L’autorité française de protection des données CNIL a infligé une amende de 750 000 € à Les Publications Conde Nast, la société responsable de Vanity Fair, pour avoir placé des cookies sur les appareils des utilisateurs sans consentement valable. L’autorité a constaté que le site web déployait des cookies non essentiels dès l’arrivée des utilisateurs sur la page, sans attendre d’interagir avec la bannière de consentement. La CNIL a déclaré que cette pratique violait la législation française sur la protection des données et les exigences de la directive ePrivacy, qui imposent toutes deux un accord explicite avant que les traceurs non essentiels ne soient stockés sur les appareils.
L’affaire a débuté après une plainte déposée en 2019, qui a poussé la CNIL à examiner les pratiques en matière de cookies de Vanity Fair. L’examen initial a conduit à un avertissement officiel émis en 2021. L’entreprise s’est engagée à corriger son mécanisme de consentement, mais les vérifications de suivi de la CNIL ont montré que les changements nécessaires n’avaient pas été mis en œuvre. Le site a continué à placer des cookies publicitaires et de suivi avant le consentement, et les utilisateurs qui tentaient de refuser les cookies restaient soumis au suivi.
La CNIL a identifié plusieurs infractions au cours de son enquête. Des cookies non essentiels ont été placés dès le chargement de la page d’accueil, et la bannière de consentement qui est apparue n’a pas empêché le stockage des cookies. Certains cookies utilisés pour la publicité étaient classés comme strictement nécessaires, une désignation réservée uniquement aux fonctions techniques essentielles au fonctionnement du site web. Cette catégorisation permettait aux cookies de contourner l’exigence de consentement. La CNIL a également constaté que les utilisateurs ayant cliqué sur l’option refus ou tenté de retirer leur consentement n’étaient pas en mesure d’empêcher la mise en place ou la maintenance des cookies. L’autorité a indiqué que le mécanisme de refus ne fonctionnait pas et que le site continuait d’installer des trackers même après que les utilisateurs se soient désinscrits.
Le régulateur a considéré que le non-respect répété était un facteur important pour déterminer la taille de l’amende. La CNIL a indiqué que l’éditeur avait déjà reçu l’ordre de modifier ses pratiques et avait eu le temps de mettre à jour son système. Le fait que les cookies soient déposés sans consentement et l’étiquetage incorrect des trackers publicitaires comme essentiels ont été considérés comme des violations graves affectant un grand nombre d’utilisateurs.
Selon la législation française, les sites web doivent fournir des informations claires sur l’objet des cookies, identifier les tiers ayant accès aux données et obtenir un consentement explicite des utilisateurs pour tout suivi non essentiel. Le consentement doit être une action positive claire, et les utilisateurs doivent disposer d’un moyen simple de le refuser ou de le retirer. La CNIL a constaté que Vanity Fair ne répondait pas à ces exigences et que les mécanismes fournis aux utilisateurs étaient trompeurs ou inefficaces.
Cette décision renforce l’accent plus large de la CNIL sur l’application des bannières de consentement et le déploiement des cookies. L’autorité a infligé plusieurs sanctions ces dernières années aux grands services en ligne pour des violations similaires, indiquant que les pratiques de consentement restent une priorité. La CNIL a déclaré qu’elle continuerait à surveiller les sites web qui gèrent de grands volumes de trafic utilisateur et qu’elle agirait lorsque les règles de consentement ne seront pas respectées.
L’éditeur peut faire appel de la décision, mais l’amende sert d’avertissement à toute organisation opérant en France qui utilise le suivi en ligne pour la publicité ou l’analyse. L’affaire souligne également l’importance d’options claires de consentement pour les utilisateurs qui s’attendent à contrôler les informations stockées sur leurs appareils. La CNIL a déclaré que les bannières de cookies doivent fournir des informations exactes et respecter les choix des utilisateurs sans imposer d’obstacles artificiels ni mettre en place un design orientant les utilisateurs vers l’acceptation.