preuve du consentement structurée, traçable et prête pour l’audit

Notre objectif est d’aider les organisations à transformer les exigences réglementaires en pratiques de consentement fiables, élaborées en collaboration avec des autorités telles que la CNIL. Pour en savoir plus et échanger autour de vos défis liés à la protection des données, réservez un moment avec nos équipes:

{{talk-to-an-expert}}

L'auteur
Les auteurs
Francesca DeNisco
Content and Communications Intern
Content writer currently focused on data privacy
Voir les contributions
Francesca DeNisco
Content and Communications Intern
Content writer currently focused on data privacy
Access author profile
Thomas Adhumeau
Chief Privacy Officer at Didomi
French Commercial/IT Lawyer and Certified Information Privacy Professional by IAPP.
Access author profile

Articles reliés

Actus Privacy
Mises en demeure de la CNIL : Comment s’assurer de la conformité de votre CMP ?
February 24, 2026
Lire l'article
Actus Privacy
Quelles sont les recommandations de la CNIL sur le consentement multi-terminaux (cross-device) ?
January 26, 2026
Lire l'article
Actus Privacy
Digital Omnibus : Ce qu’il faut savoir sur le projet de simplification du RGPD
November 21, 2025
Lire l'article
Actus Privacy
Paquet digital omnibus de simplification de la Commission européenne : La fin de la fatigue du consentement ?
October 20, 2025
Lire l'article
Actus Privacy
Le TCF est-il illégal ? Analyse rationnelle de la situation entre l’IAB Europe et l’APD belge (mai 2025)
May 16, 2025
Lire l'article
Actus Privacy
Google Chrome conserve finalement les cookies tiers : Que faut-il en retenir ?
April 29, 2025
Lire l'article