CNIL | SAN-2025-010 | 20 NOVEMBRE 2025 | AFFAIRE LES PUBLICATIONS CONDE NAST |
LES PUBLICATIONS CONDE NAST | VANITY FAIR: 6 MILLIONS D’UTILISATEURS PISTÉS, PROFILÉS & TRACÉS MALGRÉ LEUR REFUS.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
LE DÉPÔT D’UN COOKIE AVANT TOUTE INTERACTION DE L’UTILISATEUR
La première branche du manquement, la plus directe dans sa configuration factuelle, concerne le dépôt du cookie NID sur le terminal de l’utilisateur avant même qu’il ait pu interagir avec le bandeau cookies présenté lors de son arrivée sur le site web vanityfair.fr. La délégation de contrôle a constaté, lors des vérifications du 9 novembre 2023, la présence de ce cookie sur son navigateur dès l’arrivée sur le site, sans qu’aucune action de sa part ait eu lieu.
Ce cookie NID a pour finalité de faciliter la connexion de l’utilisateur et de stocker ses préférences lorsqu’un compte Google est utilisé. Il n’entre pas dans le champ des exemptions visées à l’article 82 de la loi Informatique et Libertés : il ne constitue ni un traceur ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, ni un traceur strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Il est au contraire identifiable comme un traceur à finalité de facilitation de connexion et de mémorisation de préférences, lequel relève du régime du consentement préalable.
La société ne contestait pas la réalité des faits reprochés. Elle invoquait une erreur technique à laquelle elle indiquait avoir remédié le 12 janvier 2024 en supprimant ce cookie de son site. La formation restreinte a cependant rappelé avec fermeté que « la circonstance que le dépôt du cookie NID avant toute action de la part de l’utilisateur serait dû à une erreur technique à laquelle il a été remédié le 12 janvier 2024 n’a aucune incidence sur la caractérisation du manquement ». Elle a relevé que la CNIL avait déjà prononcé plusieurs sanctions contre des organismes ayant déposé ce même cookie NID sans recueil du consentement préalable, notamment dans les délibérations n° SAN-2020-012 et SAN-2020-013 du 7 décembre 2020, toutes deux validées par le Conseil d’État respectivement dans ses décisions n° 449209 du 28 janvier 2022 et n° 451423 du 27 juin 2022. La société ne pouvait donc pas ignorer la nature soumise à consentement de ce traceur.
Ce premier grief illustre une faille de gouvernance technique dans la gestion du cycle de vie des cookies sur le site : l’absence d’un mécanisme d’audit continu permettant de détecter le dépôt de traceurs non exemptés avant toute action de l’utilisateur. La qualification de manquement ne requiert pas la démonstration d’une intention délibérée ; la seule réalité du dépôt, constatée lors du contrôle, suffit à établir la méconnaissance de l’article 82.
II.
LA DÉSINFORMATION DES UTILISATEURS SUR LES FINALITÉS DES TRACEURS
La deuxième branche du manquement touche à l’obligation d’information préalable et exacte imposée par l’article 82 de la loi Informatique et Libertés. Il résulte de ce texte que les finalités des traceurs doivent être portées à la connaissance des utilisateurs avant qu’ils ne se voient offrir la possibilité d’accepter ou de refuser leur inscription ou lecture sur leur terminal. Cette exigence d’information est le préalable logique à l’expression d’un consentement libre et éclairé : un consentement obtenu sur la base d’une information erronée ou incomplète ne peut être regardé comme valide.
En l’espèce, la délégation de contrôle a constaté que l’interface de gestion des préférences de consentement accessible sur vanityfair.fr présentait trois cookies comme étant « toujours actifs », associés à des cookies « strictement nécessaires au fonctionnement du site web qui ne peuvent pas être désactivés ». Ces trois cookies avaient pourtant pour finalités de « mettre en correspondance et combiner des sources de données hors ligne », de « relier différents terminaux » et de « recevoir et utiliser des caractéristiques d’identification d’appareil envoyées automatiquement ». Le rapporteur a estimé que ces cookies ne sont pas strictement nécessaires au fonctionnement du site web et que l’information délivrée aux personnes était erronée, les induisant en erreur sur leur capacité à refuser ces traceurs.
La société a développé en défense un argument technique fondé sur sa participation au Transparency and Consent Framework (TCF) de l’Internet Advertising Bureau (IAB). Elle soutenait que les cookies litigieux relevaient de la catégorie des « fonctionnalités » au sein du TCF, utilisées pour atteindre des finalités ou des finalités spéciales, pour lesquelles l’IAB considère que l’utilisateur n’a pas à consentir séparément. Elle arguait qu’en tant que membre du TCF, elle ne disposait pas du pouvoir de modifier les finalités et fonctionnalités définies par l’IAB, et renvoyait à l’arrêt de la Cour de justice de l’Union européenne du 7 mars 2024 (C-604/22, IAB c/ Gegevensbeschermingsautoriteit) pour souligner qu’en vertu de cet arrêt, l’IAB Europe agissait en qualité de responsable conjoint du traitement effectué dans le cadre du TCF.
La formation restreinte a écarté ce moyen de défense avec nuance. Elle n’a pas nié la réalité de la contrainte représentée par l’adhésion au TCF ni l’existence de la jurisprudence CJUE invoquée. Elle a cependant relevé que « à supposer que l’adhésion au TCF ait constitué une contrainte professionnelle pour la société, il n’en demeure pas moins que l’information transmise à l’utilisateur restait insuffisante dans la mesure où elle ne renvoyait pas vers les règles de l’IAB ». Cette motivation est particulièrement instructive : la formation restreinte n’affirme pas que le TCF est en lui-même contraire à l’article 82, mais qu’en l’absence d’un renvoi explicite aux règles de l’IAB permettant à l’utilisateur de comprendre la logique des fonctionnalités, l’information transmise demeure insuffisante et le manquement est constitué « pour le passé ».
Cette qualification « pour le passé » mérite d’être soulignée. Elle signifie que la formation restreinte reconnaît implicitement que la situation pouvait évoluer — notamment si la société avait ajouté un renvoi vers les règles de l’IAB — mais qu’au moment des contrôles, le défaut d’information était caractérisé et ne saurait être effacé rétroactivement par des remèdes ultérieurs. Cette temporalité du constat de manquement démontre que la CNIL maintient une approche stricte de l’obligation d’information, y compris lorsque la complexité des écosystèmes publicitaires en ligne comme le TCF rend techniquement difficile une information claire et complète.
III.
L’INEFFECTIVITÉ DU MÉCANISME DE REFUS DES COOKIES
La troisième branche porte sur une obligation fondamentale du régime des cookies : l’effectivité du refus. L’article 82 de la loi Informatique et Libertés, tel qu’interprété de manière constante par la CNIL depuis sa recommandation du 5 décembre 2013 (délibération n° 2013-378) et réaffirmé dans ses lignes directrices n° 2020-091 et sa recommandation n° 2020-092 du 17 septembre 2020, exige qu’un responsable de traitement qui a soumis des traceurs au consentement préalable de l’utilisateur ne puisse légalement déposer ou lire ces traceurs sur le terminal d’un utilisateur qui en a refusé l’inscription ou la lecture. Le refus doit produire des effets immédiats et durables.
La délégation de contrôle a constaté, lors du contrôle du 19 juillet 2023, qu’après avoir cliqué sur le bouton « tout refuser » de l’interface de paramétrage de la politique de cookies, plusieurs cookies soumis au consentement préalable demeuraient présents et actifs sur le navigateur. Cela concernait notamment :
—-le cookie dds ayant pour finalité de « regrouper tous les événements générés sur plusieurs pages à partir de la session d’un utilisateur afin d’améliorer les performances de la bibliothèque d’annonces » — finalité publicitaire non exemptée ;
—-le cookie NID constaté lors du contrôle du 9 novembre 2023, déjà cité pour la première branche du manquement.
Un troisième cookie, cneplayercount, dont la finalité consiste à « analyser l’activité d’un utilisateur pour déterminer le nombre de vidéos qu’il a regardées au cours d’une navigation », a également été constaté lors du contrôle du 19 juillet 2023 en cours de navigation, après le refus initial.
La société a partiellement reconnu les faits mais a tenté d’en minimiser la portée en indiquant que l’un des cookies avait été désactivé « en deux semaines », qu’un deuxième avait été désactivé rapidement, sans aborder le cas d’un troisième. La formation restreinte a rejeté cette argumentation en rappelant que « le mécanisme de refus des cookies doit être effectif » et qu’« en déposant sur le terminal de l’utilisateur des cookies soumis au recueil préalable de son consentement après que celui-ci a clairement exprimé son refus, la société ne tient pas compte de son choix, et trompe son consentement en permettant le traçage de sa navigation alors même qu’il peut légitimement croire que ses données ne seront pas collectées ».
Cette formulation articule un dommage de nature structurelle : la tromperie du consentement. Elle n’est pas purement formelle — elle touche à la confiance légitime de l’utilisateur dans le fait que son choix de refus est respecté. La CNIL identifie ici une rupture de la relation de confiance que le mécanisme de consentement est censé instaurer. Malgré les mesures correctives prises par la société, le manquement demeure constitué pour la période antérieure aux corrections.
IV.
L’INEFFECTIVITÉ DU RETRAIT DU CONSENTEMENT APRÈS ACCEPTATION INITIALE
La quatrième branche du manquement est techniquement la plus élaborée et doctrinalement la plus significative. Elle porte sur le droit au retrait du consentement, dont le fondement dépasse le seul article 82 de la loi Informatique et Libertés pour s’articuler avec le §3 de l’article 7 du RGPD, lequel dispose que « la personne concernée a le droit de retirer son consentement à tout moment » et que « il est aussi simple de retirer que de donner son consentement ». Les lignes directrices 05/2020 du Comité européen de la protection des données (CEPD) adoptées le 4 mai 2020 précisent que la personne concernée doit pouvoir retirer son consentement sans subir de préjudice et que le responsable de traitement doit proposer cette possibilité « gratuitement ou sans entraîner la diminution du niveau de service ».
Le contrôle en ligne du 11 février 2025 — réalisé sur décision n° 2025-045C de la présidente de la CNIL à la demande du rapporteur — a permis de constater dans le détail le processus suivant : la délégation a d’abord accepté les cookies via le bandeau, puis s’est rendue sur la page comportant l’interface de choix relative aux cookies et a constaté l’enregistrement de cinquante cookies sur son navigateur. Elle a alors retiré son consentement en cliquant sur le bouton « Tout refuser » de l’interface et a constaté l’effacement de douze cookies seulement, le maintien de trente-huit cookies demeurant sur son terminal. Elle a ensuite compilé l’ensemble des requêtes http dans un fichier HAR (HTTP Archive) afin de vérifier les opérations de lecture de cookies après le retrait du consentement.
L’analyse du fichier HAR a révélé que deux cookies continuaient d’être lus par la société après le retrait du consentement. Le premier, CNxidrefresh, permet « le suivi global de la navigation de l’utilisateur ». Le second, ga9C8GH73ZS1, identifié par Google comme faisant partie des cookies Google Analytics, apparaissait dans des requêtes http envoyées vers le domaine vanityfair.fr. La formation restreinte a précisé que ces deux cookies sont des cookies internes dits « first party », associés au domaine vanityfair.fr et chargés sur la page vanityfair.fr — circonstance déterminante qui exclut toute argumentation sur l’impossibilité technique de maîtriser leur comportement.
La société invoquait, pour le cookie CNxidrefresh, avoir cessé de le déposer depuis les opérations de contrôle, et pour le cookie ga9C8GH73ZS1, l’avoir désactivé de sorte qu’« aucune donnée ne peut être ni collectée ni partagée avec la société Google ». La formation restreinte a rejeté ce second argument en relevant que « les données continuent d’être associées aux requêtes envoyées vers le domaine de la société, et donc lues par la société, sans qu’elle justifie d’aucune finalité exemptée à ce titre ». Elle a rappelé à cet égard que la société avait déjà été mise en demeure en 2021 de ne plus recourir aux cookies provenant du service Google Analytics sans le consentement de l’utilisateur, ce qui rendait d’autant moins compréhensible la persistance de la lecture de ce type de traceur après le retrait du consentement.
La formation restreinte a également fourni des indications techniques précises sur les solutions disponibles pour assurer l’effectivité du retrait du consentement, en renvoyant à sa recommandation du 17 septembre 2020 : « une solution peut consister à modifier la date d’expiration du cookie, ce qui a pour conséquence de ne plus permettre la lecture du cookie en cause une fois l’action réalisée. Même si le cookie ne sera supprimé qu’à la fermeture du navigateur, ce dernier empêche la lecture du cookie par les requêtes réseaux émises puisqu’il est considéré comme non valide ». Ce faisant, la formation restreinte souligne que la société maîtrisait l’ensemble des opérations réalisées à partir des cookies liés au domaine vanityfair.fr et pouvait implémenter cette mesure « sans difficulté ». L’absence de mise en œuvre d’une telle solution traduit une négligence dans la gestion de la gouvernance technique des traceurs.
V.
L’APPRÉCIATION DE LA GRAVITÉ ET DE LA RESPONSABILITÉ
La formation restreinte a conduit une analyse de la gravité des manquements fondée sur les critères de l’article 83 du RGPD, que la délibération SAN-2025-010 applique non pas en vertu du RGPD lui-même — inapplicable au régime des cookies qui relève de la directive ePrivacy — mais par renvoi de l’article 20-IV de la loi Informatique et Libertés au dispositif de sanction administrative du RGPD.
Sur la nature et la gravité du manquement, la formation restreinte a relevé que la société « a porté une atteinte grave au droit des utilisateurs de conserver la maîtrise de leurs données, en traçant leur activité à leur insu via le dépôt sur leurs terminaux, sans leur consentement, de cookies ne relevant pas des exceptions mentionnées à l’article 82 de la loi Informatique et Libertés ». Elle a qualifié les pratiques de la société comme « constitutives d’une atteinte au respect de la vie privée d’un nombre important de personnes », la société ayant indiqué avoir reçu environ 7 430 000 visiteurs sur son site, dont plus de 6 millions en France entre les mois de juin et d’octobre 2023.
Sur la durée des échanges avec la CNIL, la formation restreinte a insisté sur ce qu’elle qualifie de « durée particulièrement longue des échanges de la société avec la CNIL, qui ont débuté en 2019, soit il y a plus de cinq ans ». Elle a rappelé la chronologie : trois contrôles en ligne et une audition entre 2019 et 2021, une mise en demeure prononcée le 13 septembre 2021, clôturée avec observations en juillet 2022, puis de nouveaux contrôles en juillet et novembre 2023 et en février 2025. Cette séquence pluriannuelle aurait dû, selon la formation restreinte, « conduire la société à se mettre en conformité avec ses obligations » de manière autonome et proactive, et non réactive. Elle note à cet égard que « si la société a pris des mesures concrètes de mise en conformité, il n’en reste pas moins que ces mesures ne sont intervenues qu’en réponse aux sollicitations de la CNIL ».
Sur l’intentionnalité, la formation restreinte a considéré que la société « a fait preuve de négligence » et que cette négligence « présente un caractère aggravé » au regard du fait que « ces règles ont été explicitées de nombreuses reprises par la CNIL, en accompagnant les acteurs en matière de cookies depuis la publication d’une recommandation en 2013 rappelant les principes qu’il convenait de respecter en matière d’utilisation de cookies ». Elle a également rappelé avoir « déjà sanctionné de nombreuses reprises des organismes pour des manquements similaires », notamment dans les délibérations n° SAN-2020-012 et n° SAN-2020-013.
Sur les mesures d’atténuation, la formation restreinte a pris en compte le fait que la société avait pris des mesures correctives pour supprimer ou désactiver les cookies en cause après chaque notification de procès-verbal. Elle a toutefois relativisé cet élément en soulignant que cette mise en conformité « n’est intervenue qu’après les opérations de contrôle et après échanges avec la délégation, et non de manière autonome et spontanée ».
VI.
LA QUESTION DE LA COMPÉTENCE TERRITORIALE ET DU RESPONSABLE DE TRAITEMENT
Deux questions transversales méritent une attention particulière. La première est celle de la qualification du responsable de traitement. La formation restreinte a retenu sans ambiguïté que la société LES PUBLICATIONS CONDÉ NAST agissait en qualité de responsable du traitement relatif au dépôt et à la lecture de cookies sur le terminal des utilisateurs du site vanityfair.fr, en relevant que sa propre politique de confidentialité mentionnait « Condé Nast est le responsable de traitement de vos données ». Cette auto-qualification confirmée par la société est déterminante pour fonder la responsabilité au titre de l’article 82.
La seconde question est celle du fondement de la compétence de la CNIL. La formation restreinte a rappelé que les règles régissant l’utilisation des cookies relèvent non pas du RGPD mais de la directive ePrivacy transposée à l’article 82 de la loi Informatique et Libertés, et que le mécanisme de coopération du guichet unique prévu par le RGPD « n’a pas vocation à s’appliquer dans cette procédure ». Cette précision, déjà exposée dans des délibérations antérieures notamment celle concernant SHEIN (SAN-2025-005), confirme que la CNIL demeure l’autorité compétente pour contrôler les opérations liées aux traceurs déposés sur les terminaux des internautes situés en France, indépendamment de la localisation du siège ou de l’établissement principal du responsable de traitement dans l’Union européenne.
VII.
L’INCIDENCE DE LA DÉCISION DU CONSEIL CONSTITUTIONNEL N° 2025-1154 QPC DU 8 AOÛT 2025
La délibération SAN-2025-010 est la première à figurer parmi les délibérations intégralement instruites après la décision du Conseil constitutionnel n° 2025-1154 QPC du 8 août 2025, qui est visée dans les têtes de délibération. Aucune mention n’est faite dans le corps du texte d’une application spécifique de cette décision aux manquements retenus, mais la simple présence de cette référence dans les visas témoigne que la formation restreinte a intégré cette jurisprudence constitutionnelle dans son raisonnement préalable avant de délibérer. Cette prudence procédurale est également visible dans la délibération SAN-2025-008 (Samaritaine), rendue le même mois, où la mention du droit au silence de la société « à titre conservatoire et au regard des implications encore incertaines de la jurisprudence du Conseil constitutionnel » figure dans les mentions procédurales de la séance.
VIII.
LES MOYENS DE DÉFENSE DE LA SOCIÉTÉ ET LEUR TRAITEMENT
La société LES PUBLICATIONS CONDÉ NAST a développé plusieurs lignes de défense dans ses observations écrites du 12 septembre 2025 et lors de la séance de la formation restreinte du 6 novembre 2025. L’argumentation de défense peut se décomposer en quatre axes principaux.
Le premier axe était technique : invoquer l’erreur de paramétrage pour les dépôts de cookies antérieurs à toute interaction de l’utilisateur, et démontrer que les corrections avaient été apportées rapidement. La formation restreinte l’a écarté en rappelant que la correction postérieure ne remet pas en cause la caractérisation du manquement au moment du contrôle.
Le deuxième axe était structurel : invoquer la contrainte liée au TCF de l’IAB pour justifier l’information insuffisante sur les finalités des cookies de fonctionnalités. Cet axe a été partiellement pris en compte — la formation restreinte ayant nuancé sa position en ne condamnant le manquement que « pour le passé » — mais rejeté dans sa portée exonératoire, au motif que l’absence de renvoi vers les règles de l’IAB maintenait le défaut d’information.
Le troisième axe portait sur la réactivité corrective : la société a indiqué avoir pris des mesures après chaque contrôle. La formation restreinte a reconnu cet élément à titre atténuant mais a souligné que la conformité réactive — qui n’intervient que sous la pression des contrôles — ne satisfait pas à l’exigence d’une conformité structurelle et proactive qui était la seule réponse adéquate à la lumière de la mise en demeure de 2021.
Le quatrième axe concernait la publicité de la sanction. La société s’y est opposée. La formation restreinte a retenu la publicité « compte tenu de la visibilité du site en cause, de la gravité, de la durée des manquements constitués et du nombre de personnes concernées, lesquelles doivent être informées », tout en prévoyant une anonymisation différée à l’expiration d’un délai de deux ans à compter de la publication, conformément à une pratique désormais habituelle de la formation restreinte pour les décisions de gravité intermédiaire.
IX.
LA DOCTRINE DE LA NÉGLIGENCE AGGRAVÉE PAR LA CONNAISSANCE PRÉALABLE DES RÈGLES
La délibération SAN-2025-010 confirme et approfondit une ligne jurisprudentielle que la formation restreinte applique de manière croissante : la qualification de négligence aggravée lorsque le responsable de traitement ou sous-traitant ne peut pas ignorer les règles qui lui sont applicables en raison de leur ancienneté, de leur large publicité, et des avertissements ou mises en demeure dont il a fait l’objet antérieurement. Cette notion de négligence aggravée — distincte de la négligence simple — emporte des conséquences directes sur l’appréciation de la gravité et, in fine, sur la détermination de la sanction.
En l’espèce, la formation restreinte a fondé cette qualification sur trois éléments cumulés. 1., les règles applicables aux cookies existent depuis au moins la recommandation CNIL de 2013 et ont été précisées et consolidées par les lignes directrices de 2019 et la recommandation de 2020 : « ces règles ont été explicitées de nombreuses reprises par la CNIL, en accompagnant les acteurs en matière de cookies depuis la publication d’une recommandation en 2013 ». 2., la CNIL avait déjà sanctionné de nombreux organismes pour des manquements similaires, et la société « ne pouvait ignorer » ces précédents, notamment s’agissant du cookie NID. 3. et surtout, la société avait fait l’objet d’une mise en demeure prononcée en 2021 pour des manquements identiques au titre de l’article 82, clôturée avec observations en juillet 2022. Ce précédent personnel rend la persistance des manquements particulièrement inexcusable et justifie la qualification d’aggravation.
Ce raisonnement en termes de connaissance préalable et de récidive dans le comportement non conforme structure désormais de manière visible la grille d’appréciation de la gravité dans les délibérations de la formation restreinte. Il s’inscrit dans le prolongement de la jurisprudence de la CJUE, grande chambre, du 5 décembre 2023 (Deutsche Wohnen SE e.a., C-807/21), qui avait rappelé que la faute pouvait découler d’un comportement délibéré mais également d’une négligence, sans qu’il soit nécessaire que le responsable de traitement ait eu conscience d’enfreindre le RGPD — ou, par analogie applicable, la loi Informatique et Libertés.
POINTS ESSENTIELS
La délibération SAN-2025-010 du 20 novembre 2025, par laquelle la formation restreinte de la CNIL a infligé une amende de 750 000 euros à la société LES PUBLICATIONS CONDÉ NAST, éditrice du site vanityfair.fr (VANITY FAIR, VOGUE, GQ, AD), constitue un jalon supplémentaire — et particulièrement révélateur — dans la construction d’une jurisprudence cookies désormais mature et intransigeante : fondée sur l’article 82 de la loi Informatique et Libertés, transposition de l’article 5, §3, de la directive 2002/58/CE, la délibération sanctionne un manquement unique mais démultiplié en quatre branches, qui couvre l’intégralité du cycle de vie non conforme du traceur — dépôt d’un cookie NID à finalité de personnalisation publicitaire avant toute interaction de l’utilisateur, information insuffisante sur les finalités de cookies abusivement qualifiés de « strictement nécessaires », mécanismes de refus et de retrait techniquement inopérants (des cookies continuant à être déposés et lus après que l’utilisateur avait cliqué sur « Tout refuser » ou retiré son consentement), et persistance de ces violations jusqu’au contrôle de février 2025, soit plus de cinq ans après la première plainte de l’association NOYB en décembre 2019 et nonobstant une mise en demeure prononcée en 2021 et close avec observations en 2022 — ce qui conduit la formation restreinte à qualifier l’attitude de la société de conformité purement réactive, structurellement incompatible avec le principe d’accountability, et à en tirer une circonstance aggravante déterminante dans la fixation du montant de l’amende au regard des critères de l’article 83 du RGPD, aux côtés de la gravité de l’atteinte au droit des quelque 6 millions de visiteurs français tracés à leur insu et du nombre de personnes concernées : la décision s’inscrit ainsi dans le sillage direct des délibérations SHEIN (SAN-2025-005, 150 M€) et American Express (SAN-2025-011, 1,5 M€) pour réaffirmer que l’obligation posée par l’article 82 est une obligation de résultat — ni la complexité de l’architecture technique ni l’invocation de mesures correctives tardives ne pouvant exonérer le responsable de traitement —, et pour rappeler que le champ de l’exemption de consentement est d’interprétation stricte, exigeant une documentation précise de chaque finalité et une information claire et complète portée à la connaissance de l’utilisateur avant tout dépôt de traceur ; la formation restreinte décide en outre la publication de la délibération avec anonymisation différée après deux ans, écartant l’argument du secret des affaires invoqué par la société, et renonce au prononcé d’une injonction au vu de la trajectoire de mise en conformité engagée, la sanction pécuniaire et la publicité étant jugées suffisantes pour atteindre les objectifs d’effectivité, de proportionnalité et de dissuasion assignés par le législateur européen à l’exercice du pouvoir de sanction des autorités de contrôle nationales.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats