CNIL | SAN-2025-010 | 20 novembre 2025 | Affaire LES PUBLICATIONS CONDE NAST | CONSEILS

CONSEILS AUX RESPONSABLES DE TRAITEMENT

---

1. LA CONFORMITÉ COOKIES : UNE OBLIGATION TECHNIQUE NON NÉGOCIABLE

 

La délibération SAN-2025-010 constitue un avertissement sans appel aux éditeurs de sites web : la conformité en matière de cookies ne peut plus être appréhendée comme un exercice de communication — un bandeau visible, quelques clics, et l’affaire est classée. Elle engage la responsabilité technique et juridique du responsable de traitement sur chacune des composantes du cycle de vie du traceur : dépôt, lecture, refus, retrait.

La société LES PUBLICATIONS CONDÉ NAST ne méconnaissait pas ses obligations. Elle avait reçu une mise en demeure en 2021, bénéficié d’une clôture avec observations en 2022, et disposait de conseillers juridiques. Malgré cela, les contrôles de 2023 et de février 2025 ont établi la persistance de manquements identiques. Ce constat impose aux responsables de traitement une révision structurelle de leur approche, et non plus une simple mise à jour ponctuelle de leur CMP (Consent Management Platform).

L’obligation fondamentale est posée à l’article 82 de la loi Informatique et Libertés :

« Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »

Cela signifie concrètement : aucun cookie non exempté ne peut être déposé ou lu avant que l’utilisateur ait donné son accord actif et éclairé.

---

2. AUDIT TECHNIQUE PRÉALABLE : CARTOGRAPHIER LES TRACEURS

 

La première démarche pratique est l’audit exhaustif des traceurs déposés sur chaque page du site. Cet audit doit être réalisé par un outil technique indépendant (scanner de cookies) et non en se fiant aux déclarations des prestataires tiers. Il doit :

—-Identifier tous les cookies déposés avant toute interaction utilisateur avec le bandeau,
—-Qualifier chaque cookie au regard des exemptions légales (communication électronique, service expressément demandé), et justifier documentairement chaque qualification d’exemption,
—-Distinguer les cookies first-party des cookies third-party, ces derniers impliquant souvent des traitements de données pour le compte de tiers (régies publicitaires, services d’analyse) auxquels les exigences de consentement s’appliquent avec la même rigueur,
—-Identifier les cookies qui persistent après un refus ou un retrait de consentement — c’est précisément sur ce point que la formation restreinte a retenu le manquement le plus grave dans l’affaire Condé Nast.

La CNIL a publié à ce sujet des lignes directrices et une recommandation en 2020 qui constituent le référentiel de conformité opposable. Ces documents doivent être intégrés dans la documentation interne du responsable de traitement au titre du principe d’accountability (art. 5, § 2, RGPD).

---

3. ARCHITECTURE TECHNIQUE DU BANDEAU DE CONSENTEMENT : LES EXIGENCES MINIMALES

 

La délibération SAN-2025-010, combinée aux précédents Google (SAN-2020-012), Facebook (SAN-2020-013) et American Express (SAN-2025-011), permet de dessiner avec précision les exigences minimales incontournables d’un bandeau de consentement conforme :

a) Antériorité du consentement : aucun cookie soumis à consentement ne peut être déposé ou lu avant que l’utilisateur n’ait interagi avec le bandeau. Le seul chargement de la page ne constitue pas un consentement.

b) Symétrie de l’interface : le bouton « Refuser tout » doit être aussi visible, aussi accessible et aussi simple d’utilisation que le bouton « Accepter tout ». Toute asymétrie visuelle (différence de taille, de couleur, d’emplacement) est susceptible d’être qualifiée de dark pattern constitutif d’un défaut de consentement libre.

c) Efficacité technique du refus : lorsque l’utilisateur clique sur « Refuser tout » ou retire son consentement, tous les cookies soumis à consentement doivent être immédiatement supprimés du navigateur et aucun nouveau cookie de cette catégorie ne doit être déposé. La délibération Condé Nast a expressément sanctionné le maintien de cookies après refus :

« lorsqu’un utilisateur se rendant sur le site vanityfair.fr cliquait sur le bouton “Tout refuser” présent dans le bandeau, ou quand il décidait de retirer son consentement à l’inscription de traceurs sur son terminal, de nouveaux cookies soumis à consentement étaient pourtant déposés et d’autres cookies, déjà présents, continuaient d’être lus. »

d) Information sur les finalités : pour chaque catégorie de cookies, la finalité doit être clairement décrite. Un cookie ne peut pas être présenté comme « strictement nécessaire » sans que cette qualification soit techniquement et fonctionnellement justifiée. La formation restreinte a sanctionné l’absence d’information utile sur les finalités de cookies abusivement qualifiés de strictement nécessaires.

e) Identité des tiers déposant des cookies : si des cookies sont déposés pour le compte de partenaires ou prestataires tiers, leur identité doit être communiquée au second niveau d’information (conformément aux recommandations CNIL 2020).

---

4. QUALIFICATION DES COOKIES EXEMPTÉS : RIGUEUR ET DOCUMENTATION

 

L’exemption de consentement prévue à l’article 82 de la loi Informatique et Libertés est strictement encadrée :

« Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 1° soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Ces deux exceptions sont d’interprétation stricte. Un cookie de mémorisation de préférences de navigation, de personnalisation du contenu éditorial ou d’optimisation de l’expérience utilisateur n’entre pas dans le champ de ces exemptions — sauf à démontrer qu’il est strictement nécessaire à un service expressément demandé par l’utilisateur. En pratique :

—-Cookie de session d’authentification (panier d’achat, identification utilisateur connecté) : exempté si strictement nécessaire à la connexion demandée.
—-Cookie de mesure d’audience anonymisée (si les conditions CNIL sont remplies) : potentiellement exempté, sous conditions très strictes documentées dans la recommandation CNIL.
—-Cookie de personnalisation publicitaire, de ciblage, de suivi cross-site : jamais exempté, consentement obligatoire.
—-Cookie de mesure de performance tiers (Google Analytics, etc.) : en principe soumis à consentement, sauf exemption documentée.

Le responsable de traitement doit documenter pour chaque cookie exempté les raisons techniques et fonctionnelles justifiant cette qualification, et conserver cette documentation accessible en cas de contrôle.

---

5. GESTION DES PRESTATAIRES TIERS : VIGILANCE RENFORCÉE

 

La formation restreinte a confirmé dans la jurisprudence cookies que le responsable de traitement demeure responsable des cookies déposés par ses partenaires et prestataires tiers sur le fondement de son site, même s’il ne les dépose pas lui-même directement. Cette responsabilité découle directement de sa qualité de responsable de traitement (art. 4, § 7, RGPD) pour l’ensemble des traitements mis en œuvre dans le cadre de l’exploitation de son site.

En pratique, cela implique :

—-Auditer les scripts tiers intégrés dans les pages (régies publicitaires, outils d’analyse, chatbots, widgets de réseaux sociaux) et identifier les cookies qu’ils déposent,
—-Contractualiser avec chaque prestataire le respect des obligations de consentement (conditions générales, DPA),
—-Contrôler techniquement que les scripts tiers ne déposent pas de cookies hors consentement, notamment via un mécanisme de tag management conditionné au consentement recueilli,
—-Mettre à jour le bandeau de consentement à chaque intégration d’un nouveau prestataire tiers.

---

6. DISPOSITIF DE MISE EN CONFORMITÉ PROACTIVE : LES DIX ACTIONS PRIORITAIRES

 

Au regard des enseignements de la délibération SAN-2025-010, les responsables de traitement exploitant un site web doivent engager sans délai les actions suivantes :

1. Réaliser un audit technique complet des cookies déposés sur le site, en distinguant cookies first-party / third-party, cookies exemptés / soumis à consentement ;

2. Tester le comportement du site à l’arrivée de l’utilisateur (avant toute interaction) et vérifier qu’aucun cookie non exempté n’est alors déposé ;

3. Tester le comportement du site après refus (clic sur « Tout refuser ») et vérifier que tous les cookies non exemptés sont supprimés et qu’aucun nouveau cookie ne se dépose ;

4. Tester le comportement du site après retrait du consentement (via les paramètres) et vérifier l’effectivité du retrait ;

5. Vérifier la clarté et la complétude des informations fournies sur les finalités de chaque catégorie de cookies, au premier et au second niveau d’information ;

6. Vérifier la symétrie des boutons d’acceptation et de refus dans le bandeau ;

7. Documenter pour chaque cookie la base légale applicable (exemption ou consentement) et conserver cette documentation dans le registre des activités de traitement ;

8. Former les équipes techniques et marketing sur les obligations en matière de cookies, en insistant sur le fait que l’intégration d’un nouveau script ou outil marketing implique une revue de conformité cookies ;

9. Mettre en place un plan de contrôle périodique (au moins semestriel) du comportement du CMP, notamment après chaque mise à jour du site ou intégration d’un nouveau partenaire ;

10. Nommer un référent cookies interne (DPO ou responsable technique dédié) chargé de centraliser les demandes d’intégration de traceurs et d’en vérifier la conformité avant déploiement.

---

CONSEILS AUX PERSONNES CONCERNÉES

---

1. COMPRENDRE CE QUE LES COOKIES FONT RÉELLEMENT À VOTRE NAVIGATION

 

Les cookies ne sont pas de simples fichiers techniques anodins. Comme l’illustre l’affaire Condé Nast, ils peuvent, à votre insu :

—-Mémoriser l’intégralité de votre navigation sur un site et la relier à votre identité numérique ou à votre profil publicitaire,
—-Personnaliser les publicités qui vous sont présentées sur le site visité et, via des réseaux publicitaires, sur d’autres sites que vous visitez ultérieurement,
—-Être transmis à des tiers — régies publicitaires, plateformes de suivi — qui construisent des profils détaillés de vos comportements et intérêts.

Dans l’affaire Condé Nast, des cookies continuaient à être déposés et lus même après que l’utilisateur avait cliqué sur « Tout refuser ». Ce type de pratique traduit une violation directe du droit à la maîtrise de ses données personnelles.

---

2. EXERCER EFFECTIVEMENT VOTRE DROIT AU REFUS ET AU RETRAIT DU CONSENTEMENT

 

Conformément à l’article 82 de la loi Informatique et Libertés, vous disposez du droit de refuser le dépôt de cookies non essentiels sur votre terminal, et de retirer votre consentement si vous l’avez préalablement accordé.

En pratique :

—-Lors de votre première visite sur un site, ne cliquez pas systématiquement sur « Accepter tout » par commodité : prenez le temps de cliquer sur « Refuser tout » ou de paramétrer vos préférences pour les finalités auxquelles vous consentez réellement.
—-Si vous constatez que des cookies continuent d’être déposés après votre refus (via les outils de développement de votre navigateur ou des extensions de détection de traceurs), signalez-le à la CNIL via le formulaire de plainte en ligne sur cnil.fr. C’est précisément le type de signalement, ici via l’association NOYB, qui a déclenché la procédure ayant abouti à la sanction Condé Nast.
—-Supprimez régulièrement les cookies stockés dans votre navigateur (paramètres de confidentialité du navigateur).

---

3. UTILISER LES OUTILS TECHNIQUES DE PROTECTION DE VOTRE VIE PRIVÉE

 

Indépendamment de la conformité ou non du site que vous visitez, plusieurs outils techniques vous permettent de renforcer votre protection :

—-Extensions de blocage de traceurs (uBlock Origin, Privacy Badger) : bloquent les scripts de suivi tiers avant même leur exécution ;
—-Navigateurs axés sur la vie privée (Firefox avec configuration renforcée, Brave, Tor Browser selon le niveau de protection souhaité) ;
—-Mode de navigation privée : empêche la conservation des cookies après fermeture de la session, mais ne bloque pas les cookies pendant la session de navigation ;
—-Paramétrage du navigateur : dans les paramètres de confidentialité, vous pouvez bloquer les cookies tiers et être alerté(e) lors du dépôt de nouveaux cookies.

---

4. EXERCER VOS DROITS AUPRÈS DE LA SOCIÉTÉ

 

En votre qualité de personne concernée (art. 12 à 23 RGPD), vous disposez de droits que vous pouvez exercer directement auprès de LES PUBLICATIONS CONDÉ NAST, responsable de traitement :

—-Droit d’accès (art. 15 RGPD) : obtenir confirmation que des données vous concernant sont traitées et en obtenir copie ;
—-Droit à l’effacement (art. 17 RGPD) : demander la suppression des données collectées via des cookies pour lesquels votre consentement n’a pas été valablement recueilli ;
—-Droit d’opposition (art. 21 RGPD) : vous opposer au traitement de vos données à des fins de publicité ciblée ;
—-Droit à la portabilité (art. 20 RGPD) : dans certaines conditions, obtenir les données vous concernant dans un format structuré et réutilisable.

Ces droits s’exercent auprès du DPO de la société (coordonnées disponibles dans la politique de confidentialité du site) ou directement par courrier à son siège social. En cas de non-réponse dans le délai d’un mois (ou trois mois pour les demandes complexes), vous pouvez saisir la CNIL d’une plainte.

---

5. SAISIR LA CNIL EN CAS DE VIOLATION

 

Si vous constatez qu’un site web :
—-Dépose des cookies avant votre consentement,
—-Ignore votre refus ou le retrait de votre consentement,
—-Vous fournit une information insuffisante ou trompeuse sur les finalités des cookies,

…vous pouvez déposer une plainte directement sur le site cnil.fr (formulaire de plainte en ligne). La CNIL instruit les plaintes et peut, comme dans l’affaire Condé Nast, déclencher des contrôles et engager des procédures de sanction. La plainte est gratuite et confidentielle.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-010 du 20 novembre 2025, par laquelle la formation restreinte de la CNIL a infligé une amende de 750 000 euros à la société LES PUBLICATIONS CONDÉ NAST, éditrice du site vanityfair.fr (VANITY FAIR, VOGUE, GQ, AD), constitue un jalon supplémentaire — et particulièrement révélateur — dans la construction d’une jurisprudence cookies désormais mature et intransigeante : fondée sur l’article 82 de la loi Informatique et Libertés, transposition de l’article 5, §3, de la directive 2002/58/CE, la délibération sanctionne un manquement unique mais démultiplié en quatre branches, qui couvre l’intégralité du cycle de vie non conforme du traceur — dépôt d’un cookie NID à finalité de personnalisation publicitaire avant toute interaction de l’utilisateur, information insuffisante sur les finalités de cookies abusivement qualifiés de « strictement nécessaires », mécanismes de refus et de retrait techniquement inopérants (des cookies continuant à être déposés et lus après que l’utilisateur avait cliqué sur « Tout refuser » ou retiré son consentement), et persistance de ces violations jusqu’au contrôle de février 2025, soit plus de cinq ans après la première plainte de l’association NOYB en décembre 2019 et nonobstant une mise en demeure prononcée en 2021 et close avec observations en 2022 — ce qui conduit la formation restreinte à qualifier l’attitude de la société de conformité purement réactive, structurellement incompatible avec le principe d’accountability, et à en tirer une circonstance aggravante déterminante dans la fixation du montant de l’amende au regard des critères de l’article 83 du RGPD, aux côtés de la gravité de l’atteinte au droit des quelque 6 millions de visiteurs français tracés à leur insu et du nombre de personnes concernées : la décision s’inscrit ainsi dans le sillage direct des délibérations SHEIN (SAN-2025-005, 150 M€) et American Express (SAN-2025-011, 1,5 M€) pour réaffirmer que l’obligation posée par l’article 82 est une obligation de résultat — ni la complexité de l’architecture technique ni l’invocation de mesures correctives tardives ne pouvant exonérer le responsable de traitement —, et pour rappeler que le champ de l’exemption de consentement est d’interprétation stricte, exigeant une documentation précise de chaque finalité et une information claire et complète portée à la connaissance de l’utilisateur avant tout dépôt de traceur ; la formation restreinte décide en outre la publication de la délibération avec anonymisation différée après deux ans, écartant l’argument du secret des affaires invoqué par la société, et renonce au prononcé d’une injonction au vu de la trajectoire de mise en conformité engagée, la sanction pécuniaire et la publicité étant jugées suffisantes pour atteindre les objectifs d’effectivité, de proportionnalité et de dissuasion assignés par le législateur européen à l’exercice du pouvoir de sanction des autorités de contrôle nationales.