Commission Nationale de l’Informatique et des Libertés (CNIL), déci­sion SAN-2025–010 du 20 novembre 2025

I. En fait

La société LES PUBLICATIONS CONDE NAST édite plusieurs titres de presse, dont le site vani​ty​fair​.fr, qui béné­fi­cie d’une audience impor­tante en France.

En dépit d’échanges anté­rieurs avec la Commission Nationale de l’Informatique et des Libertés fran­çaise (CNIL) rela­tifs à sa poli­tique de cookies, compre­nant notam­ment une mise en demeure pronon­cée en 2021, une nouvelle plainte dépo­sée par l’association NOYB (fondée par Maximilian Schrems) conduit la CNIL à procé­der à plusieurs contrôles en ligne sur le site vani​ty​fair​.fr entre juillet 2023 et février 2025.

Ces contrôles révèlent divers dysfonc­tion­ne­ments affec­tant la gestion du consen­te­ment des utili­sa­teurs en matière de cookies. Une procé­dure est enga­gée, à l’issue de laquelle la CNIL inflige à la société une amende admi­nis­tra­tive de EUR 750’000, assor­tie de la publi­cité de la décision.

Cette déci­sion repose sur les consi­dé­ra­tions décrites ci-après.

II. En droit

L’affaire est exami­née à l’aune de l’art. 82 de la Loi n^o 78–17 du 6 janvier 1978 rela­tive à l’informatique, aux fichiers et aux liber­tés (la « LIL-FR »), qui trans­pose en droit fran­çais l’art. 5 § 3 de la Directive ePrivacy de l’Union euro­péenne. En effet, l’art. 82 § 1 LIL-FR, qui n’est toute­fois pas appli­cable si les cookies servent unique­ment à faci­li­ter la commu­ni­ca­tion par voie élec­tro­nique ou s’ils sont néces­saires à la four­ni­ture d’un service de commu­ni­ca­tion demandé expres­sé­ment par l’utilisateur (art. 82 §3 LIL-FR), a la teneur suivante :

« Tout abonné ou utili­sa­teur d’un service de commu­ni­ca­tions élec­tro­niques doit être informé de manière claire et complète, sauf s’il l’a été au préa­lable, par le respon­sable du trai­te­ment ou son représentant :

1° De la fina­lité de toute action tendant à accé­der, par voie de trans­mis­sion élec­tro­nique, à des infor­ma­tions déjà stockées dans son équi­pe­ment termi­nal de commu­ni­ca­tions élec­tro­niques, ou à inscrire des infor­ma­tions dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer. »

Quant à l’art. 82 §2 LIL-FR, il subor­donne l’accès aux infor­ma­tions ou leur inscrip­tion au consen­te­ment des utilisateurs.

Cette dispo­si­tion encadre donc le stockage ou l’accès à des infor­ma­tions sur l’équipement termi­nal d’un utili­sa­teur à une infor­ma­tion claire et complète ainsi qu’à la possi­bi­lité pour celui-ci de s’y oppo­ser, sous réserve des opéra­tions stric­te­ment néces­saires à la trans­mis­sion d’une commu­ni­ca­tion ou à la four­ni­ture d’un service expres­sé­ment demandé.

La CNIL rappelle que ces exigences ne sauraient être satis­faites par des méca­nismes pure­ment formels, mais doivent au contraire s’apprécier à la lumière de leur mise en œuvre concrète.

III. Les manque­ments retenus

A. Dépôt de cookies avant consentement

La CNIL constate d’abord le dépôt de cookies non exemp­tés – notam­ment le cookie NID, un cookie publi­ci­taire déposé par Google à des fins de person­na­li­sa­tion des annonces et de mesure de perfor­mance – dès l’arrivée de l’utilisateur sur le site, cela avant toute inter­ac­tion avec le bandeau de consen­te­ment. La société recon­naît les faits et invoque une erreur tech­nique corri­gée ulté­rieu­re­ment. La CNIL consi­dère toute­fois que la correc­tion posté­rieure est sans inci­dence sur la carac­té­ri­sa­tion du manque­ment, puisque le consen­te­ment doit précé­der tout dépôt.

B. Information insuf­fi­sante des utilisateurs

La CNIL reproche ensuite à la société d’avoir présenté comme « toujours actives » certaines fonc­tion­na­li­tés prévues par le Transparency and Consent Framework (TCF) de l’IAB Europe, notam­ment celles liées au recou­pe­ment de données ou au suivi de l’utilisateur sur plusieurs termi­naux, en les assi­mi­lant à des cookies stric­te­ment nécessaires.

En effet, si l’adhésion à ce stan­dard secto­riel est large­ment répan­due dans l’écosystème publi­ci­taire, elle ne dispense pas l’éditeur d’informer clai­re­ment les utili­sa­teurs sur la nature et la portée des trai­te­ments mis en œuvre. À défaut, l’utilisateur est conduit à croire que ces trai­te­ments sont indis­pen­sables au fonc­tion­ne­ment du site, alors qu’ils ne le sont pas.

C. Ineffectivité du refus du consentement

Le troi­sième manque­ment concerne l’ineffectivité du refus du consen­te­ment au dépôt de cookies. Malgré le choix de l’option « tout refu­ser » par l’utilisateur, des cookies soumis au consen­te­ment, notam­ment des cookies publi­ci­taires et d’analyse de contenu vidéo, conti­nuent d’être dépo­sés lors de la navigation.

La CNIL souligne qu’un méca­nisme de refus doit permettre à l’utilisateur de s’opposer réel­le­ment au trai­te­ment de ses données. À défaut, il porte atteinte à la maîtrise de celles-ci et trompe légi­ti­me­ment l’attente de l’utilisateur, condui­sant à un trai­te­ment illi­cite des données personnelles.

D. Ineffectivité du retrait du consentement

Enfin, la CNIL se penche sur le fait que les opéra­tions de lecture de cookies déjà présents sur le termi­nal persistent malgré le retrait du consen­te­ment. Or, l’art. 82 LIL-FR ne vise pas unique­ment le dépôt de traceurs sur le termi­nal de l’utilisateur, mais égale­ment toute opéra­tion de lecture des infor­ma­tions qui y sont déjà stockées.

Elle rappelle que le retrait du consen­te­ment doit empê­cher non seule­ment la trans­mis­sion des données à des tiers, mais égale­ment leur lecture, y compris lorsque les cookies sont liés au domaine de l’éditeur (first party cookies). Des solu­tions tech­niques existent pour garan­tir cette effec­ti­vité, de sorte que l’argument tiré de la complexité tech­nique est écarté par la CNIL.

IV. Parallèle avec le droit suisse

A. Cadre légal applicable

La Suisse ne connaît pas de dispo­si­tion équi­va­lente à l’art. 82 LIL-FR, puisqu’elle n’a pas l’obligation de trans­po­ser la Directive ePrivacy. L’utilisation de cookies est toute­fois enca­drée par la LPD, à travers les prin­cipes géné­raux de licéité, de propor­tion­na­lité et de bonne foi (art. 6 LPD), l’obligation d’information (art. 19 LPD), ainsi que, le cas échéant, le recours au consen­te­ment (art. 31 LPD). D’autre part, l’art. 45c let. b de la Loi sur les télé­com­mu­ni­ca­tions (LTC) prévoit spéci­fi­que­ment que l’utilisateur doit être informé du trai­te­ment de données au moyen de télé­com­mu­ni­ca­tions ainsi que de sa fina­lité, et dispo­ser de la possi­bi­lité de s’y oppo­ser. Cette dispo­si­tion pour­suit un objec­tif compa­rable à celui de l’art. 5 § 3 de la Directive ePrivacy, tout en adop­tant une approche moins stricte.

Dans ce contexte, la docu­men­ta­tion du PFPDT revête une impor­tance parti­cu­lière. En effet, le PFPDT a publié le 22 janvier 2025 une version actua­li­sée de son Guide rela­tif aux trai­te­ments de données au moyen de cookies et de tech­no­lo­gies simi­laires (le « Guide »), qui ne modi­fie pas le cadre juri­dique exis­tant, mais apporte des clari­fi­ca­tions ciblées et des ajouts desti­nés à amélio­rer la compré­hen­si­bi­lité du texte et à répondre à des ques­tions pratiques fréquem­ment rencon­trées par les respon­sables de traitement.

Cette mise à jour insiste notam­ment sur la néces­sité d’une infor­ma­tion trans­pa­rente sur les fina­li­tés pour­sui­vies (cf. Guide, section 3.3.1 p. 8), sur la distinc­tion entre cookies stric­te­ment néces­saires et non néces­saires – dont l’utilisation ne peut pas être justi­fiée par les même motifs justi­fi­ca­tifs au sens de l’art. 31 al. 1 LPD – (cf. Guide, section 3.5.2 et 3.6 p. 10–12), ainsi que sur les moda­li­tés concrètes permet­tant aux utili­sa­teurs d’exercer leurs choix, en parti­cu­lier lorsqu’ils souhaitent reti­rer un consen­te­ment précé­dem­ment donné (cf. Guide, section 3.9 et 3.12.7 p. 15–21).

B. Une exigence commune : l’effectivité du choix de l’utilisateur

Bien que le droit suisse adopte une approche moins détaillée que celle décou­lant de l’art. 82 LIL-FRL, l’exigence déga­gée par la CNIL dans la déci­sion SAN-2025–010 trouve un équi­valent maté­riel clair en droit suisse. En effet, un méca­nisme qui permet formel­le­ment à l’utilisateur de refu­ser ou de reti­rer son consen­te­ment, tout en conti­nuant, en pratique, à lire des iden­ti­fiants stockés sur son termi­nal, est diffi­ci­le­ment conci­liable avec le prin­cipe de bonne foi, et vide l’obligation d’information ainsi que celle de respec­ter le retrait du consen­te­ment de leur substance.

Autrement dit, même en l’absence de pres­crip­tions tech­niques aussi précises que celles issues du droit ePrivacy, un refus ou un retrait de consen­te­ment dépourvu d’effets concrets ne saurait satis­faire aux exigences de la LPD et de la LTC. La confor­mité s’apprécie ainsi au regard du fonc­tion­ne­ment concret des trai­te­ments mis en œuvre, indé­pen­dam­ment de la manière dont ils sont présen­tés à l’utilisateur.

À cet égard, les clari­fi­ca­tions appor­tées par le PFPDT dans son Guide et l’approche rete­nue par la CNIL dans la déci­sion SAN-2025–010 appa­raissent large­ment conver­gentes. Dans les deux ordres juri­diques, l’enjeu central réside moins dans la multi­pli­ca­tion des options propo­sées à l’écran que dans la garan­tie que le refus ou le retrait du consen­te­ment entraîne effec­ti­ve­ment la cessa­tion des trai­te­ments concernés.

V. Évolutions européennes

Cette lecture du consen­te­ment s’inscrit par ailleurs dans un contexte euro­péen en pleine évolu­tion. La propo­si­tion de règle­ment dite “omni­bus numé­rique”, actuel­le­ment en discus­sion au sein de l’Union euro­péenne, vise notam­ment à simpli­fier et harmo­ni­ser le cadre appli­cable aux services numé­riques, y compris en matière de cookies et de tech­no­lo­gies similaires.

À ce stade, le projet ne prévoit pas formel­le­ment la dispa­ri­tion des cookies banners. Les discus­sions actuelles tendent plutôt à explo­rer des méca­nismes tech­niques alter­na­tifs à la multi­pli­ca­tion des bannières de consen­te­ment. Elles visent à favo­ri­ser des solu­tions plus stan­dar­di­sées, notam­ment la gestion des préfé­rences au niveau du navi­ga­teur ou du système d’exploitation, ainsi que la recon­nais­sance de signaux tech­niques auto­ma­ti­sés expri­mant les choix de l’utilisateur (cf. not. Anne-Catherine Berg, Digital Omnibus de l’UE : simpli­fier le droit numé­rique sans affai­blir la protec­tion des données ? Analyse des avis conjoints du CEPD et EDPS, in :  swiss​pri​vacy​.law/​396, Partie I ch. 4).

Si cette initia­tive pour­suit un objec­tif de réduc­tion du forma­lisme et de la fatigue du consen­te­ment, elle ne remet pas en cause l’exigence fonda­men­tale selon laquelle les choix expri­més par les utili­sa­teurs doivent être respec­tés en pratique. Les discus­sions actuelles tendent au contraire à dépla­cer l’accent : moins de contraintes pure­ment formelles mais une atten­tion accrue portée à l’effectivité réelle des méca­nismes mis en place.

VI. Conclusion

Par la déci­sion SAN-2025–010, la CNIL rappelle que le consen­te­ment en matière de cookies ne saurait être symbo­lique. Le refus et le retrait doivent produire des effets tech­niques réels, empê­chant tant le dépôt que la lecture des traceurs concernés.

Cette approche, fondée sur l’effectivité plutôt que sur la forme, dépasse le seul cadre du droit fran­çais, et le droit suisse n’y échappe pas.