La Commission nationale de l’informatique et des libertés (ci-après « la Cnil) a annoncé, le 20 novembre 2025, avoir sanctionné la société Les Publications Condé Nast – éditrice du site VanityFair.fr – d’une amende de 750 000 € pour dépôt de cookies sans consentement préalable. Malgré une mise en demeure adressée dès 2021, plusieurs contrôles successifs ont révélé que le site continuait de déposer des traceurs soumis à consentement dès l’arrivée de l’utilisateur sur la page. Cette décision s’inscrit dans la volonté constante de la Cnil de renforcer la transparence et le contrôle effectif des internautes sur leurs données de navigation.
Remettre le consentement au centre des pratiques numériques
Le consentement préalable demeure la règle intangible pour tous les traceurs non essentiels, un principe que la Cnil rappelle régulièrement depuis plusieurs années. Or, lors de contrôles menés en 2023 puis en 2025, l’autorité a constaté que VanityFair.fr déclenchait automatiquement plusieurs cookies soumis à consentement dès la simple visite de la page d’accueil, avant toute interaction avec la bannière d’information. Ces dépôts anticipés, techniquement discrets mais juridiquement illicites, privaient l’utilisateur de toute maîtrise sur ses choix.
Cette affaire s’inscrit dans un contexte plus large : un monde numérique où la collecte de données s’est intensifiée, souvent à l’insu des internautes. Les traceurs permettent en effet de suivre les comportements de navigation, de mesurer l’audience, ou encore de personnaliser les contenus et publicités, avec un niveau de précision souvent sous-estimé par le grand public. Rappeler que ces outils ne peuvent fonctionner qu’avec un consentement éclairé contribue à restaurer un équilibre entre l’utilisateur et l’éditeur du site.
Du côté des organisations, ce rappel résonne comme une exigence de clarté et de responsabilité. Pour être conforme, un site doit permettre de refuser aussi facilement que d’accepter. Bannières ambiguës, boutons dissimulés ou interfaces qui favorisent l’acceptation ne sont plus tolérées. L’objectif poursuivi par la Cnil n’est pas d’entraver les modèles économiques fondés sur la publicité ciblée, mais d’assurer que ces pratiques se déroulent dans un cadre transparent, où le choix de l’internaute est réel et non forcé.
Un historique long et des manquements persistants
L’affaire ne débute pas en 2025 mais en 2019, année où l’association NOYB a déposé une plainte auprès de la Cnil dénonçant les pratiques de dépôt de cookies sur les sites édités par Les Publications Condé Nast. À la suite d’un premier contrôle, l’autorité a adressé une mise en demeure en septembre 2021. Cette démarche avait alors conduit l’éditeur à engager quelques correctifs, suffisamment pour permettre une clôture de la mise en demeure en juillet 2022.
Cependant, cette clôture n’avait pas valeur de validation définitive : la Cnil a précisé qu’elle procéderait à de nouveaux contrôles pour vérifier que les améliorations se poursuivaient et se maintenaient dans le temps.
Ces nouveaux contrôles, réalisés en décembre 2023 puis en mai 2025, ont révélé que des manquements subsistaient. Plusieurs traceurs continuaient d’être déposés avant tout consentement, et certains cookies étaient classés comme « strictement nécessaires » alors que leurs finalités ne correspondaient pas à cette exception. La Cnil a notamment relevé que des outils utilisés pour la mesure d’audience ou la personnalisation publicitaire étaient rangés dans cette catégorie, permettant à l’éditeur de les déclencher sans recueillir le consentement de l’utilisateur.
Enfin, un élément particulièrement problématique a été mis en lumière : même lorsque l’utilisateur cliquait sur « Tout refuser », certains cookies continuaient d’être placés ou lus. Le mécanisme de refus, pourtant central pour respecter les obligations légales, n’était donc pas fonctionnel. Le non-respect répété de ces principes, malgré les avertissements antérieurs, a conduit la formation restreinte de la Cnil à prononcer une amende de 750 000 €.
Un signal fort pour la transparence et la responsabilité numérique
Au-delà de la sanction financière, cette décision rappelle la nécessité d’offrir aux internautes une information lisible, complète et compréhensible sur l’utilisation de leurs données de navigation. Beaucoup d’utilisateurs cliquent encore sur « Accepter » sans mesurer les implications, par habitude ou par crainte qu’un refus bloque l’accès au site. En sanctionnant un acteur médiatique de premier plan, la Cnil envoie le message que le respect du choix de l’utilisateur n’est ni accessoire ni négociable.
Pour les éditeurs de sites web, cette décision souligne l’importance d’un paramétrage précis et vérifié des outils de gestion des cookies. L’implémentation d’un CMP (Consent Management Platform) ne suffit pas : encore faut-il s’assurer que les boutons fonctionnent réellement, que les scripts ne se déclenchent pas prématurément, et que les catégories de cookies sont correctement renseignées. Une conformité économique, technique et juridique exige une collaboration étroite entre les équipes marketing, techniques et juridiques.
Cette sanction s’inscrit dans un mouvement général : redonner de la lisibilité aux mécanismes invisibles du web et renforcer la confiance des internautes. Le but n’est pas d’entraver la publicité en ligne – ressource essentielle pour de nombreux médias – mais de la replacer dans un cadre respectueux des droits fondamentaux. Un consentement réellement choisi, correctement recueilli et effectivement respecté constitue aujourd’hui la condition indispensable d’une relation numérique équilibrée.
Par LOCK-T
Avec la participation de Divine ANTONIO, stagiaire