L'article 7 devient l'article 8. Le nouvel article 7 est ainsi rédigé :
« Art. 7. - Conditions nécessaires à la mise en œuvre d'un consentement multi-terminaux dans un univers authentifié.
« La mise en œuvre d'un dispositif de consentement multi-terminaux est facultative et ne constitue pas une obligation pour le responsable du traitement.
« 7.1. - Définition du consentement multi-terminaux et conditions de légalité
« Le consentement multi-terminaux est un mécanisme permettant d'appliquer les choix d'un utilisateur concernant la mise en œuvre d'opérations de lecture ou d'écriture d'informations à l'ensemble des environnements (les terminaux - ordinateur, tablette, ordiphone, télévision connectée, etc. -, le navigateur ou l'interface applicative utilisés) à partir desquels il accède à un site web ou une application mobile donnée, sans qu'il ait besoin de les répéter sur chacun de ces environnements. Dans le contexte des univers authentifiés, ces choix ne sont plus rattachés à un terminal mais au compte de l'utilisateur associé à un site web ou à une application mobile. Lorsqu'un utilisateur y accède et exprime ses choix sur un appareil connecté à son compte, ils sont automatiquement appliqués aux autres environnements via lesquels il peut également se connecter (comme sa tablette, son ordinateur ou sa télévision connectée). L'utilisateur peut gérer les choix rattachés à son compte quel que soit le terminal utilisé.
« Le consentement multi-terminaux, dans un univers authentifié, ne peut être mis en œuvre que dans les conditions juridiques rappelées dans les lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux “cookies et autres traceurs”) et aux autres articles de la présente recommandation (notamment l'article 2, paragraphes 2-1, 2-3 et 2-4), ainsi qu'aux conditions suivantes.
« En premier lieu, les choix formulés par l'utilisateur doivent avoir une portée identique pour assurer le respect des règles rappelées aux articles 2 et 3 de la recommandation. Ainsi, si le consentement peut être donné en une fois pour plusieurs terminaux, il doit en être de même pour le refus ou le retrait du consentement.
« En second lieu, l'utilisateur doit être informé de la portée du consentement avant de pouvoir exercer son choix afin que celui-ci soit éclairé : l'information doit notamment préciser que les choix seront appliqués pour tous les terminaux sur lesquels l'utilisateur du compte est authentifié.
« 7.2. - Adapter l'information aux caractéristiques du consentement multi-terminaux
« L'information de l'utilisateur peut se faire, par exemple, par le biais de la fenêtre de recueil du consentement (aussi appelée consent management platform ou CMP), dès le premier niveau d'information.
« L'information relative à la portée des choix effectués et la possibilité de les modifier devrait être rappelée immédiatement après l'authentification lorsqu'il s'agit d'un terminal qui n'a pas encore été relié au compte, à l'aide d'un bandeau éphémère d'information qui indique, le cas échéant, si les choix associés au compte ont été enregistrés ou modifiés.
« 7.3. - Gérer l'éventuelle contradiction entre les choix formulés en univers non authentifié et ceux enregistrés sur le compte
« S'agissant des solutions pour gérer cette situation :
« Lorsque des traceurs sont utilisés dans un univers non authentifié, un terminal sur lequel aucun choix n'est enregistré (lors d'une première visite sur le site via le terminal en question ou quand les traceurs précédemment déposés sur ce terminal ont été effacés) va afficher une fenêtre de recueil du consentement. Or, via cette fenêtre, l'utilisateur est susceptible, avant de s'authentifier, d'exprimer et d'enregistrer sur son terminal des choix différents de ceux enregistrés sur son compte. Il appartient au responsable de traiter cette situation d'une façon qui soit claire et loyale vis-à-vis de l'utilisateur.
« La CNIL identifie deux modalités principales qui permettent de résoudre cette contradiction :
« - modalité 1 : les choix formulés sur le nouveau terminal avant l'authentification au compte (c'est-à-dire au niveau de la dernière fenêtre de recueil du consentement affichée) écrasent ceux enregistrés précédemment au sein du compte. Les nouveaux choix enregistrés s'appliqueront à l'ensemble des autres terminaux connectés au compte, ce qui présente l'avantage d'assurer que le dernier choix exprimé par l'utilisateur est pris en compte, indépendamment du terminal ;
« - modalité 2 : les choix enregistrés au sein du compte prévalent sur les choix formulés sur le nouveau terminal avant l'authentification au compte (c'est-à-dire au niveau de la dernière fenêtre de recueil du consentement affichée). Pour être effectif, cette modalité suppose de distinguer le suivi de navigation de l'utilisateur selon qu'il est authentifié ou non (par exemple via deux cookies et/ou identifiants différents).
« La CNIL encourage les acteurs concernés à faire émerger une unique modalité afin de faciliter la compréhension par les utilisateurs du dispositif, quel que soit l'application mobile ou le site web visité.
« S'agissant de l'information spécifique à la gestion des contradictions :
L'information doit être adaptée au contexte dans lequel elle apparaît (utilisateur authentifié ou non, contradiction entre les choix, etc.) afin de limiter les risques de confusion pour l'utilisateur. Une fois authentifié, l'utilisateur doit être informé, de manière claire, de la contradiction entre les choix qui viennent d'être formulés et ceux déjà associés au compte. L'information donnée doit alors indiquer :
« - pour la modalité 1, si les choix associés au compte ont été enregistrés ou modifiés, comme il est mentionné au 7.2 ;
« - pour la modalité 2, l'existence d'une contradiction entre les derniers choix exprimés et ceux qui étaient déjà associés au compte, ainsi que le fait que ces derniers continueront de s'appliquer au sein du compte.
« Quelle que soit la modalité, l'information doit préciser les moyens à la disposition de l'utilisateur pour modifier ses choix, ce qui peut prendre la forme d'un bandeau éphémère qui peut être le même que celui visé au paragraphe 7.2 de la recommandation sous réserve d'une information adaptée et spécifique à la gestion des contradictions.
« 7.4. - Sur l'interaction avec l'univers non authentifié
« Dans le cadre d'un dispositif de consentement multi-terminaux, les choix de l'utilisateur en univers authentifié ne doivent pas avoir d'impact sur les choix préalablement enregistrés en univers non authentifié (par exemple via un cookie déposé au sein d'un navigateur).
« Ainsi, dans le cas de terminaux partagés entre plusieurs utilisateurs (par exemple, un ordinateur familial ou une télévision connectée au sein d'un foyer), les choix individuels associés à un compte donné (éventuellement exprimés sur un autre terminal individuel) ne doivent pas impacter l'ensemble des utilisateurs du terminal partagé lorsqu'ils ne sont pas authentifiés par ce même compte (navigation en univers non authentifié).
« 7.5. - Minimiser les données transmises en cas de recours à un sous-traitant
« Dans le cadre de la mise en place d'un dispositif de consentement multi-terminaux, une attention devrait être portée aux données à caractère personnel échangées avec un prestataire qui pourrait intervenir dans le traitement de données.
« En particulier, la CNIL recommande, conformément aux principes de minimisation et de protection des données dès la conception et la protection des données par défaut (article 25 du RGPD), de ne pas transmettre l'identifiant de compte de l'utilisateur dans la mesure où il contient en clair des données à caractère personnel fournies par l'utilisateur (par exemple, un pseudonyme contenant le prénom, voire le nom, ou une adresse de courrier électronique) au prestataire de la plateforme de gestion du consentement. Elle recommande de lui substituer systématiquement un identifiant technique pour lui permettre notamment de réconcilier les différents terminaux de l'utilisateur.
« 7.6. - Evolution vers un mécanisme de consentement multi-terminaux
« Lorsque le recueil du consentement se traduit en un mécanisme de consentement multi-terminaux pour un site web ou une application mobile, les responsables de traitement devront recueillir un nouveau consentement libre, spécifique, éclairé et univoque. En effet, le consentement exprimé sur un terminal donné préalablement au passage à une gestion du consentement multi-terminaux ne pourra pas être considéré valide pour d'autres terminaux, l'utilisateur n'ayant pas été informé de la portée multi-terminaux du consentement exprimé.
« 7.7. - Bonne pratique : permettre à l'utilisateur de faire des choix distincts par terminal
« A titre de bonne pratique, la CNIL encourage le responsable du traitement à laisser à l'utilisateur la possibilité de revenir sur ses choix, terminal par terminal, afin d'avoir la possibilité de différencier ses usages et la gestion de ses données à caractère personnel en fonction des contextes dans lesquels il accède au service et, donc, des terminaux qu'il utilise.
« En pratique, cette possibilité pourrait être accessible, par exemple, au niveau du panneau de configuration qui permet la gestion et le retrait du consentement associé au compte au travers d'un centre de préférences. »
