Cookies : la CNIL inflige 750 000 € d’amende à vanityfair.fr

Cookies : la CNIL inflige 750 000 € d’amende à vanityfair.fr
Article RGPD Sanctions CNIL

Le 20 novembre 2025, la CNIL a prononcé une amende de 750 000 € à l’encontre de Les Publications Condé Nast, éditeur notamment du magazine en ligne Vanity Fair, pour des manquements graves aux obligations de consentement et d’information liées aux traceurs déposés sur le site vanityfair.fr.


La société avait déjà fait l’objet d’une mise en demeure en septembre 2021, suite à une plainte de l’association NOYB en décembre 2019. Après une procédure initialement close en juillet 2022, de nouveaux contrôles en 2023 et en 2025 ont révélé que le site restait non conforme, ce qui a conduit naturellement la CNIL à agir.


Principales violations constatées

Dépôt de cookies sans consentement préalable

Dès lorsqu’un internaute arrivait sur vanityfair.fr, des cookies soumis à consentement étaient déposés avant toute interaction avec le bandeau cookies. Or selon les règles applicables, aucun cookie non essentiel ne peut être installé sans consentement explicite et préalable. Cette pratique contrevient directement à l’obligation de recueil libre, spécifique, éclairé et univoque.


Informations opaques ou trompeuses

Certains cookies étaient présentés comme « strictement nécessaires » et donc dispensés de consentement alors que leurs finalités réelles n’étaient pas décrites. L’utilisateur n’avait donc pas accès à une information claire et compréhensible sur la nature et l’usage des traceurs, en violation des principes de transparence.


Mécanismes de refus / retrait inefficaces

La CNIL a observé que, même après un clic sur « Tout refuser » ou après retrait du consentement, des cookies soumis à consentement continuaient d’être déposés ou lus. Le refus ou retrait d’accord devait pourtant interrompre immédiatement tout dépôt ou lecture.


Pourquoi 750 000 € d’amende ?

Le montant de l’amende reflète la gravité et la persistance des manquements :

  • la société avait déjà été mise en demeure un signal fort lui imposant de se mettre en conformité ;
  • le site concernait un large volume d’utilisateurs, accentuant l’impact des manquements ;
  • les manquements étaient multiples (consentement, information, refus/retrait), ce qui montre une défaillance systémique plutôt qu’un accident ponctuel.

Ce que cette décision rappelle aux éditeurs de site internet

  • Afficher un bandeau cookies ne suffit pas. Il faut s’assurer que aucun cookie non-essentiel ne soit déposé avant consentement explicite.
  • L’information sur les cookies doit être claire, complète, accessible et honnête  en évitant de qualifier abusivement des traceurs comme « strictement nécessaires ».
  • Les mécanismes de refus ou de retrait doivent être effectifs, immédiats et fiables : un simple bouton « refuser » ne suffit pas si le site continue d’installer ou de lire des cookies après opposition.
  • La conformité n’est pas un simple exercice ponctuel : elle doit être maintenue dans le temps, soumise à tests techniques réguliers, et adaptée chaque fois que les services ou l’usage des traceurs évoluent.


En ce sens, la sanction infligée à Condé Nast constitue un avertissement clair : la conformité aux règles de consentement, d’information et de retrait n’est pas facultative c’est une obligation concrète, contrôlée, et passible d’amende.


Pour aller plus loin : bonnes pratiques pour se conformer

Voici quelques pistes inspirées des principes mis en avant par Actecil pour garantir une gestion conforme des cookies :

  • Mettre en œuvre une CMP (Consent Management Platform) robuste, permettant un consentement volontaire, spécifique, éclairé, et un retrait aussi simple que l’acceptation.
  • Auditer techniquement l’installation et la lecture des cookies (avec des outils navigateur, vérification des scripts tiers, suivi des logs, test de refus/retrait, etc.).
  • Documenter les consentements et les choix utilisateurs en prévoyant un registre des traceurs, leur finalité, durée de vie, responsable de traitement, etc.
  • Prévoir des revues régulières (audit interne, tests utilisateurs) afin de garantir que la conformité perdure même après des modifications techniques ou éditoriales.
Retour aux actualités
Partager l'article

Articles similaires

CNIL : mises en demeure contre RED by SFR et OVH pour leurs bannières cookies
Article RGPD

CNIL : mises en demeure contre RED by SFR et OVH pour leurs bannières cookies

L’Association Pour Un RGPD Respecté (PURR) a obtenu plusieurs mises en demeure de la CNIL visant des acteurs majeurs du web pour des pratiques non conformes en matière de cookies.
Lire la suite
Omnibus numérique : les autorités européennes rejettent une remise en cause du RGPD
Article RGPD

Omnibus numérique : les autorités européennes rejettent une remise en cause du RGPD

Le 11 février 2026, le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (EDPS) ont publié un avis conjoint très critique sur le projet de réforme du RGPD et de la directive ePrivacy porté par la Commission européenne dans le cadre du « Digital Omnibus ».
Lire la suite