Cookies déposés sans consentement : la CNIL sanctionne la société éditrice du site « vanityfair.fr » d’une amende de 750 000 euros

Le contexte

La société LES PUBLICATIONS CONDE NAST a pour activité l’édition de magazines, sur papier et en ligne, dont le magazine Vanity Fair.

En décembre 2019, la CNIL a été saisie d’une plainte publique de l’association NOYB concernant les cookies déposés depuis le site web « vanityfair.fr » sur le terminal des utilisateurs. Après plusieurs contrôles et échanges avec la CNIL, la société a fait l’objet d’une mise en demeure en septembre 2021 et la procédure a été close en juillet 2022.

En juillet et novembre 2023, puis à nouveau en février 2025, la CNIL a effectué de nouveaux contrôles en ligne sur le site web « vanityfair.fr ». Sur la base de ces constatations, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société LES PUBLICATIONS CONDE NAST avait manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés et a prononcé à son encontre une amende de 750 000 euros.

Le montant de cette amende tient compte du fait que la société a déjà fait l’objet d’une mise en demeure qui aurait dû la conduire à se mettre en conformité, ainsi que du nombre de personnes concernées et des différents manquements aux règles protégeant les utilisateurs en matière de cookies.

Les manquements sanctionnés

La formation restreinte a sanctionné plusieurs pratiques contraires à l’article 82 de la loi Informatique et Libertés :

• Absence de recueil du consentement des utilisateurs avant dépôt des cookies : la CNIL a constaté que des cookies soumis à consentement étaient déposés sur le terminal des utilisateurs se rendant sur le site « vanityfair.fr » dès leur arrivée sur le site, avant même qu’ils n’interagissent avec le bandeau cookies pour exprimer un choix.
   
• Une absence de clarté de l’information mise à disposition des utilisateurs : des cookies apparaissaient comme des cookies « strictement nécessaires », et dès lors exemptés de l’obligation de recueillir le consentement des utilisateurs, sans qu’aucune information utile sur leurs finalités (objectifs) ne soit mise à la disposition de ces derniers.
   
• Des mécanismes de refus et de retrait du consentement défaillants : lorsqu’un utilisateur se rendant sur le site « vanityfair.fr » cliquait sur le bouton « Tout refuser » présent dans le bandeau, ou quand il décidait de retirer son consentement à l’inscription de traceurs sur son terminal, de nouveaux cookies soumis à consentement étaient pourtant déposés et d’autres cookies, déjà présents, continuaient d’être lus.