CNIL | SAN-2025-010 | 20 NOVEMBRE 2025 | AFFAIRE LES PUBLICATIONS CONDE NAST |
LES PUBLICATIONS CONDE NAST | VANITY FAIR: 6 MILLIONS D’UTILISATEURS PISTÉS, PROFILÉS & TRACÉS MALGRÉ LEUR REFUS.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
SECTION I — QUESTIONS DES RESPONSABLES DE TRAITEMENT
Q1 — UN COOKIE PEUT-IL ÊTRE DÉPOSÉ SUR LE TERMINAL DE L’UTILISATEUR DÈS SON ARRIVÉE SUR LE SITE, AVANT TOUT CLIC SUR LE BANDEAU ?
Non, sauf s’il bénéficie d’une exemption légale. L’article 82 de la loi Informatique et Libertés exige que le consentement de l’utilisateur soit recueilli avant tout dépôt ou lecture d’un cookie non exempté. Le simple chargement de la page d’accueil d’un site web ne constitue ni un consentement actif ni un comportement dont on puisse inférer un accord. La délibération SAN-2025-010 a expressément sanctionné le dépôt d’un cookie NID (finalité : mémorisation des préférences et personnalisation publicitaire) avant toute interaction de l’utilisateur avec le bandeau. Ce constat, répliqué quasi identiquement dans les affaires SHEIN (SAN-2025-005) et American Express (SAN-2025-011), constitue désormais un standard incontournable de la jurisprudence CNIL. Tout script ou balise déposant un cookie non exempté doit être conditionné au consentement recueilli via le CMP (Consent Management Platform), ce qui implique une architecture technique dans laquelle les scripts tiers ne se chargent qu’après recueil et enregistrement du choix de l’utilisateur.
Q2 — UN COOKIE PEUT-IL ÊTRE QUALIFIÉ DE « STRICTEMENT NÉCESSAIRE » SANS DOCUMENTATION SPÉCIFIQUE DE CETTE QUALIFICATION ?
Non. La qualification d’exemption ne se présume pas et ne peut reposer sur la seule appréciation interne non documentée du responsable de traitement. La formation restreinte a sanctionné, dans l’affaire Condé Nast, des cookies présentés aux utilisateurs comme « strictement nécessaires » sans qu’aucune information utile sur leurs finalités ne soit disponible. L’exemption de l’article 82 ne couvre que les cookies dont la finalité est exclusivement de permettre ou faciliter la communication électronique, ou strictement nécessaires à un service expressément demandé par l’utilisateur. Pour chaque cookie qualifié d’exempté, le responsable de traitement doit : (i) documenter la finalité technique précise qui justifie l’exemption ; (ii) s’assurer que cette finalité est clairement portée à la connaissance de l’utilisateur dans le bandeau ou la politique de cookies ; (iii) conserver cette documentation dans le registre des activités de traitement.
Q3 — LE RESPONSABLE DE TRAITEMENT EST-IL RESPONSABLE DES COOKIES DÉPOSÉS PAR SES PRESTATAIRES ET PARTENAIRES TIERS DEPUIS SON SITE ?
Oui, intégralement. Le responsable de traitement demeure responsable de l’ensemble des traceurs déposés depuis son site, qu’ils l’aient été directement par lui ou par des scripts et bibliothèques de prestataires tiers (régies publicitaires, outils d’analytics, widgets de réseaux sociaux, solutions de vidéo ou de chat). Cette responsabilité découle directement de sa qualité de responsable de traitement au sens de l’article 4, §7, du RGPD. La complexité de l’architecture technique — qui peut conduire à ce que des scripts tiers déposent des cookies à l’insu du responsable de traitement — ne constitue pas une cause d’exonération. En pratique, tout outil de tag management déployé sur le site doit conditionner le chargement de chaque script tiers à la catégorie de consentement correspondante.
Q4 — QUE SE PASSE-T-IL TECHNIQUEMENT LORSQU’UN UTILISATEUR CLIQUE SUR « TOUT REFUSER » ? QUELLES SONT LES OBLIGATIONS DU RESPONSABLE DE TRAITEMENT ?
L’obligation est double et immédiate. 1., aucun nouveau cookie soumis à consentement ne doit être déposé après le clic sur « Tout refuser ». 2., tous les cookies soumis à consentement déjà présents sur le terminal doivent être supprimés. La délibération SAN-2025-010 a expressément sanctionné l’une et l’autre de ces défaillances : « de nouveaux cookies soumis à consentement étaient pourtant déposés et d’autres cookies, déjà présents, continuaient d’être lus » après que l’utilisateur avait cliqué sur « Tout refuser ». L’obligation s’applique de manière strictement identique au retrait du consentement via les paramètres de cookies. Le responsable de traitement doit s’assurer, par des tests techniques réguliers, de l’efficacité effective de ces mécanismes — et non seulement de leur existence apparente.
Q5 — LE BOUTON « REFUSER TOUT » DOIT-IL ÊTRE AUSSI VISIBLE QUE LE BOUTON « ACCEPTER TOUT » ?
Oui, sous peine de constituer un dark pattern caractérisant un défaut de consentement libre. La recommandation de la CNIL sur les cookies (2020) et la jurisprudence constante de la formation restreinte depuis les affaires Google et Facebook (SAN-2020-012 et SAN-2020-013) exigent une symétrie de présentation entre les options d’acceptation et de refus. Toute asymétrie visuelle — différence de couleur, de taille, d’emplacement ou de nombre de clics nécessaires — est susceptible d’être qualifiée de manipulation orientant le choix de l’utilisateur vers l’acceptation, ce qui vicie le consentement recueilli. Dans l’affaire Condé Nast, la formation restreinte n’a pas retenu de manquement spécifique lié à l’interface visuelle, mais ce critère constitue un facteur d’appréciation systématique dans tout contrôle portant sur les cookies.
Q6 — UNE MISE EN DEMEURE CLÔTURÉE DISPENSE-T-ELLE L’ORGANISME DE TOUTE SANCTION POUR DES MANQUEMENTS IDENTIQUES ULTÉRIEURS ?
Non. La clôture d’une mise en demeure constate que l’organisme a satisfait aux exigences formulées au moment du contrôle ayant donné lieu à la mise en demeure. Elle n’emporte aucune immunité pour l’avenir et n’empêche pas l’engagement d’une nouvelle procédure de sanction si des manquements identiques ou similaires sont constatés ultérieurement. La délibération SAN-2025-010 illustre précisément ce mécanisme : la mise en demeure de 2021 avait été close avec observations en juillet 2022, mais les contrôles de 2023 et 2025 ont établi la persistance de manquements identiques. La formation restreinte a expressément tiré de cette succession un facteur d’aggravation de la sanction. La clôture d’une mise en demeure implique donc, pour l’organisme concerné, une vigilance renforcée et durable sur le respect de ses obligations.
Q7 — À QUELLE FRÉQUENCE UN RESPONSABLE DE TRAITEMENT DOIT-IL CONTRÔLER LA CONFORMITÉ DE SON CMP ?
Au minimum à chaque événement susceptible d’en affecter le fonctionnement. Les recommandations de la CNIL et les enseignements de la délibération SAN-2025-010 suggèrent qu’un contrôle périodique du CMP est indispensable, notamment : (i) lors de chaque mise à jour du site web ou de son architecture technique ; (ii) lors de chaque intégration d’un nouveau script ou partenaire tiers ; (iii) lors de chaque modification des finalités des traitements ou de la liste des traceurs déposés ; (iv) à intervalles réguliers (au moins semestriels) pour vérifier que le comportement effectif du site correspond à la configuration paramétrée dans le CMP. Un contrôle par un auditeur externe, documenté et archivé, est recommandé.
Q8 — UN ORGANISME SANCTIONNÉ PEUT-IL CONTESTER LA DÉCISION DE PUBLICATION DE SA DÉLIBÉRATION PAR LA CNIL ?
Oui, devant le Conseil d’État. La délibération SAN-2025-010 peut faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification. La société Condé Nast avait contesté la publication dans ses observations en défense, invoquant le risque d’atteinte au secret des affaires. La formation restreinte a rejeté cet argument, estimant que les informations contenues dans la délibération n’étaient pas de nature à porter atteinte aux intérêts commerciaux de la société. En matière de cookies, la publicité des décisions est la règle — elle contribue à l’information des personnes concernées et à l’effet dissuasif de la sanction. L’anonymisation au terme de deux ans constitue la mesure de proportionnalité retenue par la formation restreinte pour tenir compte des intérêts légitimes de l’organisme concerné.
Q9 — QUELS SONT LES MONTANTS D’AMENDES SUSCEPTIBLES D’ÊTRE PRONONCÉS POUR VIOLATION DE L’ARTICLE 82 ?
Le plafond légal est de 2 % du chiffre d’affaires mondial ou 10 millions d’euros. L’article 20-IV de la loi Informatique et Libertés renvoie aux plafonds de l’article 83 du RGPD. Pour les manquements à l’article 82 — relevant de la directive ePrivacy et non directement du RGPD — c’est le plafond du §4 de l’article 83 qui s’applique : 10 000 000 euros ou 2 % du chiffre d’affaires annuel mondial. En pratique, la formation restreinte module le montant en tenant compte de l’ensemble des critères de l’article 83, §2 (nature, gravité, durée, nombre de personnes, coopération, etc.). La jurisprudence cookies démontre une grande variation des montants : de 750 000 euros (Condé Nast, 2025) à 150 millions d’euros (SHEIN, 2025) et 325 millions d’euros (Google, 2025).
Q10 — LA CONFORMITÉ COOKIES RELÈVE-T-ELLE UNIQUEMENT DU SERVICE JURIDIQUE OU IMPLIQUE-T-ELLE LES ÉQUIPES TECHNIQUES ET MARKETING ?
Elle implique nécessairement une approche transversale. Les manquements constatés dans l’affaire Condé Nast sont de nature technique (scripts déposant des cookies avant le recueil du consentement, mécanismes de refus inopérants) autant que juridique (qualification erronée des exemptions, information insuffisante). Une approche strictement juridique, se limitant à rédiger une politique de cookies et à paramétrer un bandeau dans un CMP, est insuffisante si elle n’est pas accompagnée d’une vérification technique de l’effectivité des mécanismes. Le DPO, les équipes techniques et les équipes marketing doivent travailler de concert, notamment pour s’assurer que l’intégration de nouveaux outils marketing ou publicitaires ne contourne pas les paramètres du CMP.
SECTION II — QUESTIONS DES PERSONNES CONCERNÉES
Q11 — COMMENT SAVOIR SI UN SITE WEB DÉPOSE DES COOKIES SUR MON TERMINAL SANS MON CONSENTEMENT ?
Via les outils intégrés à votre navigateur. Tous les navigateurs modernes (Chrome, Firefox, Safari, Edge) disposent d’outils de développement accessibles via la touche F12 (ou menu Outils/Développeur). L’onglet « Application » puis « Cookies » permet de visualiser en temps réel l’ensemble des cookies présents sur votre terminal pour le site visité. Vous pouvez ainsi vérifier si des cookies sont déposés avant d’avoir interagi avec le bandeau de consentement, ou si des cookies persistent après avoir cliqué sur « Tout refuser ». Des extensions de navigateur spécialisées (uBlock Origin, Privacy Badger, Cookie AutoDelete) permettent également de détecter et de bloquer les traceurs non sollicités.
Q12 — QUE FAIRE SI JE CONSTATE QU’UN SITE WEB NE RESPECTE PAS MES CHOIX EN MATIÈRE DE COOKIES ?
Déposer une plainte auprès de la CNIL. Le formulaire de plainte en ligne est accessible directement sur cnil.fr, à la rubrique « Déposer une plainte ». La procédure est gratuite, confidentielle et ne nécessite aucun mandat d’avocat. La CNIL instruit les plaintes et peut, comme dans l’affaire Condé Nast, déclencher des contrôles en ligne et engager des procédures de sanction. Il est utile de joindre à votre plainte des captures d’écran documentant les pratiques observées (cookies déposés avant consentement, cookies persistants après refus). Des associations spécialisées comme NOYB (None Of Your Business) — qui est à l’origine de la plainte ayant déclenché la procédure Condé Nast — permettent également de soumettre des plaintes collectives.
Q13 — MES DONNÉES PERSONNELLES COLLECTÉES VIA DES COOKIES DÉPOSÉS SANS MON CONSENTEMENT PEUVENT-ELLES ÊTRE SUPPRIMÉES ?
Oui, en exerçant vos droits directement auprès du responsable de traitement. Vous disposez, au titre du RGPD (articles 17 et 21), d’un droit à l’effacement et d’un droit d’opposition que vous pouvez exercer auprès du responsable de traitement — ici LES PUBLICATIONS CONDÉ NAST — en vous adressant à son DPO ou à son siège social. Le responsable de traitement doit répondre dans un délai d’un mois (prolongeable de deux mois supplémentaires pour les demandes complexes). En cas de non-réponse ou de refus non justifié, vous pouvez saisir la CNIL d’une réclamation. Il est toutefois important de noter que les données transmises à des tiers (régies publicitaires, plateformes de tracking) dans le cadre de cookies non consentis peuvent avoir été incorporées dans des profils détenus par ces tiers, et que l’exercice de vos droits devra, pour ces données, être dirigé directement auprès de chacun de ces tiers.
Q14 — LE CONSENTEMENT QUE J’AI ACCORDÉ UNE PREMIÈRE FOIS EST-IL DÉFINITIF ?
Non, vous pouvez le retirer à tout moment. L’article 82 de la loi Informatique et Libertés et l’article 7, §3, du RGPD consacrent le droit de retirer son consentement à tout moment, sans que ce retrait affecte la licéité des traitements déjà effectués. En pratique, ce retrait s’opère depuis les paramètres de cookies accessibles sur le site (lien « Gérer mes cookies » ou équivalent). L’affaire Condé Nast illustre le risque que le mécanisme de retrait soit techniquement inopérant : après retrait du consentement, des cookies continuaient à être déposés et lus. Si vous constatez une telle situation, vous pouvez, en sus du retrait via le gestionnaire de cookies, supprimer manuellement les cookies stockés dans votre navigateur (paramètres de confidentialité du navigateur), et signaler le dysfonctionnement à la CNIL.
Q15 — UN ACCORD ENTRE UN UTILISATEUR ET UN ÉDITEUR DE SITE SUR LE PAIEMENT D’UN ABONNEMENT PEUT-IL REMPLACER LE CONSENTEMENT AUX COOKIES ?
Non, sauf dans des conditions très strictes. La pratique dite des « cookie walls » — qui consiste à conditionner l’accès gratuit à un site web à l’acceptation des cookies, en proposant en alternative un accès payant — est encadrée par les lignes directrices de la CNIL et la recommandation de juillet 2023. La CNIL admet, sous conditions, que le refus des cookies puisse donner lieu à une proposition d’abonnement payant, à condition que ce dernier soit proposé à un prix raisonnable et que l’accès sans consentement aux cookies soit réellement possible. Un système dans lequel l’alternative payante est prohibitivement onéreuse ou peu visible est susceptible d’être qualifié de « cookie wall » non conforme, viciant le consentement recueilli en le rendant non libre.
POINTS ESSENTIELS
La délibération SAN-2025-010 du 20 novembre 2025, par laquelle la formation restreinte de la CNIL a infligé une amende de 750 000 euros à la société LES PUBLICATIONS CONDÉ NAST, éditrice du site vanityfair.fr (VANITY FAIR, VOGUE, GQ, AD), constitue un jalon supplémentaire — et particulièrement révélateur — dans la construction d’une jurisprudence cookies désormais mature et intransigeante : fondée sur l’article 82 de la loi Informatique et Libertés, transposition de l’article 5, §3, de la directive 2002/58/CE, la délibération sanctionne un manquement unique mais démultiplié en quatre branches, qui couvre l’intégralité du cycle de vie non conforme du traceur — dépôt d’un cookie NID à finalité de personnalisation publicitaire avant toute interaction de l’utilisateur, information insuffisante sur les finalités de cookies abusivement qualifiés de « strictement nécessaires », mécanismes de refus et de retrait techniquement inopérants (des cookies continuant à être déposés et lus après que l’utilisateur avait cliqué sur « Tout refuser » ou retiré son consentement), et persistance de ces violations jusqu’au contrôle de février 2025, soit plus de cinq ans après la première plainte de l’association NOYB en décembre 2019 et nonobstant une mise en demeure prononcée en 2021 et close avec observations en 2022 — ce qui conduit la formation restreinte à qualifier l’attitude de la société de conformité purement réactive, structurellement incompatible avec le principe d’accountability, et à en tirer une circonstance aggravante déterminante dans la fixation du montant de l’amende au regard des critères de l’article 83 du RGPD, aux côtés de la gravité de l’atteinte au droit des quelque 6 millions de visiteurs français tracés à leur insu et du nombre de personnes concernées : la décision s’inscrit ainsi dans le sillage direct des délibérations SHEIN (SAN-2025-005, 150 M€) et American Express (SAN-2025-011, 1,5 M€) pour réaffirmer que l’obligation posée par l’article 82 est une obligation de résultat — ni la complexité de l’architecture technique ni l’invocation de mesures correctives tardives ne pouvant exonérer le responsable de traitement —, et pour rappeler que le champ de l’exemption de consentement est d’interprétation stricte, exigeant une documentation précise de chaque finalité et une information claire et complète portée à la connaissance de l’utilisateur avant tout dépôt de traceur ; la formation restreinte décide en outre la publication de la délibération avec anonymisation différée après deux ans, écartant l’argument du secret des affaires invoqué par la société, et renonce au prononcé d’une injonction au vu de la trajectoire de mise en conformité engagée, la sanction pécuniaire et la publicité étant jugées suffisantes pour atteindre les objectifs d’effectivité, de proportionnalité et de dissuasion assignés par le législateur européen à l’exercice du pouvoir de sanction des autorités de contrôle nationales.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats