La multiplication des interfaces de consentement a installé une forme de lassitude chez les utilisateurs : la consent fatigue, phénomène désormais dans le viseur de la Commission Européenne. Si cette préoccupation ne traduit pas un rejet du principe de consentement, elle expose plutôt les limites de son modèle actuel. Un enjeu civil, économique et géopolitique au goût de victoire européenne : à travers cette ambition de réforme, le cadre juridique européen a, en réalité, prouvé qu’il a réussi à imposer un standard : celui d’un consentement libre, spécifique, éclairé et univoque.
Trois modèles s’affrontent alors aujourd’hui pour structurer l’avenir du consentement en ligne : le modèle actuel, une gestion hétérogène et décentralisée, opéré principalement par les plateformes de gestion du consentement (CMP); une proposition de modèle avec un signal centralisé au niveau du navigateur, actuellement discuté dans le cadre du Digital Omnibus; et une troisième voie, fondée sur l’interopérabilité via une API navigateur, portée par l’European CMP Association, qui vise à offrir une alternative à la consent fatigue reposant sur la compétitivité des assistants de consentement, sans sacrifier les droits des individus et la performance des entreprises, ni concentrer le pouvoir auprès des GAFAM.
Outre leur impact relatif sur la consent fatigue, ces trois architectures redéfinissent la distribution de la valeur des données dans l’économie et le degré de souveraineté que l’Europe entend conserver sur ses infrastructures. Décryptage des impacts techniques, économiques, sociétaux et géopolitiques de ces trois modèles en compétition aujourd’hui.
Le modèle actuel des CMP : du succès d’un standard à l’international à l’émergence de la consent fatigue
Le modèle actuel repose sur une logique décentralisée dans laquelle chaque site est responsable de la collecte, de la transmission et du respect du consentement. Les plateformes de gestion du consentement (CMP) se sont imposées comme les outils opérationnels de cette obligation résultant de la mise en application du RGPD.
Ce modèle repose sur le principe que le consentement doit être exprimé dans un contexte donné, pour des finalités spécifiques, auprès d’acteurs identifiables. Cette contrainte explique la nature même des interfaces déployées depuis 2018. Chaque site devient un point de collecte autonome, chargé d’expliciter ses propres usages de la donnée à travers le célèbre et désormais “présumé coupable” de la consent fatigue : le bandeau cookies.
Cette architecture a permis une montée en puissance rapide de la conformité dans les priorités des entreprises, en externalisant sa complexité vers des solutions spécialisées.
Pour certains marchés, comme celui des médias où le business model repose entièrement sur la qualité et les volumes de données collectées, elle a favorisé l’émergence de standards comme le Transparency and Consent Framework (TCF) de l’IAB Europe, dont l’objectif est de garantir la transmission des préférences utilisateurs à tous les acteurs.
Si ce type de standard formalise un signal de consentement exploitable par des systèmes tiers, il reste structuré autour d’un cas d’usage spécifique, celui de la publicité programmatique pour les éditeurs de contenus. Et pour défendre leurs intérêts économiques, des pratiques sacrifiant l’expérience utilisateur comme des murs de consentement, des finalités juridiques incompréhensibles pour le commun des mortels ou bien des systèmes de “Pay or Consent” ont vu le jour, transformant l’étape du consentement en un nouveau levier de frustration pour la navigation.
Ainsi cette décentralisation a un coût structurel. Chaque interaction utilisateur devient un point de friction potentiel, et la répétition de ces interactions produit mécaniquement un effet de saturation.
Mais cette fatigue n’est pas uniquement imputable à la qualité des interfaces. Elle résulte aussi de contraintes techniques imposées par certains géants du web. Les mécanismes de protection de la vie privée intégrés dans les navigateurs, tels que la suppression régulière des cookies résultant de l’ITP de Safari de l’ETP de Firefox, empêchent la sauvegarde des choix de consentement dans le temps.
Dans la même logique, les environnements embarqués comme les webviews intégrées dans des applications mobiles sont dissociées de la navigation principale et empêchent l’accès aux préférences précédemment exprimées. Dans ces conditions, un même utilisateur peut être sollicité de manière répétée, alors qu’il a déjà exprimé son choix. Sans oublier l’App Tracking Transparency (ATT) venant rajouter une étape redondante pour les utilisateurs d’Apple, comme précisé par la CNIL.
Par ailleurs, ce modèle d’industrialisation du consentement a introduit une tension entre conformité et performance économique. Les éditeurs sont incités à optimiser leurs interfaces pour maximiser les taux d’acceptation. Cette optimisation passe malheureusement parfois par des choix de design discutables, mais elle traduit la transformation du consentement comme une variable déterminante du revenu. En retour, cela crée finalement une boucle d’amélioration continue plutôt positive pour l’utilisateur final, poussant les sites les plus vertueux à revoir et personnaliser leur interface pour favoriser la transparence, la pédagogie et l’expérience utilisateur.
En synthèse, ce modèle marque le succès de l’initiative européenne pour un consentement libre et éclairé, reposant sur une infrastructure économique bien distribuée, dans laquelle chaque acteur reste responsable de la relation de consentement avec ses utilisateurs. Une victoire juridique qui s’exporte désormais partout dans le monde, où chaque pays adopte un règlement similaire au RGPD en intégrant ses propres spécificités. Cependant, ce succès s’est accompagné de dérives structurelles à la fois techniques, économiques et expérientielles, qui, en s’accumulant, ont progressivement altéré la fluidité du parcours utilisateur et contribué à installer durablement la consent fatigue, ouvrant ainsi le débat sur l’évolution même de l’architecture du consentement.
Plutôt qu’un aveu d’échec, chez Axeptio, nous voyons la consent fatigue comme un signal. Le signal qu’il est temps d’innover et d’aller encore plus loin dans la personnalisation des préférences utilisateurs.
Le signal centralisé au niveau du navigateur : le cadeau du Digital Omnibus pour les Big Techs américains
Le projet d’un signal de consentement unique et centralisé, déterminé directement par le navigateur s’inscrit dans une volonté de simplification radicale de l’architecture du consentement.
Proposé par l’article 88b du Digital Omnibus, ce modèle promet de supprimer la répétition des sollicitations des CMP en privilégiant une préférence globale exprimée en amont et “une fois pour toutes” au niveau du navigateur.
Dans le modèle actuel, le consentement s’exprime toujours dans un contexte précis. L’utilisateur sait où il se trouve et à qui il a affaire. Il peut décider, par exemple, d’accepter le dépôt de cookies sur le site de son média ou de son club de football préféré, auquel il fait confiance et dont il comprend les usages. À l’inverse, face à un site e-commerce inconnu ou à un acteur dont il ne perçoit pas clairement les intentions, il peut refuser de partager ses données. Le consentement devient alors une décision liée à un acteur précis, à une finalité et à un niveau de confiance, comme le prouve également une étude réalisée par le pôle sciences comportementales de la DITP qui accompagne la CNIL.
Le modèle centralisé au niveau du navigateur tel que le propose l’article 88b du Digital Omnibus efface cette dimension contextuelle. En demandant à l’utilisateur d’exprimer une préférence unique, en amont de toute navigation, il l’oblige à arbitrer de manière uniforme entre des situations pour lesquelles il n’aurait pas pris la même décision. Soit il accepte globalement, au risque de partager ses données avec des acteurs auxquels il n’aurait jamais consenti ; soit il refuse globalement, au détriment de services pour lesquels il aurait été prêt à contribuer.
Ce modèle entre donc en contradiction avec les exigences du RGPD. En vertu des articles 4(11) et 7, un consentement valide doit être spécifique, éclairé et lié à des finalités déterminées, dans le cadre d’un traitement précis et opéré par un responsable clairement identifié. Une préférence globale, définie indépendamment de tout contexte d’usage, ne permet plus de répondre à ces exigences.
Au-delà de cette incompatibilité juridique, ce modèle soulève des enjeux économiques majeurs. Selon l’European CMP Association, les estimations anticipent une chute des taux de consentement pouvant atteindre jusqu’à 80 % si les signaux navigateur venaient à remplacer les mécanismes actuels. Une telle baisse aurait des conséquences immédiates sur les revenus publicitaires.
Ce modèle accentue également le déséquilibre existant entre les acteurs. Les grandes plateformes disposant d’écosystèmes fermés et d’utilisateurs authentifiés, capables de s’appuyer sur des volumes massifs de données first-party, sont structurellement moins dépendantes du consentement collecté. À l’inverse, les acteurs européens, qui reposent sur des signaux de consentement explicites pour opérer leurs outils d’analyse, de personnalisation ou de relation client, voient leur capacité d’exploitation de la donnée directement fragilisée.
La question de la gouvernance devient alors centrale. En pratique, cela revient à confier l’infrastructure du consentement à un nombre extrêmement restreint d’acteurs, majoritairement non européens : Google (Chrome), Apple (Safari), Microsoft (Edge) et Mozilla, dont le financement dépend en grande partie de Google. Hors les initiatives comme la Privacy Sandbox de Google ou l’App Tracking Transparency d’Apple ont toutes deux fait l’objet d'enquêtes et de procédures pour pratiques anticoncurrentielles, précisément parce que la conception de leurs mécanismes de consentement favorisait leurs propres écosystèmes. Ces précédents rendent difficile toute confiance dans leur capacité à concevoir une architecture de consentement qui ne serve pas prioritairement leurs propres intérêts.
Cette concentration entre d’ailleurs en contradiction directe avec les objectifs du Digital Markets Act, qui vise précisément à limiter le pouvoir de ces gatekeepers. Plus largement, il soulève une question de souveraineté : confier une infrastructure aussi critique que le consentement à des acteurs extra-européens revient à externaliser une partie du contrôle sur l’économie de la donnée.
Pour autant, la question du rôle du navigateur ne doit pas être écartée. La capacité à centraliser une partie de la gestion du consentement reste une piste pertinente pour lutter contre la consent fatigue. Mais cette centralisation n'est souhaitable que si elle préserve la spécificité du consentement RGPD, et permet au plus grand nombre d'acteurs de proposer des solutions concurrentes et ainsi éviter la centralisation... de la centralisation.
Interopérabilité, API et consent assistants : une solution efficace contre la consent fatigue sans sacrifier la granularité du consentement
Pour répondre aux limites du modèle actuel et proposer un autre modèle de centralisation, une troisième voie consiste à organiser l’interopérabilité entre les différents acteurs de l’écosystème (navigateurs, sites, CMP, services tiers…) afin de permettre un échange standardisé, en temps réel, des préférences de l’utilisateur, dans l’objectif de réduire l’exposition aux bandeaux cookies sans renoncer à un consentement contextualisé et granulaire.
Cette approche s’inscrit dans une évolution plus large des usages numériques, marquée par l’adoption croissante d’assistants IA capables de prendre en charge des décisions à la place des utilisateurs, y compris dans la gestion de leurs données personnelles.
Dans ce prolongement, une nouvelle catégorie d’outils émerge donc : les assistants de consentement. Leur rôle est de permettre à l’utilisateur de définir des règles de préférences, puis de les appliquer automatiquement, de manière contextualisée, lors de sa navigation. Là où le modèle navigateur impose une réponse unique et globale, ces assistants conservent la granularité du choix en l’adaptant à chaque situation.
Concrètement, un utilisateur peut, par exemple, indiquer qu’il accepte les mesures d’audience sur les sites d’information qu’il consulte régulièrement, qu’il refuse tout profilage publicitaire, mais qu’il autorise certaines formes de personnalisation sur des services auxquels il est abonné. Lorsqu’il navigue ensuite sur son site média sportif préféré, auquel il fait confiance, l’assistant applique ces préférences et autorise les usages correspondants sans qu’il soit lui-même exposé à la bannière au cours de sa navigation.
En l’absence d’assistant, le fonctionnement ne change pas : la CMP s’affiche, recueille le consentement et en assure la conservation et la transmission, comme aujourd’hui. L’architecture reste donc pleinement compatible avec les usages existants. En revanche, lorsque l’utilisateur est équipé d’un assistant, la consent fatigue disparaît : le dialogue ne s’effectue plus entre la CMP et l’utilisateur mais directement entre la CMP et l’assistant.
Toutefois, pour rendre ce dialogue possible, encore faut-il que les différents acteurs puissent se comprendre. C’est précisément l’objectif d'interopérabilité, porté par des initiatives comme navigator.consent, qui propose une API navigateur servant de couche de coordination entre les CMP et les assistants de consentement.
Lorsqu’un site se charge, sa CMP s’enregistre auprès du navigateur et expose, de manière structurée, les finalités de traitement ainsi que les services tiers impliqués. Si aucun consentement préalable n’est disponible, une demande est formulée. L’assistant de consentement peut alors lire ces informations, les comparer aux préférences de l’utilisateur et appliquer une décision granulaire. Cette décision est transmise à la CMP, qui ajuste les signaux en conséquence. Le consentement est établi sans interaction de l’utilisateur avec la CMP et donc sans interruption dans la navigation.
Sur le plan technique, cette architecture n’ajoute pas de complexité. L’effort d’intégration repose principalement sur les fournisseurs de navigateurs, qui gèrent déjà des API plus complexes. Pour les autres acteurs, elle s’inscrit dans la continuité du modèle actuel. Les entreprises conservent leurs CMP et leurs outils actuels, tandis que les utilisateurs peuvent choisir d’adopter ou non un assistant de consentement.
Sur le plan économique et politique, cette approche permet l’émergence d’un marché concurrentiel d’assistants de consentement, évitant la concentration du pouvoir entre quelques acteurs dominants. Elle préserve le rôle des infrastructures européennes et s’inscrit naturellement dans les dynamiques de souveraineté de la donnée.
Plusieurs initiatives existent déjà pour permettre aux utilisateurs de déléguer la gestion de leur consentement à un assistant de confiance. Taste est la solution que nous avons développée chez Axeptio, et déjà adoptée par des milliers d’utilisateurs de Chrome, Safari et Firefox. D’autres solutions existent également, telles que Consent-O-Matic, SuperAgent, ou Consenter.eu. Toutes proposent des architectures différentes et démontrent que l’innovation est non seulement possible, mais surtout souhaitable.
Pour l’utilisateur, le récit devient simple : installer un assistant de consentement permet de naviguer sans être confronté à une succession de bannières, tout en conservant un contrôle fin sur ses données. Pour les entreprises, le consentement reste exploitable, traçable et conforme. Pour les régulateurs, il devient possible de concilier lutte contre la consent fatigue et respect des engagements initiés par le RGPD.
En conclusion, là où le modèle actuel commence à montrer ses limites et où le modèle proposé par le Digital Omnibus comporte des risques pour l’ensemble des acteurs européens, l’interopérabilité permet d'organiser l’évolution du consentement sans renoncer à ses principes fondateurs.
