La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Vincent LESCLOUS, vice-président, Mmes Laurence FRANCESCHINI et Isabelle LATOURNARIE-WILLEMS, MM. Bertrand du MARAIS et Didier KLING, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel ;
Vu les décisions n° 2023-179C du 26 juin 2023 et 2025-045C du 4 février 2025 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte du 14 octobre 2024 ;
Vu le rapport de Monsieur Fabien TARISSAN, commissaire rapporteur, du 18 juillet 2025, notifié à la société le 21 juillet 2025 ;
Vu les observations écrites de la société LES PUBLICATIONS CONDE NAST reçues le 12 septembre 2025 ;
Vu la clôture de l’instruction notifiée à la société LES PUBLICATIONS CONDE NAST le 6 octobre 2025 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 6 novembre 2025 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte du 6 novembre 2025 :
- Monsieur Fabien TARISSAN, commissaire, entendu en son rapport ;
En qualité de représentants de la société LES PUBLICATIONS CONDE NAST :
- […]
La société LES PUBLICATIONS CONDE NAST ayant été informée de son droit de garder le silence sur les faits qui lui étaient reprochés et ayant eu la parole en dernier ;
Le vice-président ayant vérifié l’identité des représentants de la société mise en cause, a présenté le déroulé de la séance, rappelé que les représentants peuvent, s’ils le souhaitent, garder le silence ou présenter des observations orales introductives ou en réponse aux questions des membres de la formation restreinte et demandé à [...], directeur juridique de la société, si, comme proposé par son conseil, il renonçait expressément à la présence d’un interprète et s’il acceptait que ses propos soient traduits par son avocat, Maître [...], ce qu’il a accepté.
Après en avoir délibéré, la formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. La société LES PUBLICATIONS CONDE NAST (la société) est une société par actions simplifiée, dont le siège social se situe 91-93 rue de Richelieu à Paris (75002).
2. La société a pour activités principales l’édition de revues et périodiques et la régie publicitaire. Elle édite en particulier quatre titres de presse qui sont à la fois des magazines papiers et des sites de presse en ligne : VANITY FAIR, VOGUE, GQ et AD. La société édite en particulier le site " vanityfair.fr " depuis 2013, lequel a reçu environ 7 430 000 de visiteurs, dont plus de 6 millions en France entre les mois de juin et d’octobre 2023.
3. Pour 2022, le chiffre d’affaires net de la société en France était de 47 555 947 euros pour un résultat net de 3 637 770 euros. Au 31 décembre 2023, la société employait 173 salariés et son chiffre d’affaires net en France s’élevait à 26 461 390 euros pour un résultat net de 855 227 euros.
4. Entre 2019 et 2021, à la suite d’une plainte déposée par l’association NOYB, de nombreux échanges ont eu lieu entre la Commission nationale de l’informatique et des libertés (CNIL) et la société concernant sa politique relative aux cookies et sa mise en œuvre. Dans ce cadre, trois contrôles en ligne et une audition de la société ont eu lieu entre 2020 et 2021, en application de la décision n° 2020-038C du 27 décembre 2019 de la présidente de la CNIL. A l’issue de ces échanges, la CNIL a rappelé à la société ses obligations en matière de cookies le 12 juin 2021. Un nouveau contrôle en ligne sur le site " vanity.fr " a été réalisé le 11 août 2021, à l’issue duquel la présidente de la CNIL a mis la société en demeure, le 13 septembre 2021, de recueillir le consentement des utilisateurs avant tout dépôt sur leur terminal de cookies non exemptés. Le 11 juillet 2022, la présidente de la CNIL a prononcé la clôture avec observations la procédure de contrôle n° 2020-038C.
5. Les 19 juillet et 9 novembre 2023, en application de la décision n° 2023-179C de la présidente de la CNIL consécutive à une nouvelle plainte de l’association NOYB, deux contrôles en ligne du domaine " vanity.fr " ont été réalisés. Ils visaient à vérifier le respect par la société des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Libertés) et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD). Les procès-verbaux de contrôle ont été notifiés à la société les 21 juillet et 10 novembre 2023. Des éléments complémentaires ont été communiqués par la société à la délégation de contrôle les 18 août 2023, 19 janvier et 9 février 2024.
6. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 14 octobre 2024, désigné Monsieur Fabien TARISSAN en qualité de rapporteur sur le fondement de l’article 22 de la loi du 6 janvier 1978.
7. Le 11 février 2025, sur décision n° 2025-045C de la présidente de la CNIL prise en application de l’article 39 du décret n° 2019-536 du 29 mai 2019 et sur demande du rapporteur, un nouveau contrôle en ligne du site web " https://www.vanityfair.fr " a été réalisé par une délégation de la CNIL. Le procès-verbal a été notifié le 12 février 2025 à la société, qui a transmis des éléments de réponse complémentaires à la délégation de contrôle le 10 mars 2025.
8. Le 21 juillet 2025, a été notifié à la société un rapport détaillant le manquement reproché à l’article 82 de la loi Informatique et Libertés, proposant qu’une amende administrative soit prononcée par la formation restreinte et que la décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
9. Le 12 septembre 2025, la société a produit des observations en réponse au rapport de sanction.
10. Le 6 octobre 2025, le rapporteur a, en application de l’article 40-III du décret du 29 mai 2019, informé la société que l’instruction était close.
11. Le même jour, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 6 novembre 2025.
12. A l’issue de la procédure contradictoire écrite, le rapporteur et la société ont présenté des observations orales lors de la séance de la formation restreinte.
II. Motifs de la décision
A. Sur le traitement en cause et la détermination du responsable de traitement
13. Le paragraphe 7 de l’article 4 du RGPD - qui s’applique en raison du renvoi fait par l’article 2 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2006/24/CE du 15 mars 2006 et par la directive 2009/136/CE du 25 novembre 2009 (directive " ePrivacy ") à l’ancienne directive 95/46/CE à laquelle s’est substitué le RGPD - prévoit que le responsable de traitement est " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ".
14. En l’espèce, le traitement en cause est relatif au dépôt et à la lecture de cookies sur le terminal des utilisateurs résidant en France lors de la navigation sur le nom de domaine " vanityfair.fr ".
15. La formation restreinte relève que la politique de confidentialité de la société accessible pour tous les utilisateurs depuis le domaine " vanityfair.fr " mentionne : " Condé Nast est le responsable de traitement de vos données et à ce titre, définit d’une part la manière dont vos données personnelles sont recueillies et d’autre part les finalités de traitement de vos données ", ce que la société reconnaît.
16. Au vu de ce qui précède, la formation restreinte considère que la société agit en qualité de responsable du traitement relatif au dépôt et à la lecture de cookies sur le terminal des utilisateurs du site web https://www.vanityfair.fr.
B. Sur le manquement aux obligations en matière de cookies
17. Les règles régissant l’utilisation, par un service de communications électroniques, des cookies et autres traceurs sur les équipements terminaux utilisés dans l’Union européenne sont fixées à l’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2009/136/CE du 25 novembre 2009.
18. Ces règles ont été transposées en droit français à l’article 32, paragraphe II, de la loi Informatique et Libertés, devenu l’article 82 depuis la réécriture de cette loi par l’ordonnance n° 2018-1125 du 12 décembre 2018. Celui-ci prévoit que " Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l’utilisateur ".
19. La formation restreinte note que le rapporteur a identifié quatre branches au manquement aux obligations en matière de cookies qu’il estime constitué. Il convient donc d’examiner successivement ces quatre branches.
1. Sur le dépôt de cookies sans le consentement et avant toute action de l’utilisateur
20. Il ressort des dispositions précitées que les opérations d’accès ou d’inscription d’informations dans le terminal d’un utilisateur qui n’entrent pas dans le champ des exemptions prévues à l’article 82 de la Loi Informatique et Libertés, ne peuvent avoir lieu qu’après que ce dernier a exprimé son consentement.
21. En l’espèce, le rapporteur relève que la délégation de contrôle a, le 9 novembre 2023, constaté le dépôt sur son terminal, sans son consentement préalable, d’un cookie NID n’entrant pas dans le champ des exemptions susvisées, dès son arrivée sur le site web et avant toute action de sa part. Il considère que cette opération d’inscription qui a eu lieu avant le recueil du consentement, constitue un manquement à l’article 82 de la loi Informatique et Libertés.
22. En défense, la société ne conteste pas que ce cookie est soumis au recueil préalable du consentement des utilisateurs du site web, ni l’avoir déposé sans avoir préalablement obtenu leur consentement, avant toute action de leur part. Elle indique que cette action est due à une erreur technique et avoir procédé à des corrections pour supprimer ce cookie de son site le 12 janvier 2024.
23. La formation restreinte relève que, lors du contrôle en ligne, la délégation a constaté le dépôt d’un cookie NID qui a pour finalité de faciliter la connexion de l’utilisateur et permet de stocker ses préférences lorsqu’un compte Google est utilisé. Ce cookie n’est pas strictement nécessaire à la fourniture du service en ligne et n’a pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique.
24. La formation restreinte rappelle que, n’étant ni des traceurs ayant pour finalité de permettre ou faciliter la communication par voie électronique, ni n’étant strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, les cookies publicitaires ne peuvent être déposés ni lus sur le terminal de la personne, conformément à l’article 82 de la loi Informatique et Libertés, tant qu’elle n’a pas fourni son consentement. Elle a rendu publiques plusieurs sanctions à l’encontre d’organismes déposant des cookies publicitaires avant tout recueil du consentement de l’utilisateur, ce que la société ne pouvait pas ignorer, en particulier s’agissant du cookie NID (délibération n° SAN-2020-012 du 7 décembre 2020 points 99 et 100, validée par le Conseil d’État dans sa décision n° 44209 du 28 janvier 2022 ; délibération n° SAN-2020-013 du 7 décembre 2020 validée par le Conseil d’État dans sa décision n° 451423 du 27 juin 2022).
25. Par conséquent, la formation restreinte considère qu’en déposant le cookie NID sur le terminal des utilisateurs avant toute interaction avec le bandeau cookies, la société, qui ne conteste pas la réalité des faits reprochés, a méconnu les dispositions de l’article 82 de la Loi Informatique et Libertés relatives à l’obligation d’obtention préalable du consentement de l’utilisateur. La circonstance que le dépôt du cookie NID avant toute action de la part de l’utilisateur serait dû à une erreur technique à laquelle il a été remédié le 12 janvier 2024 n’a aucune incidence sur la caractérisation du manquement.
2. Sur le manquement relatif à l’information des personnes
26. Il ressort des dispositions de l’article 82 de la loi Informatique et Libertés que les finalités des traceurs doivent être portées à la connaissance des utilisateurs avant qu’ils ne se voient offrir la possibilité d’accepter ou de refuser leur inscription ou lecture sur leur terminal.
27. En l’espèce, le rapporteur relève que l’affichage présent sur le site web " www.vanityfair.fr " relatif à " Gérer les préférences de consentement " de la bannière relative aux cookies, indique que les trois cookies ayant les finalités suivantes " mettre en correspondance et combiner des sources de données hors ligne ", " relier différents terminaux " et " recevoir et utiliser des caractéristiques d’identification d’appareil envoyées automatiquement ", apparaissent comme " toujours actifs ". Ces cookies sont associés à des " cookies strictement nécessaires au fonctionnement du site web " qui " ne peuvent pas être désactivés " selon la société. L’utilisateur est donc informé que ces cookies sont indispensables au fonctionnement du site web. Le rapporteur considère au contraire que ces cookies ne sont pas strictement nécessaires au fonctionnement du site web et que l’information délivrée aux personnes est erronée.
28. En défense, la société indique que les cookies litigieux font en réalité partie de la catégorie des " fonctionnalités " issus du Transparency and Consent Framework (TCF) de l’Internet Advertising Bureau (IAB), c’est-à-dire un standard de recueil du consentement proposé par l’association IAB. Elle précise que ces éléments ne constituent pas une finalité autonome mais une activité de traitement utilisée pour atteindre une finalité spéciale, pour laquelle l’IAB considère que l’utilisateur n’a pas à consentir et qui s’imposent à elle en raison de son adhésion au TCF. Autrement dit, la société considère qu’en étant liée par le TCF de l’IAB, elle n’a pas le pouvoir de définir les finalités des cookies de fonctionnalités identifiés par le rapporteur. La société ajoute que la Cour de justice de l’Union européenne considère que l’IAB agit en qualité de responsable conjoint du traitement effectué dans le cadre du TCF et qu’elle n’a jamais eu l’intention de tromper ses utilisateurs.
29. En l’espèce, la formation restreinte relève que la société a adopté le TCF de l’IAB qui est le standard majoritairement utilisé par les éditeurs et les autres acteurs dans le secteur de la publicité en ligne. Elle note, au vu des explications apportées par la société, que les cookies " mettre en correspondance et combiner des sources de données hors ligne ", " relier différents terminaux " et " recevoir et utiliser des caractéristiques d’identification d’appareil envoyées automatiquement " relèvent de la catégorie des fonctionnalités. Celles-ci sont utilisées pour atteindre une finalité ou une finalité spéciale et l’utilisateur ne peut pas faire un choix distinct de celui relatif à la finalité ou à la finalité spéciale associée. La formation restreinte relève également que, dans le cadre de l’utilisation du TCF, les éditeurs sont tenus de respecter toutes les règles énoncées dans le cadre de celui-ci sans pouvoir modifier, notamment, les finalités et les fonctionnalités au risque de s’exposer à une exclusion de l’usage du TCF (CJUE, 7 mars 2024, C-604/22, IAB c/ Gegevensbeschermingsautoriteit). A supposer que l’adhésion au TCF ait constitué une contrainte professionnelle pour la société, il n’en demeure pas moins que l’information transmise à l’utilisateur restait insuffisante dans la mesure où elle ne renvoyait pas vers les règles de l’IAB. Ainsi, dans ces conditions, le manquement est constitué pour le passé.
3. Sur l’obligation d’assurer l’effectivité du refus par l’utilisateur du dépôt et de la lecture de cookies sur son terminal
30. En droit, il résulte des dispositions de l’article 82 de la loi Informatique et Libertés qu’à l’exception des deux exemptions prévues, un responsable de traitement ne peut, par principe, légalement déposer des cookies ou autres traceurs sur le terminal d’un utilisateur qui en a refusé la lecture ou l’écriture.
31. Par ailleurs, ces dispositions, telles qu’interprétées de manière constante par la Commission et, en tout dernier lieu, dans ses lignes directrices n° 2020-091 et sa recommandation n° 2020-092 du 17 septembre 2020, impliquent que les personnes ayant donné leur consentement au dépôt ou à la lecture des cookies doivent être en mesure de le retirer simplement à tout moment (en ce sens, CNIL, FR, 29 décembre 2023, Sanction, SAN-2023-024, publié).
32. En l’espèce, le rapporteur relève qu’en suivant le mécanisme de refus proposé à partir du bandeau cookies, via le bouton " personnaliser " renvoyant à l’interface de paramétrage de la politique de cookies, des cookies soumis à consentement préalable étaient néanmoins déposés sur le terminal de l’utilisateur, à la fois au moment du refus mais aussi ultérieurement, au cours de la navigation.
33. En défense, la société confirme le dépôt de cookies malgré le refus de tous les cookies par l’utilisateur. Elle considère que l’un des cookies a été déposé en raison d’un paramétrage incorrect et a été désactivé en deux semaines. Elle indique pour un deuxième cookie qu’il avait également été désactivé rapidement et n’aborde pas le cas du troisième cookie identifié par le rapporteur.
34. La formation restreinte note qu’après avoir cliqué sur le bouton " tout refuser " de l’interface de paramétrage de la politique de cookies, la délégation a constaté le 19 juillet 2023 la présence sur son navigateur du cookie " _dd_s " ayant pour finalité de regrouper tous les événements générés sur plusieurs pages à partir de la session d’un utilisateur afin d'améliorer les performances de la bibliothèque d'annonces. De même, elle a constaté le 9 novembre 2023, la présence du cookie " NID " ayant pour finalité de faciliter la connexion de l’utilisateur et de stocker ses préférences lorsqu’un compte Google est utilisé. Or, comme exposé précédemment, le dépôt de cookies pour ces finalités publicitaires est soumis au consentement préalable de l’utilisateur, ce que ne conteste pas la société.
35. La formation restreinte relève encore qu’outre le maintien du cookie " _dd_s ", la délégation a constaté le 19 juillet 2023 au cours de la navigation l’enregistrement du cookie " cneplayercount " dont la finalité consiste à analyser l’activité d’un utilisateur pour déterminer le nombre de vidéos qu’il a regardées au cours d’une navigation. Ce cookie n’est donc pas non plus exempté de l’exigence de recueil du consentement préalable de l’utilisateur, ce que ne conteste pas la société.
36. La formation restreinte considère que le mécanisme de refus des cookies doit être effectif. Ainsi, en déposant sur le terminal de l’utilisateur des cookies soumis au recueil préalable de son consentement après que celui-ci a clairement exprimé son refus, la société ne tient pas compte de son choix, et trompe son consentement en permettant le traçage de sa navigation alors même qu’il peut légitimement croire que ses données ne seront pas collectées.
37. Par conséquent et tout en prenant acte des corrections que la société indique avoir réalisées, la formation restreinte estime qu’elle a méconnu les dispositions de l’article 82 de la loi Informatique et Libertés relatives au dépôt de cookies soumis au consentement préalable de l’utilisateur, alors même qu’il a exprimé son refus.
4. Sur l’obligation d’assurer l’effectivité du retrait du consentement de l’utilisateur au dépôt et à la lecture de cookies sur son terminal
38. En droit, les opérations d’accès ou d’inscription d’informations sur le terminal de l’utilisateur sont, en tant que telles (et sauf exceptions), expressément prohibées par l’article 82 de la loi Informatique et Libertés, en l’absence de consentement de la personne concernée. Cet article vise en effet " toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans [un] équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ". Il prévoit que " ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement ".
39. Ces dispositions, telles qu’interprétées de manière constante par la Commission depuis sa recommandation relative aux cookies et autres traceurs du 5 décembre 2013 (délibération n° 2013-378) et, en tout dernier lieu, dans sa recommandation du 17 septembre 2020 (délibération n° 2020-092 du 17 septembre 2020), impliquent non seulement que les personnes concernées donnent leur consentement à l’accès ou à l’inscription d’informations dans leur terminal, mais également que celles ayant donné leur consentement soient en mesure de le retirer de manière simple et à tout moment. Dans une décision du 29 décembre 2023, la formation restreinte a ainsi expressément rappelé que, " si l’article 82 de la loi Informatique et Libertés conditionne le dépôt de cookies au consentement de l’abonné ou de l’utilisateur, il offre nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement et de revenir ainsi sur son choix d’accepter que des cookies soient déposés sur son terminal " (CNIL, FR, 29 décembre 2023, Sanction, SAN-2023-024, publié).
40. Cette interprétation converge avec les dispositions du 3 de l’article 7 du RGPD, qui constituent une source d’inspiration concernant l’application des dispositions de l’article 82 de la loi Informatique et Libertés, tout comme les lignes directrices n° 5/2020 sur le consentement au sens du RGPD adoptées le 4 mai 2020 par le Comité européen de la protection des données (CEPD).
41. Ainsi, le 3 de l’article 7 du RGPD dispose que : " La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement " et que, dans les lignes directrices du RGPD précitées, le CEPD indique que : " La personne concernée devrait également être en mesure de retirer son consentement sans subir de préjudice. Cela signifie, entre autres, qu’un responsable du traitement doit proposer la possibilité de retirer son consentement gratuitement ou sans entraîner la diminution du niveau de service " (point 114).
42. En l’espèce, le rapporteur relève que, lors du contrôle en ligne du 11 février 2025, la délégation a constaté que la société procédait à des opérations de lecture d’informations dans le terminal de l’utilisateur après que celui-ci a accepté dans un premier temps des opérations de lecture et d’écriture puis retiré son consentement en continuant sa navigation sur le site.
43. En défense, la société ne conteste pas ces faits, mais fait valoir concernant le cookie CN_xid_refresh avoir cessé de le déposer depuis les opérations de contrôle et, pour le cookie _ga_9C8GH73ZS1, que s’il s’affiche sur l’appareil de l’utilisateur, celui-ci a été désactivé par la société et qu’aucune donnée ne peut être ni collectée ni partagée avec la société Google.
44. La formation restreinte relève que, lors du contrôle en ligne du 11 février 2025, la délégation a effectué des constatations en plusieurs étapes afin de vérifier le respect par la société de son obligation d’assurer l’effectivité du retrait du consentement. Elle a d’abord accepté les cookies via le bandeau relatif aux cookies puis s’est rendue, via un lien hypertexte présent sur la page d’accueil, sur la page web comportant l’interface de choix relative aux cookies. Elle a alors constaté l’enregistrement de cinquante cookies sur son navigateur. Puis elle a procédé au retrait de son consentement en cliquant sur le bouton " Tout refuser " de l’interface de choix et constaté l’effacement de douze cookies et le maintien de trente-huit cookies sur son terminal, en enregistrant l’ensemble des requêtes http dans un fichier " HAR ". La délégation a ensuite vérifié la présence dans un fichier " HAR " d’opérations de lecture des cookies après le retrait du consentement.
45. S’agissant des opérations de lecture après le retrait du consentement, la formation restreinte relève qu’il ressort du fichier " HAR " compilé par la délégation que, parmi les trente-huit cookies maintenus, continuent d’être lus dans le navigateur le cookie " CN_xid_refresh " qui permet le suivi global de la navigation de l’utilisateur et le cookie " _ga_9C8GH73ZS1 ", qui compte au nombre des cookies identifiés par la société Google comme faisant partie des cookies " Google Analytics ", lesquels apparaissent dans des requêtes http envoyées vers le domaine " vanityfair.fr ".
46. La formation restreinte note que ces cookies font partie des cookies internes dits " first party ", associés au domaine " vanityfair.fr ", chargés sur la page " vanityfair.fr ".
47. Dès lors, au vu de ce qui précède, la formation restreinte considère qu’en procédant à des opérations de lecture d’informations dans l’équipement terminal de communications électroniques de l’utilisateur après le retrait de son consentement, la société méconnait les dispositions de l’article 82 de la loi Informatique et Libertés.
48. S’agissant plus particulièrement du cookie " _ga_9C8GH73ZS1 ", la formation restreinte relève que si la société indique qu’aucune requête réseau ne pouvait être effectuée pour envoyer des données aux serveurs de Google, les scripts associés ayant été désactivés, il ressort de l’instruction que les données continuent d’être associées aux requêtes envoyées vers le domaine de la société, et donc lues par la société, sans qu’elle justifie d’aucune finalité exemptée à ce titre. La formation restreinte souligne que la société avait déjà été mise en demeure en 2021 de ne plus recourir aux cookies provenant du service " Google Analytics " sans le consentement de l’utilisateur.
49. S’agissant des modalités techniques permettant d’assurer l’effectivité du retrait du consentement, la formation restreinte relève que des solutions techniques existent et que la CNIL a pris soin de préciser, dans sa recommandation du 17 septembre 2020, que " pour que le retrait du consentement soit effectif, il peut être nécessaire de mettre en place des solutions spécifiques pour garantir l’absence de lecture ou d’écriture des traceurs précédemment utilisés ". Une solution peut consister à modifier la date d’expiration du cookie, ce qui a pour conséquence de ne plus permettre la lecture du cookie en cause une fois l’action réalisée. Même si le cookie ne sera supprimé qu’à la fermeture du navigateur, ce dernier empêche la lecture du cookie par les requêtes réseaux émises puisqu’il est considéré comme non valide.
50. Concernant les deux cookies " CN_xid_refresh " et " _ga_9C8GH73ZS1 " liés au domaine " vanityfair.fr " qui continuent d’être lus après le retrait du consentement, la formation restreinte considère que la société, qui maîtrise l’ensemble des opérations réalisées à partir des cookies liés au domaine " vanityfair.fr ", pouvait implémenter sans difficulté la mesure susvisée pour assurer l’effectivité du retrait du consentement de l’utilisateur.
51. Si la société indique avoir cessé de déposer le cookie " CN_xid_refresh " et avoir désactivé le cookie _ga_9C8GH73ZS1 pour que les données ne soient pas transmises à la société Google, il résulte de ce qui précède qu’en continuant à réaliser, sur le terminal de l’utilisateur, des opérations de lecture soumises au consentement de l’intéressé, malgré le retrait de ce consentement, la société a commis un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés.
III. Sur les mesures correctrices
52. Aux termes de l’article 20-IV de la loi n° 78-17 du 6 janvier 1978 modifiée, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]
53. 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".
54. L’article 83 du RGPD, tel que visé par l’article 20, paragraphe III, de la loi Informatique et Libertés, prévoit que : " Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
55. L’article 22, alinéa 2 de la loi Informatique et Libertés dispose que " la formation restreinte peut rendre publique les mesures qu’elle prend ".
A. Sur le prononcé d’une amende administrative et son montant
1. Sur le prononcé d’une amende administrative
56. En défense, la société fait valoir qu’elle reconnaît les manquements mais qu’elle a adopté des mesures tout au long de ses échanges avec la CNIL pour améliorer sa politique en matière de cookies en changeant notamment son gestionnaire de consentement et en assurant une formation à ses salariés en matière de RGPD et d’ePrivacy.
57. La formation restreinte rappelle que, pour évaluer l’opportunité de prononcer une amende, elle doit tenir compte des critères précisés à l’article 83 du RGPD tels que la nature, la gravité et la durée de la violation, la portée ou la finalité du traitement concerné, le nombre de personnes concernées, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le fait que la violation a été commise par négligence, le degré de coopération avec l’autorité de contrôle, les catégories de données concernées et le niveau de dommage subi par les personnes.
58. En outre, la formation restreinte rappelle que, si l’imposition d’une amende administrative est conditionnée à l’établissement d’une violation fautive de la part de l’organisme poursuivi, cette faute peut découler d’un comportement délibéré mais également d’une négligence, en application de l’alinéa b) de l’article 83, paragraphe 2 du RGPD (CJUE, Grande Chambre, 5 décembre 2023, Deutsche Wohnen SE e.a., C-807/21 ; CJUE, Grande Chambre, 5 décembre 2023, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos e.a., C-683/21).
59. En premier lieu, la formation restreinte considère qu’il y a lieu de faire application du critère prévu à l’alinéa a) relatif à la gravité du manquement compte tenu de la nature, de la portée ou de la finalité du traitement, ainsi que du nombre de personnes concernées affectées et du niveau de dommage qu’elles ont subi.
60. Elle relève des carences de la société en matière d’information, de recueil, et de prise en compte du refus et du retrait du consentement, qui ne permettaient raisonnablement pas à l’utilisateur de comprendre l’ampleur des opérations effectuées sur son terminal.
61. Ainsi, elle observe que la société a porté une atteinte grave au droit des utilisateurs de conserver la maitrise de leurs données, en traçant leur activité à leur insu via le dépôt sur leurs terminaux, sans leur consentement, de cookies ne relevant pas des exceptions mentionnées à l’article 82 de la loi Informatique et Libertés.
62. La formation restreinte considère ainsi que les pratiques de la société ont trompé le consentement des utilisateurs et sont constitutives d’une atteinte au respect de la vie privée d’un nombre important de personnes. En effet, la société a indiqué avoir reçu environ 7 430 000 visiteurs sur son site, dont plus de 6 millions en France entre les mois de juin et d’octobre 2023.
63. Au demeurant, la formation restreinte insiste sur la durée particulièrement longue des échanges de la société avec la CNIL, qui ont débuté en 2019, soit il y a plus de cinq ans. En effet, la CNIL a réalisé trois contrôles en ligne et une audition entre 2019 et 2021 ; une mise en demeure a été prononcée en 2021 puis close en 2022. Ces procédures passées auraient dû conduire la société à se mettre en conformité avec ses obligations. Si la société a pris des mesures concrètes de mise en conformité, il n’en reste pas moins que ces mesures ne sont intervenues qu’en réponse aux sollicitations de la CNIL.
64. En deuxième lieu, la formation restreinte considère qu’il convient de faire application du critère prévu à l’alinéa b) relatif à l’intentionnalité ou non des manquements commis.
65. La formation restreinte considère que la société, éditrice de magazines en ligne, a fait preuve de négligence en ne respectant pas ses obligations au titre de l’article 82 de la loi Informatique et Libertés, qu’elle ne pouvait ignorer et qui lui avaient été rappelées notamment lors de la mise en demeure du 13 septembre 2021. Elle considère que cette négligence présente un caractère aggravé dès lors que ces règles ont été explicitées à de nombreuses reprises par la CNIL, en accompagnant les acteurs en matière de cookies depuis la publication d’une recommandation en 2013 rappelant les principes qu’il convenait de respecter en matière d’utilisation de cookies, rappelé dans ses lignes directrices de 2019. La formation restreinte souligne avoir déjà sanctionné à de nombreuses reprises des organismes pour des manquements similaires, ce que la société ne pouvait ignorer (délibération n° SAN-2020-012 du 7 décembre 2020 validée par le Conseil d’État dans sa décision n° 44209 du 28 janvier 2022 ; délibération n° SAN-2020-013 du 7 décembre 2020 validée par le Conseil d’État dans sa décision n° 451423 du 27 juin 2022).
66. En troisième lieu, la formation restreinte considère qu’il convient de faire application du critère prévu à l’alinéa c) relatif aux mesures prises pour atténuer le dommage subi par les personnes concernées.
67. Il apparaît en effet que la société a indiqué avoir pris des mesures correctrices pour supprimer ou désactiver les cookies en cause, après chaque notification de procès-verbal.
68. Si cet élément doit être pris en considération, la formation restreinte relève néanmoins que cette mise en conformité n’est intervenue qu’après les opérations de contrôle et après échanges avec la délégation, et non de manière autonome et spontanée. De surcroît, compte tenu de la mise en demeure prononcée à l’encontre de la société en 2021, celle-ci aurait dû être particulièrement vigilante dans son application de la réglementation relative aux cookies.
69. En quatrième lieu, la formation restreinte considère qu’il convient de faire application du critère prévu à l’alinéa k) du paragraphe 2 de l’article 83 du RGPD relatif aux avantages financiers obtenus du fait du manquement.
70. En effet, la régie publicitaire et l’activité commerciale en vue de la vente d’espaces publicitaires apparaissent comme des activités centrales de la société, au même titre que son activité d’édition. Les cookies font partie de l’écosystème publicitaire sur le web et génèrent ainsi des revenus pour la société.
71. En conséquence, la formation restreinte estime, au vu de l’ensemble de ces éléments et au regard des critères fixés à l’article 83 du RGPD, qu’il y a lieu de prononcer une amende administrative au titre du manquement en cause.
2. Sur le montant de l’amende administrative
72. En défense, la société reconnaît les manquements constatés par la CNIL ces dernières années en matière de cookies. Elle sollicite néanmoins que les mesures qu’elle a prises tout au long des échanges avec la Commission soient appréciées et que sa bonne foi soit reconnue. Elle liste également les mesures entreprises pour améliorer sa politique en matière de cookies telles que le changement de son gestionnaire de consentement, le déploiement d’une politique globale de gestion des cookies auprès de ses employés, l’élaboration de recommandations pratiques sur l’utilisation des cookies à destination de ses équipes techniques et la formation obligatoire de ses salariés sur les exigences légales en matière de RGPD et d’ePrivacy.
73. La formation restreinte relève qu’en application des dispositions de l’article 20-IV-7° de la loi Informatique et Libertés, elle peut prononcer à l’encontre d’un responsable du traitement ayant commis les manquements constatés, une " amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ".
74. Elle rappelle qu’en vertu de l’article 83 du RGPD, les amendes administratives doivent être dissuasives et proportionnées.
75. En outre, la formation restreinte relève que dans le cadre de la prise en compte de l’activité de la société et de sa situation financière pour la détermination de l’amende, la société justifie d’un chiffre d’affaires net pour 2023 en France de 26 461 390 euros pour un résultat net de 855 227 euros. Pour 2022, le chiffre d’affaires net en France était de 47 555 947 euros pour un résultat net de 3 637 770 euros. Ces chiffres correspondent à l’activité de la société pour ses quatre titres de presse dont Vanity Fair.
76. Dès lors, au regard de la responsabilité de la société LES PUBLICATIONS CONDE NAST, de ses capacités financières et des critères pertinents de l’article 83 du RGPD évoqués ci-avant, la formation restreinte estime qu’une amende administrative d’un montant de 750 000 euros, au regard du manquement constitué à l’article 82 de la loi Informatique et Libertés, apparaît justifiée.
B. Sur la publicité de la sanction
77. En défense, la société soutient que la publicité de la sanction n’est pas justifiée.
78. La formation restreinte considère qu’une telle mesure se justifie compte tenu de la visibilité du site en cause, de la gravité, de la durée des manquements constitués et du nombre de personnes concernées, lesquelles doivent être informées.
79. Elle estime en outre que cette mesure apparaît proportionnée dès lors que la décision n’identifiera plus nommément la société à l’issue d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
- prononcer à l’encontre de la société LES PUBLICATIONS CONDE NAST, une amende administrative d’un montant de sept cent cinquante mille euros (750 000 €) pour manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
Le vice-président
Vincent LESCLOUS
Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.