Le 20 novembre 2025, la CNIL a infligé une sanction de 750 000 € au groupe Condé Nast, éditeur de Vanity Fair, Vogue, GQ, AD, Wired...

Cookies déposés sans consentement : la CNIL sanctionne la société éditrice du site « vanityfair.fr » d’une amende de 750 000 euros
Le contexte La société LES PUBLICATIONS CONDE NAST a pour activité l’édition de magazines, sur papier et en ligne, dont le magazine Vanity Fair.
Accueil

Cette décision, issue d’une plainte de l’association noyb déposée en 2019, envoie un message clair à tous les sites web : une bannière de cookies ne suffit pas, elle doit réellement fonctionner.

⚡️ Le Contexte : Une récidive qui coûte cher

Tout commence en 2019 avec la plainte de noyb, ayant abouti en une mise à demeure par la CNIL en septembre 2021, la procédure a été close en juillet 2022. 

Pourtant, lors de nouveaux contrôles effectués en 2023 et début 2025, les agents de la CNIL ont constaté que le site vanityfair.fr n'était toujours pas conforme. La CNIL a retenu la négligence aggravée, considérant que Condé Nast avait eu plusieurs années et avertissements pour corriger la situation.

🔎 Les 3 manquements techniques majeurs

Ce n'est pas l'absence de CMP (Consent Management Platform) qui est punie ici, mais son inefficacité technique. Voici les trois points critiques relevés par la délibération :

🔹Le dépôt de cookies "AVANT" consentement (Le "Zéro-Click")

Dès l'arrivée sur la page d'accueil, des cookies étaient déposés sur le terminal de l'internaute avant même qu'il n'ait cliqué sur "Accepter" ou "Refuser".

La règle : Tant que l'utilisateur n'a pas positivement consenti (opt-in), aucun traceur non essentiel ne doit être déclenché.

🔹Des "Cookies Nécessaires" qui ne l'étaient pas

L'éditeur avait classé certains traceurs (permettant de combiner des données hors ligne ou de relier différents terminaux) dans la catégorie "Strictement Nécessaires".

Problème : L’utilisateur ne pouvait pas les refuser, ce qui constitue une information trompeuse selon la CNIL.

🔹Un mécanisme de refus inefficace (L'effet Placebo)

Les tests ont révélé que cliquer sur "Tout Refuser" ou retirer son consentement a posteriori ne stoppait pas toujours le traçage. Lors du contrôle de février 2025, la CNIL a constaté que malgré un retrait de consentement, certains cookies continuaient de collecter et transmettre des données.

L'argument du "Bug Technique" balayé par la CNIL

Pour sa défense, Condé Nast a plaidé la bonne foi, expliquant que ces dépôts illégaux étaient dus à :

  • Une "erreur technique" de paramétrage.
  • Une mauvaise configuration lors d'une mise à jour.
  • Les contraintes imposées par le framework TCF de l'IAB.

La réponse du régulateur est sans appel :

"La circonstance que le dépôt du cookie (...) serait dû à une erreur technique (...) n’a aucune incidence sur la caractérisation du manquement."

En clair : C’est l’editeur du site qui est responsable du résultat. Que le manquement vienne d'un oubli, d'un bug ou d'un mauvais paramétrage ne vous exonère pas de l'amende. La CNIL a également rejeté l'argument du TCF, rappelant que l'adhésion à un standard ne dispense pas de fournir une information claire et loyale à l'utilisateur.

🛡 Comment éviter ce scénario avec Sirdata ?

Cette affaire montre que la gestion des cookies ne peut pas être improvisée.

La CMP ABconsent de Sirdata permet de sécuriser techniquement la collecte :

🔹Le Conditionnement Automatique (Auto-Blocking)

Les scripts partenaires ne se déclenchent qu’après consentement.

Résultat : Aucun tag ne peut "fuiter" avant le consentement. Si l'utilisateur n'a pas cliqué, le script ne charge pas.

🔹Conformité native aux standards (TCF v2.2 & Google Consent Mode)

Nous gérons la complexité des catégories (Strictement nécessaire vs Publicitaire) en amont.

Sécurité : Pas de risques de classer par erreur un cookie publicitaire en "nécessaire". Les finalités sont clairement définies selon les standards validés par l'IAB et Google.

🔹Gestion réelle de la preuve et du retrait

Chez Sirdata, le bouton "Refuser" coupe réellement les flux. De plus, notre module de révocation permet à l'utilisateur de changer d'avis à tout moment, avec une application immédiate sur les traceurs.

🧠 En résumé

L'amende de 750 000 € infligée à Condé Nast marque la fin de la tolérance pour les erreurs d'implémentation.

  • Le respect du RGPD n'est pas juste une bannière visuelle, c'est une réalité technique.
  • La "bonne foi" ne protège pas des sanctions.
  • La récidive et la négligence coûtent très cher.

Ne laissez pas une erreur de script mettre en péril votre rentabilité. Passez à une solution industrielle, auditable et sécurisée.

💬 Votre site est-il vraiment étanche ? Nos experts peuvent auditer votre situation et sécuriser votre collecte de données.

ABconsent - Consent Management Platform (CMP), gestion des consentements des internautes
Consent Management Platform, gestion des consentements des internautes, compatible IAB TCF 2.1. Gérez des consentements valides avec la preuve du consentement - Sirdata
SirdataSirdata