CNIL | SAN-2025-010 | 20 novembre 2025 | Affaire LES PUBLICATIONS CONDE NAST | SAN-2025-010-SHORT

---

---

I.

 

Le responsable de traitement et le contexte de l’affaire

La société LES PUBLICATIONS CONDÉ NAST, éditrice des sites vanityfair.fr, vogue.fr, gq.fr et ad.fr, est sanctionnée pour de multiples manquements à l’article 82 de la loi Informatique et Libertés, texte fondateur du droit des cookies en droit français, transposition de l’article 5, paragraphe 3, de la directive ePrivacy. Cette délibération, rendue par la formation restreinte le 20 novembre 2025 et publiée le 27 novembre 2025, est d’autant plus significative qu’elle clôture plus de six années d’échanges entre la société et la CNIL, marquées par une mise en demeure prononcée dès septembre 2021, clôturée en juillet 2022, à l’issue desquelles la société aurait dû durablement se conformer à la réglementation applicable. La persistance des violations après cette mise en demeure, révélée par de nouveaux contrôles en 2023 puis en 2025, fonde le caractère aggravé de la négligence retenue.

La CNIL est matériellement et territorialement compétente pour connaître de ces manquements : les opérations liées à l’utilisation de traceurs sur les terminaux des internautes situés en France relèvent de la directive ePrivacy, et non du RGPD dont le mécanisme de guichet unique ne s’applique pas en l’espèce. La société LES PUBLICATIONS CONDÉ NAST est qualifiée de responsable du traitement relatif au dépôt et à la lecture de cookies sur le terminal des utilisateurs du site vanityfair.fr, ainsi qu’elle le reconnaît elle-même dans sa politique de confidentialité.

---

---

II.

 

Quatre branches de manquement à l’article 82 de la loi Informatique et Libertés

La formation restreinte retient un manquement unique à l’article 82 de la loi Informatique et Libertés, articulé en quatre branches distinctes résultant de constatations effectuées lors de trois contrôles en ligne réalisés les 19 juillet 2023, 9 novembre 2023 et 11 février 2025.

Première branche : dépôt de cookies sans consentement préalable. Lors du contrôle du 9 novembre 2023, la délégation de la CNIL a constaté le dépôt du cookie NID, émanant des services Google et ayant pour finalité de faciliter la connexion de l’utilisateur et de stocker ses préférences lorsqu’un compte Google est utilisé, dès l’arrivée de l’utilisateur sur le site vanityfair.fr et avant toute interaction avec le bandeau cookies. Ce cookie n’entre pas dans le champ des exemptions légales : il n’est ni strictement nécessaire à la fourniture du service, ni destiné à permettre ou faciliter la communication électronique. La société ne conteste pas le dépôt avant consentement et invoque une erreur technique corrigée le 12 janvier 2024. La formation restreinte rappelle que des décisions antérieures portant précisément sur le cookie NID avaient déjà été rendues publiques et validées par le Conseil d’État (SAN-2020-012 et SAN-2020-013), ce que la société ne pouvait ignorer. L’erreur technique, si elle peut atténuer la qualification d’intentionnalité, n’exonère pas de la responsabilité.

Deuxième branche : information erronée sur les finalités des cookies. La bannière cookies du site présentait trois cookies — aux finalités de mise en correspondance de sources de données hors ligne, de liaison entre différents terminaux et d’utilisation de caractéristiques d’identification d’appareil — comme toujours actifs et donc assimilables à des cookies techniques exemptés de consentement. Ces cookies relèvent en réalité de la catégorie des fonctionnalités au sens du Transparency and Consent Framework (TCF) de l’IAB, framework dont la société est adhérente. La société soutient que son adhésion au TCF lui interdit de modifier les intitulés et descriptions définis par l’IAB et qu’elle n’avait donc pas la maîtrise du contenu informatif affiché. La formation restreinte reconnaît cette contrainte mais juge que la solution conforme consistait à renvoyer vers les règles de l’IAB, afin que l’utilisateur dispose d’une information suffisante sur la nature et les finalités de ces traceurs. Faute de ce renvoi, l’information délivrée était erronée et le manquement constitué.

Troisième branche : ineffectivité du mécanisme de refus. Lors des contrôles des 19 juillet 2023 et 9 novembre 2023, la délégation a constaté que des cookies soumis à consentement — notamment les cookies dds, NID et cneplayercount — continuaient d’être déposés sur le terminal de l’utilisateur après que celui-ci avait cliqué sur le bouton tout refuser de l’interface de paramétrage. La formation restreinte énonce clairement que le mécanisme de refus des cookies doit être effectif et que la société avait trompé le consentement en permettant le traçage de la navigation alors même que l’utilisateur pouvait légitimement croire que ses données ne seraient pas collectées. La réactivité de la société — corrections apportées après les contrôles — ne supprime pas les violations constatées.

Quatrième branche : ineffectivité du retrait du consentement. Le contrôle du 11 février 2025 révèle une violation distincte : après avoir d’abord accepté les cookies, puis retiré son consentement via le bouton Tout refuser, la délégation a constaté le maintien de trente-huit cookies sur son terminal (sur cinquante initialement déposés) et la lecture continue de deux d’entre eux — le cookie CNxidrefresh (suivi global de navigation) et le cookie ga9C8GH73ZS1 (Google Analytics, cookies first party). La société soutient que le second cookie a été désactivé et ne transmet plus de données à Google. La formation restreinte juge insuffisant cet argument : les données continuent d’être lues par la société via les requêtes HTTP vers son propre domaine, indépendamment de toute transmission à un tiers. Elle rappelle que des solutions techniques simples existent pour assurer l’effectivité du retrait — notamment la modification de la date d’expiration du cookie — et que la société, qui maîtrise les cookies first party liés à son propre domaine, pouvait implémenter sans difficulté ces mesures. Elle souligne en outre que la société avait déjà été mise en demeure en 2021 pour des pratiques similaires impliquant Google Analytics.

---

---

III.

 

L’appréciation de la négligence aggravée et les critères de la sanction

La formation restreinte qualifie les manquements de résultant d’une négligence de caractère aggravé de la part de la société. Ce qualificatif est fondé sur plusieurs éléments convergents : l’ancienneté des règles applicables, régulièrement publiées et explicitées par la CNIL depuis 2013 ; la mise en demeure prononcée en 2021 et les échanges antérieurs à 2019 ; la récurrence des violations de même nature sur plusieurs années ; et le fait que les mesures correctives n’ont été prises qu’en réponse aux contrôles de la CNIL, jamais de manière autonome et proactive. La société ne peut valablement se prévaloir d’une ignorance des règles applicables, d’autant moins que la jurisprudence du Conseil d’État validant les premières sanctions portant précisément sur les cookies Google, dont le cookie NID, était publique et connue des acteurs du secteur.

La formation restreinte prononce une amende administrative d’un montant de sept cent cinquante mille euros (750 000 €) et ordonne la publication de sa délibération, qui cessera de nommer la société à l’expiration d’un délai de deux ans. Elle justifie la publicité par la visibilité du site, la gravité et la durée des manquements, et le nombre élevé de personnes concernées — plus de 6 millions de visiteurs en France entre juin et octobre 2023.

 
 
 

---

POINTS ESSENTIELS

---