Consentement multi-terminaux (CNIL) : checklist CMP, analytics et parcours B2B

Le consentement multi-terminaux, ou consentement cross-device, permet d’appliquer les choix cookies et traceurs d’un utilisateur à plusieurs appareils reliés à un même compte. Pour un site B2B, le sujet est concret : il touche votre CMP, la qualité de vos données analytics, vos parcours connectés et la gouvernance de votre mesure.

Depuis les recommandations de la CNIL, le cadre est plus clair. Le dispositif est facultatif, mais s’il existe, il doit être expliqué avant le choix, fonctionner de la même manière pour l’acceptation, le refus et le retrait, et gérer proprement les contradictions entre navigation anonyme et navigation authentifiée.

En pratique, cela oblige à revoir trois couches en même temps : l’interface de consentement, la logique technique de propagation des choix et la façon dont vos KPI sont interprétés dans un environnement multi-appareils.

Sommaire

 

Ce que la CNIL change concrètement pour un site B2B

Le premier point à retenir est simple : le consentement multi-terminaux n’est pas une obligation. Vous pouvez conserver une gestion par terminal. En revanche, dès que vous choisissez d’unifier les choix à l’échelle d’un compte, vous entrez dans un cadre plus exigeant.

Le consentement n’est plus seulement lié au navigateur

Dans un univers authentifié, les choix ne sont plus rattachés uniquement à un cookie local ou à un navigateur. Ils peuvent être rattachés au compte utilisateur et se propager à d’autres environnements : ordinateur, mobile, tablette, application, voire TV connectée si le service existe sur plusieurs interfaces.

Pour un acteur B2B, cela concerne surtout :

• les espaces clients ou partenaires ;
• les extranets et portails de services ;
• les dispositifs avec connexion avant ou après prise de lead ;
• les écosystèmes où un même contact revient sur plusieurs appareils avant conversion.

La symétrie des choix devient un critère de conception

Si un utilisateur peut accepter une fois pour tous ses appareils, il doit aussi pouvoir refuser une fois pour tous ses appareils, puis retirer son consentement avec la même simplicité et la même portée.

Autrement dit, une CMP cross-device conforme ne peut pas proposer un “oui” global et laisser le “non” en local. C’est souvent là que des implémentations deviennent fragiles.

Point de vue Tuesday — C’est rarement la bannière seule qui pose problème. Le vrai risque se situe dans l’écart entre l’UX de consentement, les règles de propagation côté compte et la logique de déclenchement des tags. Quand ces trois couches ne racontent pas la même chose, la conformité et la mesure se dégradent ensemble.

Pour cadrer ce travail, il est utile de relier dès le départ les sujets de gouvernance, de pilotage KPI et de qualité de données à vos fondations de mesure et d’outillage.

 

Checklist CMP : ce que votre plateforme de consentement doit faire

La CMP est le premier point de contrôle, mais pas le seul. Voici la checklist minimale à passer en revue.

Checklist de conformité et de paramétrage

• Votre CMP indique explicitement, dès le premier niveau, que les choix s’appliqueront à tous les appareils connectés au compte.
• Cette information apparaît avant que l’utilisateur n’exerce son choix.
• Un utilisateur peut accepter, refuser et retirer son consentement avec la même portée multi-terminaux.
• Le centre de préférences est accessible après authentification, quel que soit l’appareil utilisé.
• Un bandeau ou message d’information peut rappeler, lors d’une première connexion sur un nouvel appareil, que des choix ont été enregistrés ou modifiés.
• La preuve du consentement est horodatée et exploitable en audit.
• Les configurations CMP successives sont conservées pour pouvoir reconstituer l’état du recueil à une date donnée.

 

Le point critique : la contradiction entre choix locaux et choix rattachés au compte

C’est le scénario le plus fréquent. Un visiteur arrive sur mobile sans être connecté, voit la CMP, fait un choix, puis s’authentifie. Son compte comporte déjà d’autres préférences. Il faut alors décider quelle règle prévaut.

Deux modalités existent :

• Modalité 1 : le dernier choix exprimé sur le nouvel appareil écrase celui déjà enregistré sur le compte et devient la nouvelle référence pour tous les terminaux.
• Modalité 2 : les choix déjà enregistrés sur le compte prévalent sur ceux exprimés avant authentification sur le nouvel appareil.

Les deux approches sont envisageables, mais vous devez en choisir une, l’expliquer clairement et informer l’utilisateur lorsqu’une contradiction apparaît.

En B2B, la modalité 2 est souvent perçue comme plus simple pour stabiliser l’état du compte. Elle suppose toutefois une séparation propre entre la navigation anonyme et la navigation authentifiée, avec des identifiants distincts ou des règles de suivi différenciées.

Point de vue Tuesday — Beaucoup d’équipes pensent traiter le sujet en “synchronisant le bandeau”. En réalité, la vraie décision produit porte sur la règle de priorité entre états anonymes et états authentifiés. C’est une décision de gouvernance, pas seulement un réglage CMP.

Quand cette décision est absente, on observe souvent les mêmes symptômes : tags qui se déclenchent trop tôt, états de consentement incohérents dans le dataLayer, et impossibilité d’expliquer un audit quelques mois plus tard.

Dans les projets de refonte ou de reprise de stack, ce sujet doit être testé au même titre que le SEO, la performance et la recette fonctionnelle.

 

Checklist analytics : ce que le cross-device change dans vos KPI

Le consentement multi-terminaux ne crée pas automatiquement une meilleure mesure. Il modifie surtout les conditions dans lesquelles vos données sont collectées, rapprochées et interprétées.

Ce qui change immédiatement dans vos analytics

• Le taux de consentement peut évoluer, à la hausse ou à la baisse, selon l’UX choisie et la clarté de l’information.
• Le nombre d’utilisateurs mesurés peut se tasser si certains appareils héritent d’un refus global.
• Les parcours attribués à un même contact peuvent devenir plus cohérents, mais seulement si les tags respectent exactement l’état de consentement propagé.
• Les analyses de contribution mobile vers desktop deviennent plus sensibles à la qualité de l’authentification et au bon cloisonnement entre univers anonyme et univers connecté.

Le risque principal n’est pas seulement juridique. Il est décisionnel. Des états de consentement divergents entre appareils produisent des jeux de données hétérogènes. Vous comparez alors des visites, des conversions et des segments qui n’ont pas été observés dans les mêmes conditions.

Point de vue Tuesday — Sur des dispositifs B2B, ce défaut abîme surtout l’attribution, la lecture des micro-conversions et la segmentation marketing. Le problème n’est pas qu’un KPI “baisse”. Le problème est de prendre des décisions sur une donnée dont le périmètre change silencieusement d’un terminal à l’autre.

Le cas particulier de la mesure d’audience exemptée

La CNIL rappelle qu’une mesure d’audience peut être exemptée de consentement sous conditions strictes : finalité limitée à la seule mesure d’audience pour le compte exclusif de l’éditeur, production de statistiques anonymes, absence de recoupement avec d’autres traitements et absence de suivi global entre différents sites ou applications.

Conséquence pratique : si votre projet de mesure cross-device suppose un identifiant commun utilisé pour rapprocher des usages sur plusieurs propriétés ou pour faire un “reach” unifié entre plusieurs sites, vous sortez du périmètre de l’exemption.

Pour un site B2B, il faut donc distinguer clairement :

• la mesure d’audience strictement nécessaire et limitée ;
• la personnalisation, le retargeting, l’AB testing avancé, ou l’analyse croisée entre services ;
• les traitements CRM et marketing automation connectés à la navigation.

Cette séparation doit apparaître dans le paramétrage des finalités, dans la documentation et dans les tableaux de bord. Elle doit aussi se refléter dans votre manière de suivre les indicateurs de pilotage.

 

Parcours B2B : où se cachent les risques réels

Le consentement multi-terminaux devient critique dès que le parcours n’est pas linéaire. Or, en B2B, il l’est rarement.

Trois scénarios typiques

Scénario 1 : découverte sur mobile, conversion sur desktop.
Un prospect consulte un contenu, revient plus tard au bureau, télécharge un livre blanc puis remplit un formulaire. Sans logique claire de consentement et de mesure, l’analyse du parcours devient partielle ou contradictoire.

Scénario 2 : compte partagé ou terminal partagé.
Dans certaines organisations, un poste est utilisé par plusieurs personnes. La CNIL rappelle que les choix liés à un compte authentifié ne doivent pas contaminer la navigation non authentifiée sur un terminal partagé. C’est un point souvent sous-estimé dans les extranets et portails métier.

Scénario 3 : passage d’un site corporate à un espace de services.
Le visiteur navigue d’un environnement éditorial vers un espace connecté. Les règles de consentement, les finalités et les scripts ne peuvent pas être gérés comme un simple continuum technique.

La checklist parcours à auditer

• Identifier les moments exacts où l’utilisateur devient authentifié.
• Lister les tags qui changent de comportement avant et après connexion.
• Vérifier si le centre de préférences est accessible dans les parcours post-login.
• Tester les cas de contradiction entre un appareil déjà connu et un nouvel appareil.
• Documenter le comportement des terminaux partagés et des sessions déconnectées.
• Recetter les formulaires, dashboards et connecteurs CRM avec des jeux de consentement différents.

Ce travail recoupe naturellement les sujets d’UX, d’architecture d’information et de conception de parcours. Une réflexion utile sur les usages, l’authentification et la lisibilité des interfaces peut être rapprochée de vos chantiers.

 

Plan d’action en 30 jours sans refonte complète

Vous n’avez pas besoin de refaire tout votre stack pour sécuriser le sujet. En revanche, vous devez traiter le problème comme un mini-programme transverse.
 

Semaine 1 : cadrer la règle de fonctionnement

• Nommer un responsable du chantier côté digital ou data.
• Cartographier les environnements concernés : site, app, espace client, portail partenaire.
• Décider la modalité de gestion des contradictions entre choix anonymes et choix du compte.
• Définir les finalités réellement utilisées par terminal et par état de connexion.

Semaine 2 : auditer la CMP et le déclenchement des tags

• Vérifier le texte et l’emplacement des mentions multi-terminaux.
• Tester la symétrie acceptation/refus/retrait.
• Contrôler la propagation effective des choix à tous les terminaux liés au compte.
• Comparer l’état CMP, le dataLayer et les déclencheurs analytics.

Semaine 3 : fiabiliser la donnée et la preuve

• Horodater les versions de configuration CMP.
• Conserver des captures et éléments de preuve d’interface.
• Documenter les identifiants techniques utilisés entre CMP, tag manager et analytics.
• Vérifier que l’identifiant transmis à un prestataire ne contient pas de donnée personnelle en clair.

Semaine 4 : recetter et gouverner

• Tester cinq parcours réels sur deux ou trois appareils.
• Mesurer l’impact sur les KPI les plus sensibles : utilisateurs, conversions, attribution, segments.
• Mettre à jour la documentation interne et la politique de confidentialité.
• Prévoir un audit périodique CMP + tracking + gouvernance.

Point de vue Tuesday — Le plan efficace n’est pas “CMP d’abord, analytics ensuite”. Il faut auditer ensemble interface, collecte et interprétation. C’est ce qui permet de réduire le risque rapidement, sans lancer une refonte complète de l’écosystème.

Pour les organisations qui pilotent leur croissance avec plusieurs leviers marketing, ce chantier a aussi un intérêt business simple : rétablir une base de décision plus lisible entre acquisition, contenu, CRM et performance de site.

 

FAQ sur le consentement multi-terminaux
 

Le consentement multi-terminaux est-il obligatoire ?

Non. La CNIL précise que sa mise en œuvre est facultative. En revanche, s’il est déployé, il doit respecter des conditions précises d’information, de portée des choix et de gestion des contradictions.

Le consentement cross-device concerne-t-il seulement les cookies publicitaires ?

Non. Il concerne plus largement les cookies et autres traceurs utilisés sur plusieurs environnements reliés à un même compte, dès lors que les choix sont unifiés.

Peut-on accepter sur un appareil et refuser sur un autre ?

Oui, si l’organisation permet des choix distincts par terminal. La CNIL l’encourage comme bonne pratique. En revanche, si un mécanisme multi-terminaux unifie les choix, cette logique doit être clairement expliquée.

Que faire si un utilisateur choisit avant de se connecter, puis s’authentifie ?

Il faut appliquer une règle claire de résolution entre les choix locaux et ceux du compte, puis informer explicitement l’utilisateur du résultat et de la façon de modifier ses préférences.

La mesure d’audience cross-device peut-elle être exemptée de consentement ?

Seulement dans un cadre très limité. Dès qu’il y a recoupement avec d’autres traitements, transmission à des tiers non nécessaire ou suivi global entre plusieurs sites ou services, l’exemption devient fragile ou inapplicable.

Quels KPI sont les plus touchés en B2B ?

L’attribution, la segmentation, les micro-conversions, le taux de consentement, le volume d’utilisateurs mesurés et la lecture des parcours entre mobile et desktop.

Faut-il redemander le consentement si l’on passe d’une logique par terminal à une logique multi-terminaux ?

Oui. La CNIL indique qu’un nouveau consentement doit être recueilli, car l’utilisateur doit être informé de la portée multi-terminaux de son choix.

 

Rendre le consentement multi-terminaux exploitable, pas seulement conforme

Le bon niveau de maturité n’est pas d’additionner une CMP, un tag manager et une politique de confidentialité. C’est d’obtenir un système cohérent, compréhensible et auditable, capable de produire une donnée fiable pour piloter un site B2B complexe.

Sur ce sujet, les décisions les plus utiles ne sont pas les plus visibles. Elles portent sur la règle de priorité entre états de consentement, la séparation entre univers anonyme et univers authentifié, la qualité des preuves et l’alignement entre juridique, marketing, produit et data.

Quand cette base est clarifiée, le consentement multi-terminaux cesse d’être un point de friction. Il devient un élément de gouvernance numérique, au service d’une mesure plus propre et de parcours mieux maîtrisés.