CNIL | SAN-2025-010 | 20 NOVEMBRE 2025 | AFFAIRE LES PUBLICATIONS CONDE NAST |
VANITY FAIR: 6 MILLIONS D’UTILISATEURS PISTÉS, PROFILÉS & TRACÉS MALGRÉ LEUR REFUS EXPRIME
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Les Publications Condé Nast — Manquements aux obligations en matière de cookies (article 82 de la loi Informatique et Libertés)
I.
Le cadre normatif applicable : l’article 82 de la loi Informatique et Libertés et la directive ePrivacy
Le droit applicable en matière de cookies et traceurs repose, en droit de l’Union, sur l’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002, dite directive ePrivacy, telle que modifiée par la directive 2009/136/CE du 25 novembre 2009. Ce texte fonde le principe selon lequel tout accès aux informations stockées sur le terminal d’un utilisateur, ou toute inscription d’informations dans ce terminal, est subordonné au consentement préalable et éclairé de l’intéressé, sauf dans deux cas d’exemption limitativement définis : lorsque l’opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou lorsqu’elle est strictement nécessaire à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur.
En droit français, ces règles ont été transposées à l’article 32, paragraphe II, de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, devenu l’article 82 depuis la réécriture opérée par l’ordonnance n° 2018-1125 du 12 décembre 2018. L’article 82 prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement, ainsi que des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à la condition que l’abonné ou la personne utilisatrice ait exprimé son consentement après avoir reçu cette information.
La CNIL a précisé les modalités d’application de ce cadre normatif à travers une recommandation relative aux cookies et autres traceurs du 5 décembre 2013 (délibération n° 2013-378), puis, en dernier lieu, dans ses lignes directrices n° 2020-091 et sa recommandation n° 2020-092 du 17 septembre 2020. Ces textes, de portée quasi-normative compte tenu de leur diffusion large et de leur ancienneté, établissent notamment les exigences relatives à l’information préalable des utilisateurs, à l’effectivité du refus et du retrait du consentement. La formation restreinte rappelle de manière constante que les acteurs du numérique — et plus particulièrement les éditeurs de sites en ligne — ne sauraient se prévaloir d’une ignorance de ces règles, régulièrement publiées, commentées et opposées dans le cadre de nombreuses procédures de sanction antérieures.
Le régime juridique applicable dans cette affaire repose ainsi exclusivement sur l’article 82 de la loi Informatique et Libertés — et non sur le RGPD, dont le mécanisme de guichet unique n’a pas vocation à s’appliquer aux opérations liées aux traceurs déposés sur les terminaux des internautes situés en France, ces opérations relevant de la directive ePrivacy. La CNIL est donc matériellement et territorialement compétente pour contrôler et sanctionner ces opérations, en application de l’article 3 de la loi Informatique et Libertés, dès lors que le recours aux traceurs s’effectue dans le cadre des activités d’un établissement situé sur le territoire français.
II.
La société Les Publications Condé Nast et son périmètre de traitement
La société LES PUBLICATIONS CONDÉ NAST est une société par actions simplifiée dont le siège social est établi 91-93 rue de Richelieu, Paris 75002. Elle a pour activités principales l’édition de revues et périodiques et la régie publicitaire. Elle édite en particulier quatre titres de presse qui sont à la fois des magazines papiers et des sites de presse en ligne : VANITY FAIR, VOGUE, GQ et AD. Elle édite en particulier le site vanityfair.fr depuis 2013. Pour 2022, le chiffre d’affaires net de la société en France était de 47 555 947 euros pour un résultat net de 3 637 770 euros. Au 31 décembre 2023, la société employait 173 salariés et son chiffre d’affaires net en France s’élevait à 26 461 390 euros pour un résultat net de 855 227 euros.
Le site vanityfair.fr a reçu environ 7 430 000 visiteurs, dont plus de 6 millions en France entre les mois de juin et octobre 2023. Ce chiffre d’audience est directement pertinent pour l’appréciation de la portée des manquements retenus : c’est autant d’utilisateurs dont le terminal a été susceptible d’être affecté par des opérations de dépôt ou de lecture de cookies réalisées en violation des règles applicables.
La formation restreinte constate, en application du paragraphe 7 de l’article 4 du RGPD — applicable en raison du renvoi opéré par l’article 2 de la directive ePrivacy à l’ancienne directive 95/46/CE à laquelle s’est substitué le RGPD — que le responsable de traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. En l’espèce, le traitement en cause est relatif au dépôt et à la lecture de cookies sur le terminal des utilisateurs résidant en France lors de la navigation sur le nom de domaine vanityfair.fr. La politique de confidentialité de la société accessible pour tous les utilisateurs depuis le domaine vanityfair.fr mentionne Condé Nast est le responsable de traitement de vos données et, à ce titre, définit d’une part la manière dont vos données personnelles sont recueillies et d’autre part les finalités de traitement de vos données, ce que la société reconnaît elle-même. La qualité de responsable de traitement de LES PUBLICATIONS CONDÉ NAST est donc établie sans contestation possible.
III.
Le contexte antérieur et la trajectoire de non-conformité persistante
La singularité de l’affaire SAN-2025-010 tient pour une large part à l’historique particulièrement étendu des échanges entre la CNIL et la société LES PUBLICATIONS CONDÉ NAST, dont les premiers remontent à 2019. Ce contexte antérieur est central dans l’appréciation des manquements retenus, car il prive la société de tout bénéfice de la méconnaissance des règles applicables et caractérise une négligence dont la formation restreinte souligne le caractère aggravé.
Entre 2019 et 2021, à la suite d’une plainte déposée par l’association NOYB (None Of Your Business), de nombreux échanges ont eu lieu entre la CNIL et la société concernant sa politique relative aux cookies et sa mise en œuvre. Dans ce cadre, trois contrôles en ligne et une audition de la société ont eu lieu entre 2020 et 2021, en application de la décision n° 2020-038C du 27 décembre 2019 de la présidente de la CNIL. À l’issue de ces échanges, la CNIL a rappelé à la société ses obligations en matière de cookies le 12 juin 2021. Un nouveau contrôle en ligne sur le site vanity.fr a été réalisé le 11 août 2021, à l’issue duquel la présidente de la CNIL a mis la société en demeure, le 13 septembre 2021, de recueillir le consentement des utilisateurs avant tout dépôt sur leur terminal de cookies non exempts. Le 11 juillet 2022, la présidente de la CNIL a prononcé la clôture avec observations de la procédure de contrôle n° 2020-038C, qui aurait dû marquer le point de départ d’une conformité pérenne.
Or, les 19 juillet et 9 novembre 2023, en application de la décision n° 2023-179C de la présidente de la CNIL consécutive à une nouvelle plainte de l’association NOYB, deux contrôles en ligne du domaine vanity.fr ont été réalisés. Ils visaient à vérifier le respect par la société des dispositions de la loi Informatique et Libertés et du RGPD. Des éléments complémentaires ont été communiqués par la société à la délégation de contrôle les 18 août 2023, 19 janvier et 9 février 2024. Le 11 février 2025, sur décision n° 2025-045C de la présidente de la CNIL prise en application de l’article 39 du décret n° 2019-536 du 29 mai 2019 et sur demande du rapporteur, un nouveau contrôle en ligne du site web www.vanityfair.fr a été réalisé par une délégation de la CNIL. Le procès-verbal a été notifié le 12 février 2025 à la société, qui a transmis des éléments de réponse complémentaires le 10 mars 2025.
Cette trajectoire — mise en demeure en 2021, clôture de procédure en 2022, nouvelles violations constatées en 2023, nouveau contrôle en 2025 révélant de nouvelles irrégularités — illustre une conformité réactive, limitée aux mesures prises sous la contrainte des procédures de contrôle, sans démarche autonome et proactive de mise en conformité durable. La formation restreinte insiste sur ce point : la durée particulièrement longue des échanges de la société avec la CNIL, qui ont débuté en 2019, soit il y a plus de cinq ans aurait dû conduire la société à se mettre en conformité avec ses obligations. Si la société a pris des mesures concrètes de mise en conformité, il n’en reste pas moins que ces mesures ne sont intervenues qu’en réponse aux sollicitations de la CNIL.
IV.
Premier manquement : dépôt de cookies sans consentement et avant toute action de l’utilisateur
Le premier manquement retenu par la formation restreinte porte sur le dépôt du cookie NID sur le terminal des utilisateurs avant toute interaction avec le bandeau cookies, c’est-à-dire avant que ceux-ci n’aient exprimé un quelconque choix.
En droit, les opérations d’accès ou d’inscription d’informations dans le terminal d’un utilisateur qui n’entrent pas dans le champ des exemptions prévues à l’article 82 de la loi Informatique et Libertés — dont notamment les cookies publicitaires — ne peuvent avoir lieu qu’après que l’utilisateur a exprimé son consentement. Ce principe d’antériorité du consentement est fondamental : le dépôt avant tout recueil de consentement contrevient directement à la lettre et à l’esprit du texte.
En l’espèce, le rapporteur relève que la délégation de contrôle a, le 9 novembre 2023, constaté le dépôt sur son terminal, sans consentement préalable, d’un cookie NID n’entrant pas dans le champ des exemptions susvisées, dès son arrivée sur le site web et avant toute action de sa part. La finalité du cookie NID est de faciliter la connexion de l’utilisateur et de permettre de stocker ses préférences lorsqu’un compte Google est utilisé. Ce cookie n’est pas strictement nécessaire à la fourniture du service en ligne et n’a pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique. Il est donc soumis à l’obligation de consentement préalable.
En défense, la société ne conteste pas que ce cookie est soumis au recueil préalable du consentement des utilisateurs du site web, ni l’avoir déposé sans avoir préalablement obtenu leur consentement, avant toute action de leur part. Elle indique que cette action est due à une erreur technique et avoir procédé à des corrections pour supprimer ce cookie de son site le 12 janvier 2024.
La formation restreinte écarte fermement cet argument. Elle rappelle que le cookie NID ne relève ni des traceurs ayant pour finalité de permettre ou faciliter la communication par voie électronique, ni n’est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Elle souligne par ailleurs avoir rendu publiques plusieurs sanctions à l’encontre d’organismes déposant des cookies publicitaires avant tout recueil du consentement de l’utilisateur — en particulier la délibération n° SAN-2020-012 du 7 décembre 2020 (points 99 et 100), validée par le Conseil d’État dans sa décision n° 442109 du 28 janvier 2022, et la délibération n° SAN-2020-013 du 7 décembre 2020, validée par le Conseil d’État dans sa décision n° 451423 du 27 juin 2022 — ce que la société ne pouvait pas ignorer, en particulier s’agissant du cookie NID. La circonstance que le dépôt du cookie NID avant toute action de la part de l’utilisateur serait dû à une erreur technique à laquelle il a été remédié le 12 janvier 2024 n’a aucune incidence sur la caractérisation du manquement.
Ce premier manquement est donc pleinement constitué. Il consacre un principe cardinal : une erreur technique n’exonère pas le responsable de traitement de sa responsabilité dès lors que le résultat concret est un dépôt de cookie soumis à consentement, en dehors de toute manifestation de volonté de l’utilisateur.
V.
Deuxième manquement : information insuffisante et erronée sur les finalités des cookies
Le deuxième manquement retenu par la formation restreinte concerne le défaut d’information correcte des utilisateurs sur les finalités de certains traceurs présentés comme « toujours actifs » et, partant, comme exempts de l’obligation de consentement.
L’article 82 de la loi Informatique et Libertés impose que les finalités des traceurs soient portées à la connaissance des utilisateurs avant qu’ils ne se voient offrir la possibilité d’accepter ou de refuser leur inscription ou lecture sur leur terminal. Cette obligation d’information préalable, claire et sincère, est le corollaire indispensable du consentement éclairé.
En l’espèce, le rapporteur relève que l’affichage présenté sur le site web www.vanityfair.fr relatif à Gérer les préférences de consentement de la bannière relative aux cookies indique que trois cookies ayant les finalités suivantes — « mettre en correspondance et combiner des sources de données hors ligne », « relier différents terminaux » et « recevoir et utiliser des caractéristiques d’identification d’appareil envoyées automatiquement » — apparaissent comme « toujours actifs ». Ces cookies sont associés à des cookies strictement nécessaires au fonctionnement du site web qui ne peuvent pas être désactivés selon la société. L’utilisateur est donc informé que ces cookies sont indispensables au fonctionnement du site web. Le rapporteur considère au contraire que ces cookies ne sont pas strictement nécessaires au fonctionnement du site web et que l’information délivrée aux personnes est erronée.
En défense, la société invoque son adhésion au Transparency and Consent Framework (TCF) de l’Internet Advertising Bureau (IAB). Elle soutient que les cookies litigieux relèvent de la catégorie des fonctionnalités issues du TCF de l’IAB, c’est-à-dire un standard de recueil du consentement proposé par cette association. Elle précise que ces éléments ne constituent pas une finalité autonome mais une activité de traitement utilisée pour atteindre une finalité spéciale, pour laquelle l’IAB considère que l’utilisateur n’a pas à consentir et qui s’impose à elle en raison de son adhésion au TCF. La société ajoute que la Cour de justice de l’Union européenne considère que l’IAB agit en qualité de responsable conjoint du traitement effectué dans le cadre du TCF (CJUE, 7 mars 2024, C-604/22, IAB c/ Gegevensbeschermingsautoriteit) et qu’elle n’a jamais eu l’intention de tromper ses utilisateurs.
La formation restreinte examine avec attention cet argument défensif mais l’écarte dans sa conclusion normative. Elle relève que la société a effectivement adopté le TCF de l’IAB, qui est le standard majoritairement utilisé par les éditeurs et les autres acteurs dans le secteur de la publicité en ligne. Elle reconnaît que les cookies litigieux relèvent de la catégorie des fonctionnalités au sens du TCF et que, dans ce cadre, les éditeurs sont tenus de respecter toutes les règles énoncées dans le cadre de celui-ci sans pouvoir modifier, notamment, les finalités et les fonctionnalités au risque de s’exposer à une exclusion de l’usage du TCF. Elle admet donc que l’adhésion au TCF a pu constituer une contrainte professionnelle pour la société.
Néanmoins, la formation restreinte juge que à supposer que l’adhésion au TCF ait constitué une contrainte professionnelle pour la société, il n’en demeure pas moins que l’information transmise à l’utilisateur restait insuffisante dans la mesure où elle ne renvoyait pas vers les règles de l’IAB. Le manquement est donc constitué pour le passé. Cette nuance importante — « pour le passé » — signifie que la formation restreinte prend acte des remèdes apportés mais confirme que la violation était bien caractérisée à l’époque des contrôles. Le raisonnement est rigoureux : même sous contrainte d’un framework professionnel, le responsable de traitement ne peut pas délivrer une information positivement erronée à l’utilisateur en lui faisant croire que des cookies soumis à consentement sont techniquement indispensables au fonctionnement du site.
Ce deuxième manquement illustre une problématique contemporaine majeure : la délégation de la gestion du consentement à des infrastructures tierces (TCF/IAB) ne décharge pas le responsable de traitement de ses obligations propres d’information correcte et sincère des utilisateurs. L’adoption d’un standard de marché, aussi répandu soit-il, ne saurait valoir exonération au regard des exigences légales applicables.
VI.
Troisième manquement : ineffectivité du mécanisme de refus des cookies
Le troisième manquement, particulièrement saillant, porte sur le fait que le mécanisme de refus des cookies proposé à l’utilisateur ne produisait pas les effets attendus : après avoir exprimé son refus, des cookies soumis à consentement continuaient néanmoins d’être déposés sur le terminal.
En droit, l’article 82 de la loi Informatique et Libertés implique qu’à l’exception des deux exemptions légales, un responsable de traitement ne peut, par principe, légalement déposer des cookies ou autres traceurs sur le terminal d’un utilisateur qui en a refusé la lecture ou l’écriture. Les lignes directrices n° 2020-091 de la CNIL et la recommandation n° 2020-092 du 17 septembre 2020 précisent les conditions d’effectivité de ce droit. La formation restreinte rappelle également que la décision SAN-2023-024 du 29 décembre 2023 a expressément confirmé que l’article 82 de la loi Informatique et Libertés offre nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement et de revenir ainsi sur son choix d’accepter que des cookies soient déposés sur son terminal.
En l’espèce, le rapporteur relève qu’en suivant le mécanisme de refus proposé à partir du bandeau cookies, via le bouton personnaliser renvoyant à l’interface de paramétrage de la politique de cookies, des cookies soumis à consentement préalable étaient néanmoins déposés sur le terminal de l’utilisateur, à la fois au moment du refus mais aussi ultérieurement, au cours de la navigation.
La formation restreinte constate que, lors du contrôle en ligne du 19 juillet 2023, après avoir cliqué sur le bouton tout refuser de l’interface de paramétrage de la politique de cookies, la délégation a constaté la présence sur son navigateur :
– du cookie dds, ayant pour finalité de regrouper tous les événements générés sur plusieurs pages à partir de la session d’un utilisateur afin d’améliorer les performances de la bibliothèque d’annonces ;
– du cookie cneplayercount, dont la finalité consiste à analyser l’activité d’un utilisateur pour déterminer le nombre de vidéos qu’il a regardées au cours d’une navigation.
Lors du contrôle du 9 novembre 2023, la délégation a également constaté la présence du cookie NID après expression du refus. Aucun de ces cookies ne relève des exemptions légales ; tous sont soumis au recueil préalable du consentement, ce que la société ne conteste pas.
En défense, la société confirme le dépôt de cookies malgré le refus de tous les cookies par l’utilisateur. Elle considère que l’un des cookies a été déposé en raison d’un paramétrage incorrect et a été désactivé en deux semaines. Elle indique pour un deuxième cookie qu’il avait également été désactivé rapidement et n’aborde pas le cas du troisième cookie identifié par le rapporteur.
La formation restreinte ne se satisfait pas de ces explications. Elle considère que le mécanisme de refus des cookies doit être effectif et que en déposant sur le terminal de l’utilisateur des cookies soumis au recueil préalable de son consentement après que celui-ci a clairement exprimé son refus, la société ne tient pas compte de son choix, et trompe son consentement en permettant le traçage de sa navigation alors même qu’il peut légitimement croire que ses données ne seront pas collectées. L’expression trompe son consentement est particulièrement significative : elle signifie que l’utilisateur, croyant avoir exercé son droit, est en réalité privé de l’effectivité de ce droit.
Ce troisième manquement est donc constitué. Il souligne une réalité technique bien documentée dans la pratique des CMP (Consent Management Platforms) : des erreurs de paramétrage ou des défauts d’implémentation peuvent conduire à des dépôts résiduels de cookies malgré le refus exprimé. La responsabilité du responsable de traitement est pleinement engagée, indépendamment de l’origine technique de la défaillance.
VII.
Quatrième manquement : ineffectivité du retrait du consentement
Le quatrième manquement — révélé lors du contrôle en ligne du 11 février 2025 — est d’une nature distincte mais complémentaire : il concerne non plus le refus initial de tout cookie, mais l’impossibilité d’exercer effectivement le droit de retrait du consentement préalablement donné.
En droit, l’article 7, paragraphe 3, du RGPD dispose que la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. Cette règle, rappelée dans les lignes directrices n° 5/2020 sur le consentement au sens du RGPD adoptées le 4 mai 2020 par le Comité européen de la protection des données (CEPD), constitue une source d’inspiration constante pour l’application de l’article 82 de la loi Informatique et Libertés. La décision SAN-2023-024 du 29 décembre 2023 a expressément consacré ce droit dans le périmètre de l’article 82.
En l’espèce, la délégation de contrôle a effectué des constatations en plusieurs étapes lors du contrôle en ligne du 11 février 2025 :
1. Elle a d’abord accepté les cookies via le bandeau relatif aux cookies.
2. Elle a ensuite constaté l’enregistrement de cinquante cookies sur son navigateur.
3. Elle a procédé au retrait de son consentement en cliquant sur le bouton Tout refuser de l’interface de choix.
4. Elle a constaté l’effacement de douze cookies seulement et le maintien de trente-huit cookies sur son terminal.
5. La vérification du fichier HAR a révélé des opérations de lecture des cookies après le retrait du consentement.
La formation restreinte identifie deux cookies problématiques :
– Le cookie CNxidrefresh, qui permet le suivi global de la navigation de l’utilisateur : cookie dit first party, associé au domaine vanityfair.fr.
– Le cookie ga9C8GH73ZS1, qui fait partie des cookies identifiés par la société Google comme faisant partie des cookies Google Analytics, apparaissant dans des requêtes HTTP envoyées vers le domaine vanityfair.fr.
En défense, la société ne conteste pas ces faits, mais fait valoir :
– concernant le cookie CNxidrefresh : avoir cessé de le déposer depuis les opérations de contrôle ;
– concernant le cookie ga9C8GH73ZS1 : que s’il s’affiche sur l’appareil de l’utilisateur, il a été désactivé par la société et qu’aucune donnée ne peut être ni collectée ni partagée avec la société Google.
La formation restreinte écarte ces moyens de défense. S’agissant du cookie ga9C8GH73ZS1, elle relève que, si la société indique qu’aucune requête réseau ne pouvait être effectuée pour envoyer des données aux serveurs de Google, les scripts associés ayant été désactivés, il ressort de l’instruction que les données continuent d’être associées aux requêtes envoyées vers le domaine de la société, et donc lues par la société, sans qu’elle justifie d’aucune finalité exemptée à ce titre. La formation restreinte souligne en outre que la société avait déjà été mise en demeure en 2021 de ne plus recourir aux cookies provenant du service Google Analytics sans le consentement de l’utilisateur.
La formation restreinte identifie également une défaillance technique caractérisée : des solutions techniques existent pour assurer l’effectivité du retrait du consentement, et la CNIL a pris soin de préciser dans sa recommandation du 17 septembre 2020 que pour que le retrait du consentement soit effectif, il peut être nécessaire de mettre en place des solutions spécifiques pour garantir l’absence de lecture ou d’écriture des traceurs précédemment utilisés. Une solution peut consister à modifier la date d’expiration du cookie, ce qui a pour conséquence de ne plus permettre la lecture du cookie en cause une fois l’action réalisée. La formation restreinte souligne que la société, qui maîtrise l’ensemble des opérations réalisées à partir des cookies liés au domaine vanityfair.fr, pouvait implémenter sans difficulté la mesure susvisée pour assurer l’effectivité du retrait du consentement de l’utilisateur.
Ce quatrième manquement est donc constitué. Il met en lumière une problématique technique importante : la désactivation des scripts côté serveur ne suffit pas à effacer les cookies déjà présents sur le terminal de l’utilisateur. La seule manière d’assurer l’effectivité du retrait du consentement est d’implémenter des mécanismes techniques actifs — tels que la modification de la date d’expiration du cookie — permettant d’éviter toute lecture résiduelle après le retrait.
VIII.
Le traitement en cause et la problématique du TCF de l’IAB
La délibération SAN-2025-010 présente un intérêt doctrinal significatif en ce qu’elle se prononce, pour la première fois de manière aussi explicite, sur la question de l’articulation entre les obligations légales du responsable de traitement et les contraintes issues du Transparency and Consent Framework (TCF) de l’IAB.
Le TCF est un standard de gestion du consentement développé par l’IAB Europe, largement adopté dans l’industrie de la publicité en ligne. Il définit un ensemble de règles techniques et organisationnelles régissant la collecte et la transmission des signaux de consentement entre les différents acteurs de l’écosystème publicitaire numérique. La CJUE, dans son arrêt du 7 mars 2024 (C-604/22, IAB c/ Gegevensbeschermingsautoriteit), a reconnu que l’IAB Europe agissait en qualité de responsable conjoint du traitement effectué dans le cadre du TCF.
Dans la présente affaire, la société LES PUBLICATIONS CONDÉ NAST s’est prévalue de son adhésion au TCF pour justifier l’impossibilité dans laquelle elle se trouvait de modifier les finalités et fonctionnalités définies par l’IAB, et donc d’assurer une information complète et autonome de ses utilisateurs. La formation restreinte, tout en reconnaissant la réalité de cette contrainte professionnelle, refuse d’en tirer une conséquence exonératoire. Son raisonnement est le suivant : même si l’adhésion au TCF impose à l’éditeur de respecter des règles qu’il ne peut pas modifier, l’information transmise à l’utilisateur restait insuffisante dans la mesure où elle ne renvoyait pas vers les règles de l’IAB. Autrement dit, la solution juridiquement correcte, à défaut de pouvoir modifier le texte de l’information imposé par le TCF, était au minimum de renvoyer l’utilisateur vers le cadre de référence de l’IAB afin qu’il puisse comprendre la nature et les finalités des cookies de fonctionnalités.
Ce raisonnement est d’une portée pratique considérable pour l’ensemble des éditeurs utilisant le TCF : il leur impose de ne pas se contenter d’une conformité formelle aux règles du standard, mais de vérifier que l’information délivrée à leurs utilisateurs satisfait également aux exigences autonomes de l’article 82 de la loi Informatique et Libertés. En d’autres termes, la conformité au TCF est une condition nécessaire mais non suffisante de la conformité légale.
IX.
Les éléments d’appréciation de la gravité des manquements
La formation restreinte examine les critères permettant d’apprécier la gravité des manquements retenus, conformément aux exigences de l’article 83 du RGPD.
Sur la nature et la portée des manquements. La formation restreinte relève que la société a porté une atteinte grave au droit des utilisateurs de conserver la maîtrise de leurs données, en traçant leur activité à leur insu via le dépôt sur leurs terminaux, sans leur consentement, de cookies ne relevant pas des exceptions mentionnées à l’article 82 de la loi Informatique et Libertés. Elle considère que les pratiques de la société ont trompé le consentement des utilisateurs et sont constitutives d’une atteinte au respect de la vie privée d’un nombre important de personnes — plus de 6 millions de visiteurs en France entre juin et octobre 2023.
Sur la durée des manquements. La formation restreinte insiste sur la durée particulièrement longue des échanges de la société avec la CNIL, qui ont débuté en 2019, soit plus de cinq ans avant la délibération de sanction. Une mise en demeure avait été prononcée en 2021, puis close en 2022. Ces procédures passées auraient dû conduire la société à se mettre en conformité avec ses obligations. Si la société a pris des mesures concrètes de mise en conformité, ces mesures ne sont intervenues qu’en réponse aux sollicitations de la CNIL.
Sur l’intentionnalité. La formation restreinte considère que la société, éditrice de magazines en ligne, a fait preuve de négligence en ne respectant pas ses obligations au titre de l’article 82 de la loi Informatique et Libertés, qu’elle ne pouvait ignorer et qui lui avaient été rappelées notamment lors de la mise en demeure du 13 septembre 2021. Elle considère que cette négligence présente un caractère aggravé dès lors que ces règles ont été explicitées de nombreuses reprises par la CNIL, en accompagnant les acteurs en matière de cookies depuis la publication d’une recommandation en 2013 rappelant les principes qu’il convenait de respecter en matière d’utilisation de cookies, rappel dans ses lignes directrices de 2019. La formation restreinte souligne avoir déjà sanctionné de nombreuses reprises des organismes pour des manquements similaires, ce que la société ne pouvait ignorer — délibération n° SAN-2020-012 du 7 décembre 2020 validée par le Conseil d’État dans sa décision n° 442109 du 28 janvier 2022, délibération n° SAN-2020-013 du 7 décembre 2020 validée par le Conseil d’État dans sa décision n° 451423 du 27 juin 2022.
Sur les mesures d’atténuation. La formation restreinte relève que la société a indiqué avoir pris des mesures correctrices pour supprimer ou désactiver les cookies en cause, après chaque notification de procès-verbal. Si cet élément doit être pris en considération, la formation restreinte relève néanmoins que cette mise en conformité n’est intervenue qu’après les opérations de contrôle et après échanges avec la délégation, et non de manière autonome et spontanée. De surcroît, compte tenu de la mise en demeure prononcée à l’encontre de la société en 2021, celle-ci aurait dû être particulièrement vigilante dans son application de la réglementation relative aux cookies.
X.
Les moyens de défense de la société et leur traitement par la formation restreinte
Les moyens de défense développés par la société LES PUBLICATIONS CONDÉ NAST s’articulent autour de plusieurs axes dont la formation restreinte a procédé à un examen approfondi.
Sur le cookie NID (premier manquement). La société soutient que le dépôt avant consentement résulte d’une erreur technique à laquelle il a été remédié rapidement. La formation restreinte rejette cet argument : l’erreur technique n’efface pas le manquement constitué — ce qui a été déposé l’a été sans consentement, et le fait que le problème ait été corrigé a posteriori ne supprime pas la violation passée. Ce raisonnement est conforme à la jurisprudence constante de la CJUE selon laquelle l’imposition d’une amende administrative est conditionnée à l’établissement d’une violation fautive de la part de l’organisme poursuivi, cette faute pouvant découler d’un comportement délibéré mais également d’une négligence (CJUE, Grande Chambre, 5 décembre 2023, Deutsche Wohnen SE e.a., C-807/21 ; CJUE, Grande Chambre, 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C-683/21).
Sur les cookies de fonctionnalités TCF (deuxième manquement). La société soutient que l’adhésion au TCF la contraint à respecter les règles de l’IAB sans pouvoir les modifier, rendant impossible une information différente de celle prescrite par le standard. La formation restreinte reconnaît cette contrainte tout en la jugeant insuffisante à justifier une information erronée : la société aurait pu, à défaut, renvoyer vers les règles de l’IAB.
Sur les cookies déposés malgré le refus (troisième manquement). La société soutient des corrections techniques rapides pour les cookies dds et NID, et ne répond pas sur le cookie cneplayercount. La formation restreinte prend acte des corrections tout en maintenant le manquement pour la période de violation constatée.
Sur la lecture après retrait du consentement (quatrième manquement). La société soutient que le cookie ga9C8GH73ZS1 a été désactivé techniquement par elle et que les données ne sont pas transmises à Google. La formation restreinte rejette cet argument au motif que les données continuent d’être associées aux requêtes envoyées vers le domaine de la société et donc lues par celle-ci, indépendamment de toute transmission à Google. Elle rappelle en outre que la société avait déjà fait l’objet d’une mise en demeure en 2021 sur ce sujet précis.
XI.
La décision QPC du Conseil constitutionnel du 8 août 2025 et son impact procédural
Un élément procédural notable dans la délibération SAN-2025-010 mérite d’être relevé : la présence, parmi les visas de la délibération, de la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel.
Cette décision du Conseil constitutionnel, dont les implications sur les procédures de sanction administrative de la CNIL sont significatives, a conduit la formation restreinte à informer la société, à titre conservatoire, de son droit de garder le silence sur les faits qui lui étaient reprochés. Cette précaution procédurale, apparaissant dans plusieurs délibérations rendues à la même période (notamment SAN-2025-008 Samaritaine et SAN-2025-011 American Express), traduit l’attention portée par la CNIL aux exigences des droits de la défense telles que redéfinies par la jurisprudence constitutionnelle récente.
La prise en compte de cette décision QPC dans la conduite de la procédure de sanction illustre la capacité d’adaptation de la formation restreinte aux évolutions jurisprudentielles en temps réel, et souligne la vigilance qu’elle accorde à la régularité formelle de ses procédures, condition indispensable à la solidité juridique de ses délibérations.
XII.
La décision de sanction et de publicité
Sur le fondement de l’article 20-IV-7 de la loi Informatique et Libertés, la formation restreinte peut prononcer à l’encontre d’un responsable du traitement ayant commis les manquements constatés une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. La formation restreinte rappelle qu’en vertu de l’article 83 du RGPD, les amendes administratives doivent être dissuasives et proportionnées. La situation financière de la société — chiffre d’affaires net en France de 26 461 390 euros pour 2023, résultat net de 855 227 euros — est prise en compte dans l’appréciation du montant.
S’agissant de la publicité, la formation restreinte considère qu’une telle mesure se justifie compte tenu de la visibilité du site en cause, de la gravité, de la durée des manquements constitués et du nombre de personnes concernées, lesquelles doivent être informées. La délibération nommera la société mais cessera de le faire à l’expiration d’un délai de deux ans à compter de sa publication — mécanisme d’anonymisation différée que la formation restreinte juge proportionné. La société avait contesté cette mesure de publicité, sans succès : la formation restreinte considère que les informations figurant dans la délibération ne constituent pas des informations sensibles et ne sont pas susceptibles d’être protégées par le secret des affaires.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats