Ressources
chevron blanc pointant vers la droite
Cookies 2025

Cookies et clarifications techniques de la CNIL : les sanctions Orange, Shein, Condé Nast et American Express

Découvrez comment la CNIL a durci ses contrôles techniques sur les cookies en 2024-2025. Analyse des sanctions Orange (50 M€), Shein (150 M€), Condé Nast/VanityFair.fr (750 k€) et American Express (1,5 M€) et des obligations qui en résultent pour les éditeurs de sites.

Publié par
Joanna Masson
.
13 Jan 2026

Introduction

Les sanctions prononcées contre Orange, Shein, Condé Nast/VanityFair.fr et American Express révèlent une évolution significative de la méthode de contrôle de la CNIL en matière de cookies.

Elles s’inscrivent dans un contrôle désormais nettement plus technique, traduisant quatre tendances majeures : un contrôle systématique des flux réseau, une vérification stricte de l’effectivité des choix utilisateurs, une responsabilisation accrue des éditeurs sur leur architecture technique, y compris lorsqu’ils s’appuient sur des standards de l’industrie, et une interprétation restrictive des exemptions.

Avant 2025 : le contrôle de la CNIL était principalement centré sur l'interface utilisateur et le consentement

 Entre 2020 et 2022, la CNIL vérifiait principalement les points suivants :

•          Le refus devait être aussi simple que l'acceptation.

•          L'information sur les finalités devait être claire.

•          Aucun cookie non essentiel ne devait être déposé avant le choix de l'utilisateur.

•          Les libellés et parcours de choix ne devaient pas induire l'utilisateur en erreur.

En bref : un contrôle centré sur le mécanisme de consentement, avec quelques vérifications techniques ponctuelles, mais sans analyse complète systématique de l’architecture technique sous-jacente.

 La CNIL s'assurait que les bandeaux cookies respectaient les grands principes : symétrie des boutons, clarté de l'information, absence de dark patterns. Les flux techniques sous-jacents — requêtes HTTP, lectures automatiques de cookies, propagation du retrait aux partenaires — n'étaient pas systématiquement analysées.

Cette approche a favorisé une conformité essentiellement déclarative, reposant sur l’UX plus que sur la réalité technique.

En 2025 : la CNIL vérifie systématiquement l'effectivité technique des choix de l'utilisateur

La CNIL vérifie désormais systématiquement l'effectivité technique des choix de l'utilisateur, en analysant finement les flux réseau.

Qu'est-ce qu'un fichier HAR et comment la CNIL l'utilise ?

Les fichiers HAR (HTTP Archive) permettent d'enregistrer toutes les interactions réseau d'une page web, révélant ainsi les cookies réellement déposés.

Concrètement, la CNIL analyse les fichiers HAR lors de ses contrôles pour vérifier en détail chaque requête HTTP, chaque cookie déposé ou lu, chaque appel à un domaine tiers.

Lecture automatique de cookies : une interprétation large de la CNIL

La CNIL adopte une interprétation large des opérations de lecture : la lecture d'un cookie sur le terminal de l'internaute peut intervenir automatiquement, dès qu'une requête est envoyée au serveur, indépendamment de toute action volontaire de l'éditeur du site. Même si l'éditeur n'exploite pas activement les données d'un cookie, le simple fait qu'il soit transmis automatiquement dans une requête HTTP constitue une « lecture » soumise au consentement.

La lecture même « passive » est sanctionnable : peu importe la désactivation des scripts, l'absence d'exploitation effective des données ou l'existence de mécanismes de purge sur les navigateurs.

Seule compte la réalité des flux visibles dans le fichier HAR, indépendamment de l'exploitation effective des données par l'éditeur. Si le cookie est présent dans les flux réseau, le manquement est caractérisé.

Cette approche repose sur un critère d’appréciation objectif de la conformité, tenant à l’observation des flux techniques et non aux intentions déclarées de l’éditeur.

Retrait du consentement : un contrôle strict des solutions techniques attendues

L'effectivité technique du retrait : une exigence stricte

Les sanctions 2024-2025 montrent que de nombreux sites continuaient à lire des cookies (y compris first-party) après un retrait du consentement par l’utilisateur, caractérisant un manquement à l'effectivité du retrait, indissociable de l’obligation même de recueillir un consentement valable.

La CNIL rappelle qu’après le retrait du consentement, toute lecture ou écriture de traceurs doit s’arrêter, y compris celles générées automatiquement.

Solutions techniques recommandées par la CNIL

À cet effet, la CNIL a identifié plusieurs solutions techniques :

  • Modifier la date d'expiration des cookies : renvoyer un en-tête « set-cookie » avec une date d'expiration passée pour invalider le cookie et empêcher sa lecture par les requêtes réseau ;
  • Supprimer les cookies via un script local : supprimer les cookies sans attribut « httpOnly » à l'aide d'un script exécuté localement via les API « cookies » des navigateurs ; ou
  • Bloquer les requêtes HTTP vers les domaines tiers.

 L'éditeur doit pouvoir démontrer qu'après le retrait du consentement, plus aucune lecture ni écriture de traceurs n'est déclenchée dans les flux techniques, y compris celles déclenchées automatiquement.

Les trois piliers de l'effectivité du retrait du consentement

Cette exigence d'effectivité technique du retrait est particulièrement exigeante car elle impose :

  • Une action technique immédiate : le retrait ne peut pas être simplement enregistré dans une base de données pour une prise en compte ultérieure. Il doit bloquer instantanément toute lecture/écriture.
  • Une coordination avec les partenaires tiers : l'éditeur doit s'assurer que les domaines tiers cessent également de lire leurs cookies après le retrait. Cela implique des mécanismes de propagation du signal de retrait (via TCF ou autres).
  • Une preuve technique : l'éditeur doit être en mesure de démontrer, fichiers HAR à l'appui, que le retrait est effectif. Les déclarations d'intention ne suffisent plus.

En pratique, le retrait du consentement doit être traité comme un mécanisme technique à effet immédiat, et non comme un simple changement de préférence enregistré côté interface.

Le TCF de l’IAB et conformité RGPD : pourquoi le standard ne suffit pas

La CNIL considère que le recours au TCF (Transparency & Consent Framework) de l'IAB, un standard publicitaire adopté par de nombreux éditeurs, ne dispense pas l'éditeur de la maîtrise technique et de la transparence sur les traceurs effectivement déposés.

L'affaire Condé Nast : un tournant pour le TCF

Dans la sanction prononcée à l'encontre de la société éditrice du site « vanityfair.fr », la CNIL considère que l'éditeur aurait dû, a minima, renvoyer l'utilisateur vers les règles de l'IAB pour expliquer les choix techniques mis en œuvre s'agissant des consentements requis ou des exemptions.

Cette clarification est essentielle car elle met fin à une croyance répandue : utiliser une CMP (Consent Management Platform) certifiée TCF ne garantit pas automatiquement la conformité vis-à-vis de la CNIL.

Les responsabilités de l'éditeur malgré le TCF

L'éditeur reste responsable de :

  • Vérifier que les cookies effectivement déposés correspondent aux choix utilisateurs : même si la CMP transmet correctement les signaux de consentement, certains partenaires peuvent ne pas les respecter.
  • Fournir une information claire et complète : le TCF impose des contraintes de présentation (notamment sur les « finalités » et « fonctionnalités »), mais l'éditeur doit s'assurer que l'utilisateur comprend réellement ce à quoi il consent. Si certaines « fonctionnalités » sont présentées comme « toujours actives » alors qu'elles nécessitent un consentement, l'information est trompeuse.
  • Renvoyer vers les règles IAB si nécessaire : lorsque le TCF impose des choix techniques complexes (par exemple, certaines finalités regroupées), l'éditeur doit expliquer ou     renvoyer vers la documentation IAB pour permettre un consentement éclairé.

Le recours à une CMP fondée sur le TCF n’exonère pas l’éditeur de sa responsabilité s’agissant de l’obligation d’informer de manière suffisante et intelligible l’utilisateur sur les règles techniques effectivement mises en œuvre.

Capping publicitaire et A/B testing : premières sanctions et interprétation stricte des exemptions

Capping publicitaire : une finalité publicitaire soumise au consentement

En 2025, la CNIL a sanctionné pour la première fois le dépôt de cookies de capping publicitaire et d'A/B testing sans le consentement de l'utilisateur, en s'appuyant sur ses lignes directrices, ses recommandations et sa FAQ de 2020.

De nombreux éditeurs considéraient que le capping améliorait l'expérience utilisateur (en évitant la répétition excessive de publicités) et pouvait donc bénéficier d'une exemption au titre du « confort de navigation ». La CNIL tranche : le capping reste une finalité publicitaire, donc soumis au consentement préalable, quel que soit le bénéfice perçu pour l'utilisateur.

A/B testing : des exemptions strictement encadrées

L'exemption pour la mesure d'audience est strictement encadrée et ne vaut que pour des analyses statistiques, sur une durée limitée (recommandation : 13 mois maximum), sans suivi inter-sites et pour le compte exclusif de l'éditeur. Un cookie d'A/B testing avec un identifiant persistant sur 10 ans, permettant un suivi individuel étendu, sort de ce cadre et nécessite un consentement.

Ces sanctions envoient un signal clair : les exemptions ne doivent pas être interprétées de manière extensive. Si la finalité ou la durée dépasse le cadre prévu, le consentement redevient obligatoire.

Conclusion: une conformité « cookies » désormais plus technique

À retenir: les contrôles « cookies » de la CNIL sont devenus plus techniques. La conformité n’est plus appréciée à partir de ce que l’utilisateur voit, mais à partir des flux techniques réels.

Les éditeurs de sites web doivent désormais adopter une approche technique rigoureuse, vérifier systématiquement leurs flux réseau et s'assurer que leurs solutions de gestion du consentement fonctionnent réellement, au-delà des apparences.

Checklist : 10 Points de contrôle pour la conformité cookies en 2026

  1. Analyse des flux HAR : vérifiez que vos fichiers HAR ne révèlent aucun cookie déposé avant consentement.
  2. Retrait immédiat : testez que le retrait du consentement bloque instantanément toute lecture/écriture de cookies.
  3.  Coordination avec les tiers : vérifiez que vos partenaires respectent les signaux de retrait.
  4. Information TCF : si vous utilisez le TCF, renvoyez vers les règles de l’IAB pour les choix complexes.
  5. Audit CMP : ne vous fiez pas uniquement à votre CMP, vérifiez la conformité technique réelle.
  6. Capping publicitaire : obtenez un consentement pour tous les cookies de capping.
  7. A/B testing : limitez la durée à 13 mois maximum et évitez le suivi inter-sites.
  8. Documentation technique : conservez des preuves de conformité (fichiers HAR, configurations).

Questions fréquentes sur les cookies et la CNIL

🔸Qu'est-ce qu'un fichier HAR et pourquoi la CNIL l'utilise-t-elle ?

La CNIL analyse les fichiers HAR (HTTP Archive)lors de ses contrôles en ligne pour vérifier en détail chaque requête HTTP, chaque cookie déposé ou lu, chaque appel à un domaine tiers.

Les fichiers HAR constituent la preuve technique de ce qui se passe réellement sur un site web, indépendamment de ce qui est affiché à l'utilisateur.

🔸Le TCF de l'IAB garantit-il la conformité RGPD ?

Non. Cette clarification met fin à une croyance répandue : utiliser une CMP certifiée TCF ne garantit pas automatiquement la conformité vis-à-vis de la CNIL. En particulier, le recours à une CMP fondée sur le TCF n'exonère pas l'éditeur de sa responsabilité s'agissant de l'obligation d'informer de manière suffisante et intelligible l'utilisateur sur les règles techniques effectivement mises en œuvre.

🔸Les cookies de capping publicitaire nécessitent-ils un consentement ?

Oui. Le capping reste une finalité publicitaire ; il est donc soumis au consentement préalable, quel que soit le bénéfice perçu pour l'utilisateur.

🔸Comment prouver l'effectivité du retrait du consentement ?

L'éditeur doit pouvoir démontrer qu'après le retrait du consentement, plus aucune lecture ni écriture de traceurs n'est déclenchée dans les flux techniques, y compris celles déclenchées automatiquement.

L'éditeur doit être en mesure de démontrer, fichiers HAR à l'appui, que le retrait est effectif.

🔸Quelle est la durée maximale pour un cookie d'A/B testing sans consentement?

L'exemption pour la mesure d'audience est strictement encadrée et ne vaut que pour des analyses statistiques, sur une durée limitée (recommandation : 13 mois maximum), sans suivi inter-sites et pour le compte exclusif de l'éditeur.

Quand la conformité devient stratégique, l’expérience du régulateur devient déterminante

Odoné met à profit plus de 20 ans d’expérience pour offrir aux organisations les plus exigeantes un accompagnement d’excellence, conjuguant rigueur, pragmatisme et accessibilité.

Prendre RDV
flèche noire pointant vers la droiteflèche noire pointant vers la droite
Vous avez aimé cet article ?

Partagez-le avec vos collègues ou amis :
Logo bleu FacebookLogo bleu LinkedinLogo bleu X