La CNIL inflige une amende de 750 000 € à l'éditeur de VanityFair.fr pour non-respect des règles relatives aux cookies

données personnelles
Written By Nathalie Pouderoux

L'autorité française de protection des données (CNIL) a infligé une amende de 750 000 € à Les Publications Condé Nast, l'éditeur de Vanity Fair, pour non-respect répété des règles françaises relatives aux cookies.

L'affaire a débuté en 2019, lorsque l'association de défense de la vie privée NOYB a déposé une plainte concernant les pratiques en matière de cookies sur vanityfair.fr. Après une première enquête, la CNIL a émis une injonction de mise en conformité en 2021 et a clos l'affaire l'année suivante.

Cependant, des contrôles de suivi effectués en 2023 et début 2025 ont révélé que les pratiques non conformes persistaient. En conséquence, la commission restreinte de la CNIL, l'organe chargé des sanctions, a constaté de multiples violations de l'article 82 de la loi française sur la protection des données relatives à l'utilisation des cookies et des technologies similaires. Compte tenu des mesures coercitives précédentes et de l'ampleur de l'impact sur les utilisateurs, une amende importante a été infligée.

Qu'est-ce qui n'a pas fonctionné pour Les Publications Condé Nast ?

L'autorité de régulation a souligné plusieurs manquements qui concernent toute organisation exploitant un service en ligne en France ou ciblant des utilisateurs français :

1. Les cookies ont été déployés avant que les utilisateurs ne donnent leur consentement

Le site a placé des cookies nécessitant le consentement immédiat dès l'arrivée, sans attendre que l'utilisateur agisse sur la bannière relative aux cookies. Il s'agit d'une violation directe de l'obligation d'obtenir le consentement avant de déployer tout traceur non essentiel.

2. Le manque de transparence des informations sur les cookies

Certains cookies étaient présentés comme « strictement nécessaires » alors que les utilisateurs ne recevaient pas d'explications claires sur leur fonction. La CNIL a critiqué l'absence d'informations significatives permettant aux utilisateurs de comprendre si leur consentement était réellement nécessaire.

3. Les mécanismes de refus et de retrait ne fonctionnaient pas

Même lorsque les utilisateurs sélectionnaient « Refuser tout » ou tentaient par la suite de retirer leur consentement, de nouveaux cookies basés sur le consentement étaient toujours installés et les cookies existants continuaient d'être lus. La CNIL a considéré cela comme un manquement grave au respect des choix des utilisateurs.

Points clés à retenir pour votre entreprise

La décision Condé Nast offre des enseignements importants pour toute entreprise utilisant des cookies ou des technologies similaires. Avant tout, cette décision réaffirme que les cookies non essentiels ne peuvent être déployés tant que l'utilisateur n'a pas donné son consentement actif, et que toute tentative de contourner cette règle, comme l'installation de traceurs lors du chargement de la page, sera considérée comme une violation.

Elle souligne également la nécessité d'une transparence totale, les organisations devant veiller à ce que l'objectif de chaque cookie soit expliqué en termes clairs et précis, et qu'aucun cookie ne soit classé comme « strictement nécessaire » à moins qu'il ne réponde véritablement à cette définition.

Au-delà de la clarté, la CNIL a clairement indiqué que le choix de l'utilisateur doit fonctionner de manière fiable ; les boutons de refus, les panneaux de consentement et les outils de retrait doivent faire exactement ce qu'ils promettent. Enfin, cette affaire montre qu'une fois qu'un régulateur intervient, des contrôles de suivi sont inévitables. Les entreprises doivent donc considérer la conformité des cookies comme une responsabilité opérationnelle permanente, en auditant régulièrement leurs outils de consentement, en examinant les scripts tiers et en vérifiant que les préférences des utilisateurs sont appliquées de manière cohérente sur l'ensemble de leurs plateformes numériques.

Comment Gerrish Legal peut vous aider?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante pour Gerrish Legal

Nathalie Pouderoux
Previous

Les régulateurs européens ciblent les géants technologiques afin de lutter contre les pratiques anticoncurrentielles dans le domaine de l'IA
Next

IA et droits d'auteur : principales évolutions aux États-Unis à partir de 2025