De Franse gegevensbeschermingsautoriteit CNIL heeft een boete van €750.000 opgelegd aan Les Publications Conde Nast, het bedrijf dat verantwoordelijk is voor Vanity Fair, wegens het plaatsen van cookies op gebruikersapparaten zonder geldige toestemming. De autoriteit stelde vast dat de website niet-essentiële cookies gebruikte zodra gebruikers op de pagina arriveerden, zonder te wachten op interactie met de toestemmingsbanner. CNIL stelde dat deze praktijk in strijd is met de Franse gegevensbeschermingswet en de vereisten van de ePrivacy Directive, die beide een expliciete overeenkomst vereisen voordat niet-essentiële trackers op apparaten worden opgeslagen.
De zaak begon na een klacht die in 2019 werd ingediend, waardoor CNIL de cookiepraktijken van Vanity Fair onderzocht. De eerste beoordeling leidde in 2021 tot een formele waarschuwing. Het bedrijf verbond zich ertoe het toestemmingsmechanisme te corrigeren, maar de vervolgcontroles van CNIL toonden aan dat de noodzakelijke wijzigingen niet waren doorgevoerd. De website bleef advertentie- en trackingcookies plaatsen zonder toestemming te geven, en gebruikers die probeerden cookies te weigeren werden nog steeds gevolgd.
CNIL identificeerde tijdens het onderzoek verschillende overtredingen. Niet-essentiële cookies werden geplaatst zodra de homepage geladen was, en de toestemmingsbanner die verscheen voorkwam voorkwam dat de cookies niet werden opgeslagen. Sommige cookies die voor reclame werden gebruikt, werden als strikt noodzakelijk beschouwd, een aanduiding die alleen bedoeld is voor technische functies die essentieel zijn voor de werking van de website. Deze categorisatie stelde de cookies in staat om de toestemmingsvereiste te omzeilen. CNIL ontdekte ook dat gebruikers die op de weigeroptie klikten of probeerden toestemming in te trekken, niet konden voorkomen dat cookies werden geplaatst of onderhouden. De autoriteit zei dat het weigeringsmechanisme niet werkte en dat de website trackers bleef installeren, zelfs nadat gebruikers zich hadden afgemeld.
De toezichthouder beschouwde het herhaaldelijk niet naleven als een belangrijke factor bij het bepalen van de hoogte van de boete. CNIL verklaarde dat de uitgever al was opgedragen haar werkwijzen te wijzigen en de tijd had gekregen om het systeem bij te werken. Het voortdurende plaatsen van cookies zonder toestemming en het onjuiste labelen van advertentietrackers als essentieel werden beschouwd als ernstige datalekken die een groot aantal gebruikers troffen.
Volgens de Franse wet moeten websites duidelijke informatie geven over het doel van cookies, derden identificeren die toegang krijgen tot gegevens, en expliciete toestemming van de gebruiker verkrijgen voor alle niet-essentiële tracking. Toestemming moet een duidelijke positieve actie zijn, en gebruikers moeten een eenvoudige methode hebben om deze te weigeren of in te trekken. CNIL stelde vast dat Vanity Fair niet aan deze eisen voldeed en dat de aan gebruikers aangeboden mechanismen misleidend of ineffectief waren.
De beslissing versterkt de bredere handhavingsfocus van CNIL op toestemmingsbanners en de toepassing van cookies. De autoriteit heeft de afgelopen jaren verschillende straffen opgelegd aan grote online diensten voor soortgelijke overtredingen, wat aangeeft dat toestemmingspraktijken een prioriteit blijven. CNIL heeft gezegd dat het websites zal blijven monitoren die grote volumes gebruikersverkeer verwerken en actie zal ondernemen wanneer de toestemmingsregels niet worden nageleefd.
De uitgever kan in beroep gaan tegen de beslissing, maar de boete dient als een waarschuwing voor elke organisatie die in Frankrijk actief is en online tracking gebruikt voor advertenties of analyses. De zaak benadrukt ook het belang van duidelijke toestemmingsopties voor gebruikers die willen bepalen welke informatie op hun apparaten wordt opgeslagen. CNIL heeft gezegd dat cookiebanners accurate informatie moeten bieden en de keuzes van gebruikers moeten respecteren zonder kunstmatige obstakels op te leggen of een ontwerp te implementeren dat gebruikers naar acceptatie stuurt.