Le 3 mars 2026, Didomi organisait son traditionnel “Breakfast” de début d’année, consacré aux grands sujets à anticiper pour 2026, dans ses locaux parisiens du boulevard Sébastopol, dans le 2ᵉ arrondissement, à deux pas du pittoresque quartier du Sentier.

La matinée était animée par Romain Gauthier (CEO), Thomas Adhumeau (Chief Privacy Officer) et Kevin Domingo (Key Account Manager).

Beaucoup de choses se passent en ce moment. Et même si nous sommes déjà en mars, le timing reste bon : le rythme des annonces s’accélère, notamment en France. L’idée de la matinée : faire le tri entre ce qui est certain, ce qui est quasi certain et ce qui reste probable pour 2026, avec un fil conducteur assumé : concilier conformité et performance.

Au programme : cadre réglementaire, benchmark sur la performance du consentement et panorama des tendances Privacy & Performance pour 2026.

Contenu de l’article

📜 Cadre réglementaire : ce qui nous attend

✅ Consentement cross-device (recommandations CNIL – janvier 2026)

Premier sujet “certain” : le cross-device (ou “cross-terminal”, dans les termes de la CNIL). Le point de départ est simple : pour lutter contre la fatigue du consentement, l’autorité ouvre la voie à un consentement unique qui pourra être réutilisé sur plusieurs terminaux… mais à une condition centrale : rester dans un univers authentifié.

Les recommandations précisent que le cross-device doit être :

  • Limité à un univers authentifié (compte utilisateur)
  • Basé sur les mêmes finalités, mêmes traitements et mêmes prestataires techniques sur tous les terminaux
  • Accompagné d’une information claire : le choix s’applique à tous les appareils
  • Encadré par une règle de priorité en cas de contradiction, avec une primauté possible du choix effectué dans l’environnement logué
  • Soumis à un nouveau recueil de consentement en cas de changement de finalité ou de prestataire

Concrètement : si un utilisateur consent dans une app loguée, ce consentement peut ensuite s’appliquer lorsqu’il se connecte sur le web.

Le “point de friction” évoqué pendant la session : la gestion des contradictions. Typiquement, un utilisateur peut faire un choix en non logué… puis se connecter. Quelle version prime ? La CNIL tend à considérer que le consentement en environnement logué prévaut.

Autre élément marquant : lorsqu’un utilisateur arrive sur une nouvelle interface, un mécanisme de rappel est recommandé pour indiquer que des choix ont déjà été faits et peuvent être modifiés.

Didomi souligne enfin un point de contexte : ces recommandations ont été déclenchées suite à des échanges avec la CNIL autour d’un cas client.

📧 Pixels de traçage en emailing (recommandation attendue mars/avril 2026)

Deuxième sujet “quasi certain” : le tracking dans les emails. Un thème discuté depuis des années, et qui se rapproche d’un cadre plus explicite.

Le cœur du message : le consentement “marketing” (recevoir des communications) ne suffit pas si vous utilisez des pixels (ou tout mécanisme de tracking) dans vos emails. Il faudra un consentement spécifique.

Ce que souligne la CNIL dans les échanges :

  • Consentement spécifique pour le tracking email (ouverture, et plus largement tout ce qui est tracké)
  • Exigence de preuve individualisée : être capable de dire quand, comment, et dans quelle configuration la personne a consenti
  • Pas de période de grâce officielle

Côté mise en œuvre, deux cas ressortent :

  • Nouveaux contacts : intégrer la mention pixel dans la collecte marketing.
  • Base existante : la CNIL a évoqué l’email envoyé à toute la base pour demander le consentement pixel, mais l’approche est jugée peu efficace (pas de réponse = refus, et faibles taux attendus). D’où l’intérêt d’approches plus contextuelles (par exemple au login).

Point important discuté : la possibilité (évoquée) d’obtenir ce consentement “pixel” via la CMP, ce qui va dans le sens d’une CMP qui centraliserait progressivement davantage de consentements.

🧾 Preuve du consentement en marketing (consultation publique 2026)

Troisième sujet : la preuve du consentement en marketing. Le message est clair : quel que soit le canal, il faudra être capable de prouver un consentement de manière individualisée.

On parle ici de :

  • Journaux horodatés, archivés, auditables
  • Lien documenté entre consentement et activation marketing
  • Conservation sécurisée
  • Dans certains cas, un double opt-in pourrait devenir un réflexe (ex : point de vente avec confirmation par SMS ou email)

Le point à retenir : la CNIL veut aller vite (première moitié 2026), avec l’idée que, dans le fond, les obligations existaient déjà et qu’il n’y a donc pas forcément de “temps d’adaptation” formel.

Enfin, la session insiste sur un sujet souvent sous-estimé : le retrait du consentement. Il doit être aussi simple que l’octroi… et surtout, il doit pouvoir se propager dans une chaîne de vendors, ce qui n’est pas toujours trivial.

Contenu de l’article

🇪🇺 EU Digital Omnibus : vers une modernisation RGPD & ePrivacy

Didomi revient ensuite sur l’EU Digital Omnibus, présenté comme une tentative de modernisation avec un objectif assumé : simplifier la mise en conformité et renforcer la compétitivité des entreprises en Europe.

Trois points structurants ressortent des échanges :

1️⃣ Définition des données personnelles

Une piste discutée : introduire une logique où, selon le responsable de traitement, une donnée pseudonymisée pourrait ne pas être considérée “personnelle” si l’acteur n’a pas la capacité de réidentifier. Cette orientation est très contestée et pourrait être retirée.

2️⃣ Rapprochement RGPD / ePrivacy

Aujourd’hui, on peut se retrouver à devoir demander un consentement ePrivacy pour déposer un cookie, alors que le traitement derrière est sur l’intérêt légitime. L’Omnibus ouvre l’idée d’aligner la base légale du cookie sur celle du traitement, ce qui pourrait changer radicalement certaines pratiques.

3️⃣ Consentement au niveau du navigateur

C’est l’idée la plus “structurante” : un consentement donné au niveau du navigateur, appliqué à toute la navigation. L’objectif est de réduire la fatigue du consentement, mais les implications sont lourdes (y compris en termes de compétitivité). Une exemption sectorielle est évoquée pour les médias de presse.

Sur la timeline : beaucoup d’incertitudes, du lobbying, et une application plutôt à horizon 2028–2030 avec des délais de mise en conformité.

Contenu de l’article

📊 Benchmark Didomi : que disent les données ?

Le benchmark cherche à rendre lisible la dualité “conformité + performance”. Trois métriques sont mises en avant :

  • Opt-in rate : % d’acceptation sur l’ensemble des exposés
  • No choice rate : % de personnes qui ne font pas de choix (ex : quittent)
  • Consent rate : % d’acceptation parmi ceux qui ont fait un choix

📈 Europe : stabilité globale, mais fatigue visible

Globalement, les données restent stables à l’échelle européenne, mais la “météo” révèle une tendance : l’Europe de l’Ouest baisse, l’Europe de l’Est résiste mieux.

En France : une baisse de 2 points entre 2024 et 2025 est évoquée comme une évolution “structurelle” depuis plusieurs années, probablement liée à la surexposition aux bannières et à la fatigue du consentement.

📱 Performances par appareil

Les taux restent proches entre devices, avec quelques nuances :

  • Smartphone : opt-in élevé (61,5 %)
  • Desktop : taux de consentement solide (77,8 %)
  • CTV : taux de consentement plus bas, mais moins de “no choice” : les utilisateurs exposés font plus souvent un choix

🪟 Formats de bannières

Le format qui domine reste le pop-up, avec un taux d’adoption très élevé (78,5 %). Le format en en-tête affiche un consent rate plus haut, mais il est très peu adopté, ce qui empêche d’en tirer une conclusion opérationnelle. Message : gardez vos pop-ups.

❌ Options de refus

Les différences réglementaires entre pays influencent les mécaniques possibles. Un point est rappelé : certaines options (ex : croix) existent en Italie mais pas en France.

Sur les performances, un enseignement ressort : le “continuer sans accepter” est présenté comme une option qui performe bien dans l’écosystème observé.

🔎 Interaction granulaire

Troisième enseignement : la granularité reste marginale :

  • 5,4 % consultent les finalités
  • 0,6 % consultent les vendors
  • 0,2 % modifient les vendors

Autrement dit : la majorité des choix restent “haut niveau”.

📌 Standards

Deux signaux :

  • montée des normes type GPP (Global Privacy Protocol), mais surtout en Amérique du Nord
  • adoption accélérée de Google Consent Mode (multipliée par 3 sur un an)
Contenu de l’article

🔮 Panorama 2026 : 4 tendances data privacy

1️⃣ Fatigue du consentement

Un sujet CNIL, un sujet utilisateur, et un sujet business. L’approche proposée : solliciter moins, mais mieux.

Axes cités :

  • personnalisation “utile” (toutes les expériences ne méritent pas d’être personnalisées)
  • consentement multi-terminaux / cross-device
  • exploration du cross-domain
  • “consent pool” : partage de consentements entre partenaires
  • réflexion sur le bon moment pour interrompre l’utilisateur, car interrompre a un coût (no choice, bounce)

Le corollaire assumé : reconnaître l’utilisateur devient central, surtout si la preuve individualisée devient la norme.

2️⃣ Orchestration du consentement

L’idée est de construire un profil privacy unifié : CMP, préférences, consentements marketing, CRM… et de tracer la provenance et la conformité via une logique de consent lineage.

Un cas d’usage cité : CRM to media, avec la perspective de relier un choix de consentement à l’activation media.

3️⃣ Server-side tagging

Angle intéressant : renverser la perspective. Le server-side n’est pas seulement une “réponse” aux contraintes, c’est aussi une opportunité pour reprendre la main sur la gouvernance et reconstruire des actifs data, tout en améliorant la performance.

Didomi mentionne sa dynamique sur le server-side via AddingWell, et l’intérêt de mieux comprendre où se situe la donnée personnelle au fil du parcours.

4️⃣ IA & Privacy

Enfin, l’IA, avec un paradoxe : faible confiance, adoption forte.

La réflexion va plus loin : et si l’expérience utilisateur changeait radicalement avec des agents ? Dans un monde agent-to-agent, la “transaction privacy” pourrait devenir plus riche que le choix binaire actuel, avec une marge de manœuvre pour inventer de nouvelles formes d’échange.

🧩 En résumé

2026 se dessine comme une année charnière :

  • CNIL très active (cross-device, pixels email, preuve marketing)
  • Digital Omnibus potentiellement structurant mais encore incertain
  • Consent fatigue au centre de l’équation
  • Server-side comme levier de reprise de contrôle et de performance
  • IA en toile de fond, avec une transformation potentielle des parcours

Beaucoup d’incertitudes. Mais aussi, clairement, des chantiers concrets à ouvrir dès maintenant.

Chez Optimal Ways, nous vous accompagnons de façon très opérationnelle sur :

  • Audit & conformité (CMP, email/pixels, preuve du consentement, traçabilité)
  • Optimisation de la collecte (consent rate / no-choice, parcours, réduction de la fatigue)
  • Orchestration du consentement (CMP + CRM + marketing, gouvernance)
  • Server-side tagging & architecture data (reprise de contrôle, performance, conformité)