Le 20 novembre 2025, la CNIL a sanctionné la société LES PUBLICATIONS CONDE NAST, éditrice du site vanityfair.fr, à hauteur de 750 000 € pour non-respect des règles applicables aux cookies. Une décision qui confirme la fermeté de la CNIL en matière de traceurs et rappelle que les bandeaux cookies “de façade” ne suffisent plus.
1. Une amende lourde pour des cookies déposés sans consentement
Le 20 novembre 2025, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende de 750 000 euros à l’encontre de la société LES PUBLICATIONS CONDE NAST, qui édite notamment le site vanityfair.fr. Motif : le non-respect des règles applicables aux cookies et autres traceurs déposés sur le terminal des utilisateurs du site.
Cette sanction repose sur l’article 82 de la loi Informatique et Libertés, qui encadre les actions consistant à lire ou déposer des informations dans l’équipement terminal d’un utilisateur (par exemple via les cookies publicitaires ou de mesure d’audience avancée). Sauf exceptions limitées, ces opérations ne sont possibles qu’après :
- une information claire et complète sur la finalité des cookies,
- le recueil d’un consentement préalable de l’utilisateur,
- la possibilité pour celui-ci de s’opposer facilement au dépôt de ces traceurs.
Dans cette affaire, la CNIL estime que le site vanityfair.fr ne respectait pas ces principes, malgré un historique déjà chargé en matière de conformité aux cookies.
2. Une affaire qui démarre en 2019 et se poursuit après une mise en demeure
L’affaire ne naît pas en 2025, mais en décembre 2019, lorsque l’association NOYB saisit la CNIL d’une plainte concernant les cookies déposés par le site vanityfair.fr. L’association reproche au site de déposer des cookies sans consentement conforme aux règles en vigueur.
À la suite de cette plainte, la CNIL procède à plusieurs contrôles en ligne et échanges avec la société. Ces investigations conduisent la Présidente de la CNIL à prononcer une mise en demeure en septembre 2021, enjoignant l’éditeur à :
- recueillir le consentement des utilisateurs avant tout dépôt de cookies non exemptés,
- se mettre en conformité avec les règles applicables aux traceurs.
La procédure de cette première phase est finalement close en juillet 2022, la société ayant apporté des éléments de régularisation. Mais l’histoire ne s’arrête pas là.
En juillet et novembre 2023, puis à nouveau en février 2025, la CNIL réalise de nouveaux contrôles en ligne sur le site vanityfair.fr. À l’issue de ces vérifications, la formation restreinte – l’organe de la CNIL chargé de prononcer les sanctions – constate que des manquements subsistent toujours à l’article 82. Elle décide alors de prononcer l’amende de 750 000 €, en tenant compte :
- de l’existence d’une mise en demeure antérieure,
- du nombre d’utilisateurs concernés,
- et de la multiplicité des manquements constatés.
Ce contexte montre que la CNIL se montre particulièrement sévère lorsque, après un premier rappel à l’ordre, un organisme ne corrige pas durablement ses pratiques.
3. Ce que la CNIL reproche concrètement au site vanityfair.fr
Dans son communiqué, la CNIL détaille plusieurs pratiques jugées contraires à l’article 82 de la loi Informatique et Libertés.
a. Des cookies déposés dès l’arrivée sur le site, sans consentement
La CNIL constate d’abord que des cookies soumis à consentement (par exemple utilisés à des fins publicitaires ou analytiques non strictement nécessaires) étaient déposés sur le terminal des utilisateurs :
- dès l’arrivée sur le site,
- avant toute action de l’internaute sur le bandeau cookies.
Or, l’article 82 impose que le consentement soit recueilli avant le dépôt de ce type de cookies. Il ne suffit pas d’afficher un bandeau : tant que l’utilisateur n’a pas accepté, les cookies non essentiels ne doivent pas être déposés.
b. Une information peu claire sur certains cookies « strictement nécessaires »
La CNIL relève ensuite que certains cookies apparaissaient comme des cookies « strictement nécessaires », réputés exonérés de consentement, sans aucune information utile sur leurs finalités.
Présenter un cookie comme « nécessaire » alors que sa finalité n’est pas expliquée, voire qu’elle pourrait relever de la publicité ou de la mesure d’audience non essentielle, empêche l’utilisateur de comprendre ce à quoi il consent réellement.
c. Un bouton « Tout refuser »… qui ne permettait pas vraiment de refuser
Enfin – et c’est un point central – la CNIL considère que les mécanismes de refus et de retrait du consentement étaient défaillants :
- lorsque l’utilisateur cliquait sur le bouton « Tout refuser » dans le bandeau,
- ou lorsqu’il décidait de retirer son consentement par la suite,
de nouveaux cookies soumis à consentement continuaient d’être déposés, et d’autres cookies déjà présents continuaient d’être lus.
En pratique, même après un refus explicite, le suivi publicitaire se poursuivait. Pour la CNIL, cela vide le consentement de sa substance : l’utilisateur a l’illusion de pouvoir refuser les cookies, alors que son choix n’est pas respecté.
4. Cookies : les enseignements pour tous les éditeurs de sites web
Au-delà du cas de vanityfair.fr, cette sanction envoie un signal très clair à l’ensemble des acteurs du numérique : la conformité cookies ne se limite pas à afficher un bandeau. Elle implique un véritable contrôle technique et juridique du dispositif.
a. Ne déposer aucun cookie non essentiel avant le consentement
La règle issue de l’article 82 est simple :
- Information préalable sur la finalité des traceurs,
- Consentement libre, spécifique, éclairé et univoque de l’utilisateur,
- Dépôt ou lecture des cookies uniquement après ce consentement, sauf exceptions limitées (cookies strictement nécessaires au service demandé ou à la communication).
En pratique, cela implique de vérifier, avec les équipes techniques ou le prestataire de la plateforme de gestion du consentement (CMP), que les scripts publicitaires, de tracking ou de mesure d’audience avancée ne se déclenchent pas tant que l’utilisateur n’a pas accepté.
b. Rendre le refus aussi simple que l’acceptation
La CNIL insiste de plus en plus sur la symétrie des choix : si un bouton « Tout accepter » est proposé, un bouton « Tout refuser » doit être tout aussi visible et facilement accessible. Et surtout, ce bouton doit être efficace :
- aucun cookie soumis à consentement ne doit être déposé après un refus,
- aucun cookie déjà déposé ne doit continuer à être lu si l’utilisateur retire son accord.
Un bandeau aux airs conformes, mais derrière lequel les cookies continuent d’être exploités, expose l’éditeur à un sérieux risque de sanction.
c. Cartographier et documenter ses cookies
L’affaire vanityfair.fr rappelle aussi l’importance d’une cartographie précise des cookies utilisés sur un site :
- liste complète des traceurs (propriétaires et tiers),
- finalités détaillées,
- durée de conservation,
- base légale (consentement ou exemption) et justification de l’éventuel caractère « strictement nécessaire ».
Cette documentation est indispensable pour informer correctement les utilisateurs et pour pouvoir démontrer sa conformité en cas de contrôle.
d. Prendre au sérieux les mises en demeure de la CNIL
Enfin, le montant de 750 000 € s’explique en grande partie par le fait que la société avait déjà fait l’objet d’une mise en demeure en 2021, puis d’une clôture de procédure en 2022, avant que de nouveaux manquements ne soient constatés entre 2023 et 2025.
Pour les responsables de sites, le message est clair :
- une mise en demeure n’est pas un simple avertissement ponctuel ;
- la conformité doit être pérenne, y compris lors des refontes du site, des changements de partenaires publicitaires ou des mises à jour techniques ;
- en cas de contrôle ultérieur, la CNIL vérifiera si les engagements ont été tenus dans la durée.
A retenir :
En définitive, la sanction de 750 000 € prononcée contre l’éditrice de vanityfair.fr illustre la fermeté croissante de la CNIL en matière de cookies sans consentement. Tous les éditeurs de sites – médias, e-commerce, plateformes, services en ligne – ont intérêt à revoir leur dispositif de recueil de consentement, à tester concrètement le fonctionnement de leur bandeau et à s’assurer que le bouton « Tout refuser » n’est pas qu’une façade.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
