La conformité « cosmétique » en matière de cookies ne suffit plus.
En cette fin d’année 2025, plusieurs décisions majeures – nationales et européennes – dessinent une trajectoire claire : les autorités ne se contentent plus d’examiner les bandeaux de consentement. Elles analysent désormais la réalité technique, la cohérence des mécanismes de refus et la loyauté des interfaces.
Trois affaires récentes l’illustrent avec une netteté particulière.
1️ La réalité technique prime sur l’affichage – Vanity Fair / Condé Nast
La CNIL a sanctionné l’éditeur de Vanity Fair à hauteur de 750 000 euros pour des manquements persistants aux règles relatives aux traceurs.
Les constats sont désormais classiques, mais sévèrement appréciés :
- dépôt de cookies à finalité publicitaire avant tout consentement ;
- qualification abusive de certains traceurs comme « strictement nécessaires » ;
- inefficacité concrète du bouton « Tout refuser ».
Le fondement juridique est clair : les règles issues de la directive ePrivacy, telles que transposées en droit français par la loi Informatique et Libertés, imposent un consentement préalable effectif. Un bandeau conforme en apparence ne suffit pas si, en pratique, les choix de l’utilisateur ne sont pas respectés.
2️ La responsabilité ne s’arrête pas aux partenaires – American Express
Avec une amende de 1,5 million d’euros, la CNIL rappelle que l’annonceur demeure responsable des traitements mis en œuvre pour son compte, y compris via des prestataires ou partenaires techniques.
Les manquements relevés recoupent ceux observés dans d’autres dossiers :
- dépôt de traceurs dès l’arrivée sur le site ;
- maintien des cookies malgré un refus explicite ;
- poursuite des lectures après retrait du consentement.
Au-delà des règles relatives aux cookies, l’autorité mobilise ici les exigences du RGPD en matière de consentement libre, spécifique, éclairé et univoque, ainsi que les principes de loyauté et de minimisation des données.
3️ Changement d’échelle et nouvelles bases juridiques – X / Commission européenne
La sanction de 120 millions d’euros infligée à la plateforme X marque un changement d’échelle.
Si le fondement juridique relève cette fois du Digital Services Act, la logique sous-jacente reste proche : transparence des pratiques, information loyale des utilisateurs et interdiction des interfaces trompeuses (« dark patterns »), notamment dans les mécanismes liés à la publicité et aux systèmes de recommandation.
Même si cette décision ne porte pas directement sur les cookies au sens strict, elle s’inscrit dans une dynamique commune : la régulation ne vise plus uniquement les textes juridiques affichés, mais l’architecture même des parcours utilisateurs.
🔎 Un socle juridique convergent
Ces décisions reposent sur des bases juridiques distinctes mais complémentaires :
- règles ePrivacy transposées en droit national pour les traceurs ;
- principes structurants du RGPD (licéité, loyauté, transparence, consentement) ;
- obligations renforcées du DSA pour les très grandes plateformes.
Le fil conducteur est désormais assumé par les autorités : ce qui est sanctionné, ce n’est pas seulement l’absence de consentement, mais toute dissociation entre l’interface proposée à l’utilisateur et la réalité du traitement opéré.
🎯 Les montants en jeu et la récurrence des contrôles montrent un basculement clair : la conformité cookies devient un sujet structurel de gouvernance, et non plus un simple exercice de mise en conformité ponctuelle.
Pour les entreprises, l’enjeu n’est plus seulement juridique ou technique. Il est organisationnel :
- audit réel des CMP et de leur comportement effectif ;
- alignement entre UX, marketing, IT et juridique ;
- documentation continue et vérifiable des choix opérés.
À mesure que les sanctions augmentent et que les bases juridiques convergent, une chose devient évidente : la conformité se juge désormais dans le code et dans l’expérience utilisateur, autant que dans les mentions légales.
Sources :
https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_2934
https://cnil.fr/fr/cookies-la-cnil-sanctionne-american-express-dune-amende-de-15-million-deuros
