CNIL | SAN-2025-010 | 20 novembre 2025 | Affaire LES PUBLICATIONS CONDE NAST | SAN-2025-010-ESSENTIELS

1. Un manquement quadri-branche à l’article 82 de la loi Informatique et Libertés

La délibération SAN-2025-010 retient un manquement unique à l’article 82 de la loi Informatique et Libertés, texte de transposition française de l’article 5, paragraphe 3, de la directive ePrivacy, articulé en quatre branches distinctes révélées par des contrôles en ligne conduits en juillet 2023, novembre 2023 et février 2025. Ces quatre branches forment un tableau complet et exhaustif des violations pouvant affecter un dispositif de gestion des cookies : dépôt sans consentement préalable (cookie NID déposé avant toute interaction avec le bandeau), information erronée sur les finalités de certains traceurs présentés à tort comme strictement nécessaires et donc exemptés de consentement, ineffectivité du mécanisme de refus (cookies déposés malgré l’expression d’un refus explicite), et ineffectivité du retrait du consentement préalablement donné (cookies lus après retrait, en particulier les cookies first party CNxidrefresh et ga9C8GH73ZS1 liés au domaine vanityfair.fr). La formation restreinte démontre ainsi, à travers cette affaire, que la conformité au droit des cookies ne se réduit pas à l’installation d’un bandeau, mais requiert une conformité substantielle à chacune des exigences légales : antériorité du consentement, exactitude de l’information, effectivité du refus, effectivité du retrait.

2. La persistance de la non-conformité malgré une mise en demeure préalable : négligence aggravée

L’un des éléments les plus saillants de la délibération est le contexte antérieur particulièrement chargé qui prive la société de tout argument d’ignorance ou de bonne foi. Les échanges entre la CNIL et LES PUBLICATIONS CONDÉ NAST remontent à 2019, suite à une plainte de l’association NOYB. Après plusieurs contrôles en ligne et une audition entre 2020 et 2021, une mise en demeure a été prononcée le 13 septembre 2021 — imposant à la société de recueillir le consentement des utilisateurs avant tout dépôt de cookies non exempts — puis clôturée en juillet 2022. Malgré cette procédure, de nouvelles plaintes de NOYB en 2023 ont conduit à de nouveaux contrôles révélant des violations de même nature. La formation restreinte en tire une conséquence directe sur la qualification de la faute : la négligence de la société présente un caractère aggravé, dans la mesure où les règles applicables étaient non seulement connues mais lui avaient été spécifiquement rappelées par mise en demeure, et où ses mesures correctives n’ont été prises qu’en réaction aux contrôles de la CNIL, jamais de manière autonome. Cette qualification de négligence aggravée est un élément structurant pour l’appréciation de la sanction et illustre l’exigence d’une conformité proactive, et non seulement réactive.

3. L’adhésion au TCF de l’IAB ne constitue pas une cause exonératoire de responsabilité

La délibération prend position, de manière claire et inédite, sur l’articulation entre les contraintes imposées par l’adhésion au Transparency and Consent Framework (TCF) de l’IAB et les obligations légales autonomes du responsable de traitement au titre de l’article 82 de la loi Informatique et Libertés. La société avait soutenu que son adhésion au TCF lui imposait de respecter les règles définies par l’IAB sans pouvoir les modifier, rendant impossible toute information différente de celle prescrite par le standard — en particulier s’agissant des cookies de fonctionnalités, présentés comme indissociables des cookies nécessaires. La formation restreinte reconnaît formellement l’existence de cette contrainte professionnelle mais refuse d’en tirer une conséquence exonératoire, au motif que l’information transmise à l’utilisateur restait insuffisante dans la mesure où elle ne renvoyait pas vers les règles de l’IAB. Ce raisonnement impose aux éditeurs utilisant le TCF un devoir de vigilance accru : la conformité au standard de marché n’emporte pas ipso facto la conformité légale, et la solution juridiquement correcte consistait, a minima, à orienter l’utilisateur vers le référentiel de l’IAB afin qu’il comprenne la nature des cookies présentés comme toujours actifs. Cette position de la formation restreinte constitue un signal fort à l’ensemble de l’industrie de la publicité en ligne.

4. La distinction technique fondamentale entre désactivation des scripts et suppression des opérations de lecture

La quatrième branche du manquement, révélée lors du contrôle du 11 février 2025, met en évidence une problématique technique de première importance : la désactivation côté serveur des scripts associés à un cookie ne suffit pas à supprimer les opérations de lecture de ce cookie par le navigateur et par le domaine de la société. En l’espèce, le cookie ga9C8GH73ZS1 — un cookie Google Analytics first party — continuait d’être lu et associé aux requêtes HTTP envoyées vers le domaine vanityfair.fr après le retrait du consentement de l’utilisateur, alors même que la société soutenait l’avoir désactivé et que les données ne seraient plus transmises à Google. La formation restreinte rappelle que l’obligation légale porte sur l’ensemble des opérations d’accès ou d’inscription dans le terminal — y compris la lecture — et non seulement sur la transmission des données à des tiers. Elle indique qu’une solution technique simple, préconisée par la recommandation CNIL du 17 septembre 2020, consiste à modifier la date d’expiration du cookie afin que celui-ci soit considéré comme non valide par le navigateur et ne puisse plus être lu par les requêtes réseau. La société, qui maîtrise l’ensemble des opérations réalisées à partir des cookies liés à son propre domaine, ne pouvait donc pas se prévaloir d’une impossibilité technique. Cette précision jurisprudentielle est d’une portée pratique considérable pour tous les éditeurs confrontés à la gestion des cookies Google Analytics après retrait du consentement.

5. La décision QPC du Conseil constitutionnel du 8 août 2025 et la sécurisation procédurale des droits de la défense

La délibération SAN-2025-010 porte, parmi ses visas, la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel — décision dont les implications sur les procédures administratives répressives de la CNIL sont significatives. Cette référence, qui apparaît également dans les délibérations SAN-2025-008 (Samaritaine) et SAN-2026-003 (France Travail), atteste d’une prise en compte systématique, par la formation restreinte, des exigences redéfinies par la jurisprudence constitutionnelle en matière de droits de la défense dans le cadre des procédures administratives à caractère répressif. Dans la présente affaire, la société LES PUBLICATIONS CONDÉ NAST a été expressément informée de son droit de garder le silence sur les faits qui lui étaient reprochés, conformément aux garanties procédurales renforcées issues de cette jurisprudence. Cette sécurisation procédurale — qui traduit l’adaptation en temps réel de la CNIL aux évolutions de son cadre procédural — est indispensable pour assurer la solidité juridique des délibérations face à un recours éventuel devant le Conseil d’État, seul juge compétent pour en connaître dans un délai de deux mois à compter de leur notification. Elle témoigne d’une formation restreinte particulièrement attentive à la régularité formelle de ses procédures, condition sine qua non de la validité de ses décisions de sanction.

POINTS ESSENTIELS