CNIL | SAN-2025-010 | 20 novembre 2025 | Affaire LES PUBLICATIONS CONDE NAST | MANQUEMENTS

LE CADRE NORMATIF APPLICABLE : L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS

Unique fondement de la sanction, l’article 82 de la loi Informatique et Libertés transpose le §3 de l’article 5 de la directive 2002/58/CE, dite directive « ePrivacy », modifiée par la directive 2009/136/CE. Son application est exclusive du mécanisme de guichet unique du RGPD : la CNIL est compétente, à titre principal, pour tout traitement consistant à inscrire ou lire des données sur le terminal d’un utilisateur situé en France, quelle que soit la localisation de l’établissement du responsable de traitement. Ce point, expressément affirmé dans les délibérations SHEIN (SAN-2025-005) et Google/Orange (SAN-2025-004), est implicitement présupposé dans la délibération SAN-2025-010.

L’article 82 dispose, dans ses alinéas fondamentaux :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »

L’alinéa suivant précise les exceptions :

« Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 1° soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

---

IDENTIFICATION ET ANALYSE DE CHAQUE MANQUEMENT RETENU

---

MANQUEMENT N° 1 — DÉPÔT DE COOKIES SOUMIS À CONSENTEMENT AVANT TOUTE INTERACTION DE L’UTILISATEUR

 

Constatation par la délégation de contrôle. Lors du contrôle en ligne du 9 novembre 2023, la délégation a relevé le dépôt sur son terminal d’un cookie NID à finalité de mémorisation des préférences et de personnalisation publicitaire (service Google), persistant pendant 6 mois, dès l’arrivée sur le site vanityfair.fr et avant toute interaction de l’utilisateur avec une quelconque interface de recueil du consentement. Le contrôle complémentaire du 11 février 2025 a confirmé la persistance de cette pratique.

Position de la société en défense. La société a d’abord soutenu que le cookie NID entrait dans le champ de l’exemption de consentement, au motif qu’il serait strictement nécessaire au fonctionnement du service. Elle a ensuite reconnu, en cours d’instruction, que ce cookie ne bénéficiait pas de l’exemption et a indiqué avoir procédé à des corrections techniques. Elle a par ailleurs argué que les mesures correctives prises en cours de procédure devraient être prises en compte pour atténuer la responsabilité.

Motivation de la formation restreinte. La formation restreinte a écarté ces arguments dans leur intégralité. S’agissant de la qualification d’exemption, elle a rappelé qu’un cookie de personnalisation publicitaire et de mémorisation de préférences ne saurait en aucun cas être qualifié de « strictement nécessaire » au sens de l’article 82. S’agissant des mesures correctives, elle a rappelé un principe constant de sa jurisprudence : la mise en conformité postérieure à l’engagement de la procédure ne saurait effacer la responsabilité du responsable de traitement pour les faits passés. Le contrôle de février 2025 ayant au surplus démontré la persistance des manquements, cet argument était au demeurant dépourvu de portée factuelle. Le manquement a été retenu pour la période allant au moins des contrôles de juillet et novembre 2023 jusqu’au contrôle de février 2025.

---

MANQUEMENT N° 2 — INSUFFISANCE DE L’INFORMATION SUR LES FINALITÉS DES COOKIES PRÉTENDUMENT EXEMPTÉS

 

Constatation par la délégation de contrôle. Lors du contrôle de novembre 2023, la délégation a constaté que des cookies figuraient dans le gestionnaire de consentement de la société comme « strictement nécessaires » — et donc présentés aux utilisateurs comme ne nécessitant pas de consentement — sans qu’aucune information utile sur leurs finalités ne soit accessible dans l’interface mise à leur disposition.

Position de la société en défense. La société a soutenu que la qualification de « strictement nécessaire » était fondée sur une analyse technique préalable et que les finalités de ces cookies étaient, selon elle, raisonnablement déductibles de leur nature. Elle a en outre avancé que l’information globale disponible dans sa politique de confidentialité suppléait à l’absence de mention spécifique dans le gestionnaire de consentement.

Motivation de la formation restreinte. La formation restreinte a rejeté cette argumentation. L’obligation d’information de l’article 82 est claire et complète, ce qui implique que la finalité de chaque catégorie de traceurs soit portée à la connaissance de l’utilisateur avant tout dépôt, de manière précise et accessible. Un renvoi à une politique de confidentialité générale, dont la consultation n’est pas garantie, ne satisfait pas à cette exigence. La formation restreinte a souligné que la qualification d’exemption ne dispense pas le responsable de traitement de son obligation d’information :

« Des cookies apparaissaient comme des cookies strictement nécessaires, et dès lors exempts de l’obligation de recueillir le consentement des utilisateurs, sans qu’aucune information utile sur leurs finalités (objectifs) ne soit mise à la disposition de ces derniers. »

Ce manquement traduit une confusion entretenue entre l’obligation de consentement — qui peut, pour les cookies exemptés, être levée — et l’obligation d’information, qui demeure pleine et entière quelle que soit la catégorie de traceurs en cause.

---

MANQUEMENT N° 3 — MÉCANISMES DE REFUS ET DE RETRAIT DU CONSENTEMENT TECHNIQUEMENT DÉFAILLANTS

 

Constatation par la délégation de contrôle. Ce grief, le plus grave retenu dans la délibération, a été constaté tant lors des contrôles de 2023 que lors du contrôle de février 2025. La délégation a établi que, lorsqu’un utilisateur cliquait sur le bouton « Tout refuser » présent dans le bandeau cookies de vanityfair.fr, ou lorsqu’il procédait au retrait de son consentement depuis les paramètres de cookies :

« de nouveaux cookies soumis à consentement étaient pourtant déposés et d’autres cookies, déjà présents, continuaient d’être lus. »

Position de la société en défense. La société a invoqué la complexité technique des intégrations de scripts tiers pour expliquer ces dysfonctionnements, présentant les faits comme de simples incidents techniques sans portée intentionnelle. Elle a également fait valoir qu’elle avait pris des mesures correctives entre les deux séries de contrôles, soulignant sa bonne foi et sa collaboration avec la CNIL.

Motivation de la formation restreinte. La formation restreinte a retenu le manquement sans ambiguïté et sans accorder d’atténuation liée à l’absence d’intention. L’obligation de l’article 82 est une obligation de résultat : le mécanisme de refus et de retrait doit être techniquement efficace. La complexité des architectures techniques de dépendance vis-à-vis de prestataires tiers n’exonère pas le responsable de traitement, qui demeure seul responsable de l’ensemble des traitements mis en œuvre depuis son site. La formation restreinte a insisté sur la dimension systémique de ce manquement :

« la formation restreinte insiste sur la durée particulièrement longue des échanges de la société avec la CNIL, qui ont débuté en 2019, soit il y a plus de cinq ans. »

Ce manquement est d’une gravité particulière car il anéantit la substance même du droit au consentement : l’utilisateur qui refuse, croyant avoir exercé son droit, continue d’être tracé à son insu. Le consentement est ainsi vidé de toute réalité pratique.

---

MANQUEMENT N° 4 — PERSISTANCE DES VIOLATIONS LORS DU CONTRÔLE DE FÉVRIER 2025 NONOBSTANT LES MESURES ANNONCÉES

 

Dimension transversale. Ce quatrième grief n’est pas un manquement distinct à une obligation autonome : il constitue la dimension temporelle aggravante des manquements 1 et 3. La formation restreinte a constaté que le contrôle du 11 février 2025, réalisé plus d’un an et demi après les contrôles ayant déclenché la procédure en cours, établissait la persistance de dépôts de cookies sans consentement et de mécanismes de refus défaillants. Cette persistance, intervenant après une mise en demeure (2021), une clôture avec observations (2022) et l’engagement de la présente procédure (2023), caractérise une récidive structurelle de la société.

Position de la société en défense. La société a soutenu que des mesures techniques substantielles avaient été déployées entre les contrôles de 2023 et celui de 2025, et que les manquements résiduels constatés en 2025 n’étaient que marginaux et en cours de correction.

Motivation de la formation restreinte. La formation restreinte a écarté cette argumentation, retenant que les constatations du contrôle de février 2025 démontraient objectivement la persistance du manquement à l’article 82, indépendamment de l’appréciation subjective portée par la société sur l’étendue de ses mesures correctives. La formation restreinte a explicitement qualifié le comportement de la société de non-conforme aux exigences du principe d’accountability :

« Si la société a pris des mesures concrètes de mise en conformité, il n’en reste pas moins que ces mesures ne sont intervenues qu’en réponse aux sollicitations de la CNIL. »

---

LA DÉTERMINATION DU MONTANT DE L’AMENDE

---

CRITÈRES LÉGAUX MOBILISÉS

 

La formation restreinte a fait application des critères de l’article 83, §2, du RGPD — rendu applicable par renvoi de l’article 20-IV de la loi Informatique et Libertés — pour moduler le montant de l’amende. Elle a retenu les éléments suivants.

Au titre des circonstances aggravantes :

—-La durée du manquement et des échanges avec la CNIL (plus de 5 ans depuis la première plainte de 2019) ;
—-Le nombre de personnes concernées (plus de 6 millions de visiteurs en France entre juin et octobre 2023) ;
—-L’absence de mise en conformité proactive — la société n’ayant agi qu’en réaction aux sollicitations de la CNIL et non de sa propre initiative ;
—-L’existence d’une procédure antérieure (mise en demeure 2021, clôture avec observations 2022) qui aurait dû conduire la société à garantir une conformité durable ;
—-La gravité de l’atteinte aux droits des utilisateurs, la formation restreinte ayant expressément énoncé :

« la société a porté une atteinte grave au droit des utilisateurs de conserver la maîtrise de leurs données, en traçant leur activité à leur insu via le dépôt sur leurs terminaux, sans leur consentement, de cookies ne relevant pas des exceptions mentionnées à l’article 82 de la loi Informatique et Libertés. »

Au titre des éléments atténuants :

—-La coopération de la société avec la CNIL au cours de la procédure ;
—-Les mesures correctives partiellement déployées, même si elles n’ont pas abouti à une mise en conformité complète avant la délibération.

---

RÉSULTAT DE LA MODULATION

 

La formation restreinte a prononcé une amende de 750 000 euros. Ce montant représente environ 2,8 % du chiffre d’affaires 2023 de la société (26,5 M€). Il s’inscrit dans la fourchette haute des amendes cookies prononcées contre des acteurs de taille intermédiaire, cohérente avec les précédents Yahoo (10 M€), American Express (1,5 M€) et, pour un acteur de taille similaire, NS Cards France (105 000 €). La formation restreinte a choisi de ne pas prononcer d’injonction formelle — contrairement à d’autres délibérations récentes (FREE, SAN-2026-001-002) — les éléments du dossier démontrant, au jour de la délibération, une trajectoire de mise en conformité, même incomplète.

---

SUR L’ABSENCE D’INJONCTION ET LA DÉCISION DE PUBLICATION

La formation restreinte n’a pas prononcé d’injonction de mise en conformité, estimant que la combinaison de l’amende et de la publication constituait une réponse suffisante au regard de l’état de la mise en conformité au jour de la délibération.

Elle a en revanche ordonné la publication de la décision sur le site de la CNIL et sur Légifrance, avec anonymisation différée après deux ans :

« au regard de la gravité avérée des manquements en cause, de la position de la société sur le marché et du nombre de personnes concernées, lesquelles doivent être informées. »

Elle a rejeté l’argument de la société selon lequel la publication porterait atteinte au secret des affaires, estimant :

« que les informations figurant dans la présente délibération ne constituent pas des informations sensibles et ne sont pas susceptibles d’être protégées par le secret des affaires. »

---

DISPOSITIF — VERBATIM INTÉGRAL

La formation restreinte de la CNIL, après en avoir délibéré, décide de prononcer une amende administrative à l’encontre de la société LES PUBLICATIONS CONDÉ NAST d’un montant de sept cent cinquante mille euros (750 000 €) pour manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; de rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-010 du 20 novembre 2025, par laquelle la formation restreinte de la CNIL a infligé une amende de 750 000 euros à la société LES PUBLICATIONS CONDÉ NAST, éditrice du site vanityfair.fr (VANITY FAIR, VOGUE, GQ, AD), constitue un jalon supplémentaire — et particulièrement révélateur — dans la construction d’une jurisprudence cookies désormais mature et intransigeante : fondée sur l’article 82 de la loi Informatique et Libertés, transposition de l’article 5, §3, de la directive 2002/58/CE, la délibération sanctionne un manquement unique mais démultiplié en quatre branches, qui couvre l’intégralité du cycle de vie non conforme du traceur — dépôt d’un cookie NID à finalité de personnalisation publicitaire avant toute interaction de l’utilisateur, information insuffisante sur les finalités de cookies abusivement qualifiés de « strictement nécessaires », mécanismes de refus et de retrait techniquement inopérants (des cookies continuant à être déposés et lus après que l’utilisateur avait cliqué sur « Tout refuser » ou retiré son consentement), et persistance de ces violations jusqu’au contrôle de février 2025, soit plus de cinq ans après la première plainte de l’association NOYB en décembre 2019 et nonobstant une mise en demeure prononcée en 2021 et close avec observations en 2022 — ce qui conduit la formation restreinte à qualifier l’attitude de la société de conformité purement réactive, structurellement incompatible avec le principe d’accountability, et à en tirer une circonstance aggravante déterminante dans la fixation du montant de l’amende au regard des critères de l’article 83 du RGPD, aux côtés de la gravité de l’atteinte au droit des quelque 6 millions de visiteurs français tracés à leur insu et du nombre de personnes concernées : la décision s’inscrit ainsi dans le sillage direct des délibérations SHEIN (SAN-2025-005, 150 M€) et American Express (SAN-2025-011, 1,5 M€) pour réaffirmer que l’obligation posée par l’article 82 est une obligation de résultat — ni la complexité de l’architecture technique ni l’invocation de mesures correctives tardives ne pouvant exonérer le responsable de traitement —, et pour rappeler que le champ de l’exemption de consentement est d’interprétation stricte, exigeant une documentation précise de chaque finalité et une information claire et complète portée à la connaissance de l’utilisateur avant tout dépôt de traceur ; la formation restreinte décide en outre la publication de la délibération avec anonymisation différée après deux ans, écartant l’argument du secret des affaires invoqué par la société, et renonce au prononcé d’une injonction au vu de la trajectoire de mise en conformité engagée, la sanction pécuniaire et la publicité étant jugées suffisantes pour atteindre les objectifs d’effectivité, de proportionnalité et de dissuasion assignés par le législateur européen à l’exercice du pouvoir de sanction des autorités de contrôle nationales.