Le consentement, c’est important !
La CNIL vient de prononcer une sanction 750 000 euros à l’encontre de la société française Les publications Condé Nast, éditrice de Vanity Fair, Vogue, GQ et AD. En cause, « le non-respect des règles applicables en matière de traceurs (cookies) ». C’est la conclusion d’une très (très) longue procédure, en plusieurs rounds.
L’histoire débute en 2019 par une plainte publique de l’association noyb pour des cookies déposés par le site vanityfair.fr, édité par Les publications Condé Nast. Une mise en demeure est prononcée en septembre 2021 et la procédure est finalement fermée en juillet 2022.
Le consentement c’est important, comme la clarté de l’information
Deux fois en 2023, puis à nouveau en février 2025, la CNIL a effectué des contrôles supplémentaires et constaté que Condé Nast « avait manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés », en conséquence de quoi elle annonce avoir « prononcé à son encontre une amende de 750 000 euros ».
La CNIL reproche trois principaux griefs : « absence de recueil du consentement des utilisateurs avant dépôt des cookies », « absence de clarté de l’information mise à disposition des utilisateurs » et enfin des « mécanismes de refus et de retrait du consentement défaillants ».
La délibération a été publiée, permettant d’en apprendre davantage sur cette affaire. Tout d’abord, les publications Condé Nast ne conteste pas les observations de la CNIL, à savoir la nécessité de recueillir le consentement dans ce genre de cas ainsi que le dépôt du cookie. Néanmoins, l’entreprise explique « que cette action est due à une erreur technique et avoir procédé à des corrections pour supprimer ce cookie de son site le 12 janvier 2024 ».
Sur le manquement à l’information des personnes, la CNIL pointe du doigt trois cookies « toujours actifs » dont le but est de « mettre en correspondance et combiner des sources de données hors ligne », de « relier différents terminaux » et de « recevoir et utiliser des caractéristiques d’identification d’appareil envoyées automatiquement ».
Ils sont présentés comme des « cookies strictement nécessaires au fonctionnement du site web » ; il n’est donc pas possible de les supprimer. De son côté, « le rapporteur considère au contraire que ces cookies ne sont pas strictement nécessaires au fonctionnement du site web et que l’information délivrée aux personnes est erronée ».
Condé Nast agite le Transparency and Consent Framework (TCF) de l’Internet Advertising Bureau (IAB) pour justifier son choix. « La société considère qu’en étant liée par le TCF de l’IAB, elle n’a pas le pouvoir de définir les finalités des cookies de fonctionnalités », sous-titre la CNIL.
Argument balayé d’un revers de la main par la Commission : « à supposer que l’adhésion au TCF ait constitué une contrainte professionnelle pour la société, il n’en demeure pas moins que l’information transmise à l’utilisateur restait insuffisante dans la mesure où elle ne renvoyait pas vers les règles de l’IAB ».
Autre grief, sur l’« effectivité du refus par l’utilisateur du dépôt et de la lecture de cookies », puisque retirer son consentement doit être aussi simple que le donner. L’entreprise confirme de nouveau les dépôts malgré le refus, mais explique que c’est encore un problème de paramétrage : : « l’un des cookies a été déposé en raison d’un paramétrage incorrect et a été désactivé en deux semaines. Elle indique pour un deuxième cookie qu’il avait également été désactivé rapidement et n’aborde pas le cas du troisième cookie identifié par le rapporteur ». La CNIL prend acte, mais note tout de même que la société ne tient pas compte du choix de l’utilisateur et « trompe son consentement ».
Des cookies encore lus après retrait du consentement
Enfin dernier point constaté en février 2025 : « des opérations de lecture d’informations dans le terminal de l’utilisateur après que celui-ci a accepté dans un premier temps des opérations de lecture et d’écriture puis retiré son consentement en continuant sa navigation sur le site ».
La CNIL détaille le parcours réalisé par la délégation en charge de l’analyse :
« Elle a d’abord accepté les cookies via le bandeau relatif aux cookies puis s’est rendue, via un lien hypertexte présent sur la page d’accueil, sur la page web comportant l’interface de choix relative aux cookies. Elle a alors constaté l’enregistrement de cinquante cookies sur son navigateur. Puis elle a procédé au retrait de son consentement en cliquant sur le bouton » Tout refuser » de l’interface de choix et constaté l’effacement de douze cookies et le maintien de trente-huit cookies sur son terminal ».
Là encore, la société ne conteste pas, mais précise avoir appliqué des changements depuis le contrôle. Notamment, que le cookie _ga_9C8GH73ZS1 « a été désactivé par la société et qu’aucune donnée ne peut être ni collectée ni partagée avec la société Google », indique la Commission.
La CNIL prend note pour Google, mais précise qu’il « ressort de l’instruction que les données continuent d’être associées aux requêtes envoyées vers le domaine de la société, et donc lues par la société, sans qu’elle justifie d’aucune finalité exemptée à ce titre ».
La CNIL retient la gravité du manquement
Dans son délibéré, la formation restreinte de la CNIL retient « la gravité du manquement compte tenu de la nature, de la portée ou de la finalité du traitement, ainsi que du nombre de personnes concernées affectées et du niveau de dommage qu’elles ont subi ». Le site vanityfair.fr revendique, entre juin et octobre 2023, 7,43 millions de visiteurs, dont plus de 6 millions en France.
Autre point important à prendre en compte : la durée des échanges qui ont débuté en 2019, avec encore des manquements début 2025. La formation considère aussi qu’il y a eu négligence aggravée puisque la CNIL a expliqué les règles à l’éditeur à de nombreuses reprises. Si des mesures correctives ont été prises, la formation restreinte ajoute « que cette mise en conformité n’est intervenue qu’après les opérations de contrôle et après échanges avec la délégation, et non de manière autonome et spontanée ».
Enfin, l’avantage financier obtenu suite à ces manquements doit être pris en compte : « la régie publicitaire et l’activité commerciale en vue de la vente d’espaces publicitaires apparaissent comme des activités centrales de la société, au même titre que son activité d’édition. Les cookies font partie de l’écosystème publicitaire sur le web et génèrent ainsi des revenus pour la société ».
Le montant de l’amende tient aussi compte des capacités financières de l’entreprise. Le chiffre d’affaires net de Les publications Condé Nast pour 2023 en France est de 26,4 millions d’euros pour un résultat net de 0,9 million d’euros, contre respectivement 47,6 millions et 3,6 millions d‘euros en 2022.
Au final, le montant de l’amende administrative est de 750 000 euros.
Condé Nast affirme que « la publicité de la sanction n’est pas justifiée », elle ne souhaite ainsi pas que son nom apparaisse. La CNIL n’est pas du même avis : « une telle mesure se justifie compte tenu de la visibilité du site en cause, de la gravité, de la durée des manquements constitués et du nombre de personnes concernées, lesquelles doivent être informées ».
Comme toujours, cette décision peut faire l’objet d’un recours devant le Conseil d’État.
Connexion
