7 octobre 2025, Paris. Le Conseil d’État met un terme au bras de fer opposant Yahoo à la CNIL en confirmant une sanction de 10 millions d’euros. Au-delà du montant, c’est la portée juridique qui retient l’attention des entreprises numériques opérant en France : les cookies publicitaires relèvent d’ePrivacy et donc de la compétence directe de la CNIL, indépendamment du mécanisme de guichet unique de la RGPD.

Décision du 7 octobre 2025 : le Conseil d'État tranche

La plus haute juridiction administrative a rejeté le recours formé par Yahoo EMEA Limited contre la délibération du 19 décembre 2023 de la CNIL. L’amende de 10 millions d’euros est intégralement confirmée. Surtout, la décision réaffirme un point de droit décisif pour la conformité publicitaire en ligne : la gestion des cookies et autres traceurs est régie par la directive ePrivacy de 2002, transposée via l’article 82 de la loi Informatique et Libertés.

Conséquence pratique immédiate : la CNIL peut instruire et sanctionner directement les manquements constatés sur le territoire français, même si l’entreprise a son siège européen en Irlande et relève par ailleurs du guichet unique pour des traitements encadrés par la RGPD.

Fondements validés : ePrivacy et article 82

Le Conseil d’État précise que les obligations de recueil et de retrait du consentement en matière de cookies relèvent d’ePrivacy. L’article 82 de la loi Informatique et Libertés encadre ces pratiques en France. En d’autres termes, l’architecture ePrivacy n’est pas subordonnée au guichet unique de la RGPD pour les cookies publicitaires.

Amende et responsabilité : la ligne rouge des cookies tiers

Le raisonnement est sans ambiguïté : Yahoo est responsable de l’ensemble des cookies déposés sur ses services, y compris ceux émis par des partenaires tiers. L’entreprise ne peut s’exonérer de sa propre obligation de conformité en s’abritant derrière son écosystème publicitaire. Le montant de 10 millions d’euros est jugé proportionné au regard de la durée des manquements, de leur ampleur et de l’audience concernée en France.

Ce que valide le Conseil d’État

Compétence : la CNIL peut sanctionner directement en matière de cookies sur le fondement d’ePrivacy et de l’article 82.

Responsabilité : l’éditeur du site est responsable des cookies déposés, y compris par des tiers.

Proportionnalité : le montant de 10 millions d’euros est confirmé au regard de l’ampleur des manquements.

Chronologie des manquements et constats sur les services de Yahoo

L’affaire trouve son origine entre 2019 et 2021, lorsque la CNIL est destinataire de plusieurs plaintes d’utilisateurs français. Les signalements convergent : dépôt de traceurs publicitaires sans consentement préalable clair et complexité anormale du retrait du consentement.

2019-2021 : plaintes d’usagers et contrôles ciblés

À la suite des plaintes, la CNIL diligente des contrôles sur yahoo.com et d’autres services affiliés. Les vérifications mettent en évidence des dépôts de cookies publicitaires intervenant dès la visite, sans action positive explicite de l’utilisateur. Par ailleurs, le retrait du consentement était rendu dissuasif par un message menaçant de restreindre l’accès à certains services, dont Yahoo Mail.

19 décembre 2023 : la CNIL sanctionne

La formation restreinte prononce une amende administrative de 10 millions d’euros à l’encontre de Yahoo EMEA Limited. Les manquements relevés portent sur la collecte du consentement et ses modalités de retrait. La délibération souligne l’absence de choix libre et éclairé ainsi que la persistance des pratiques sur une période longue.

L’article 82 transpose les règles ePrivacy en matière de stockage et d’accès aux informations sur l’équipement terminal. Il impose le consentement préalable pour les cookies non strictement nécessaires, une information claire et la possibilité de révoquer le consentement aussi facilement qu’il a été donné. Les traceurs nécessaires au service fourni à la demande de l’utilisateur ne sont pas soumis à consentement, mais restent soumis à information.

Yahoo EMEA Limited : stratégie de recours et arguments écartés

Devant le Conseil d’État, Yahoo structure sa défense autour de trois axes : compétence, base juridique applicable, responsabilité technique. Aucun de ces arguments n’a convaincu la juridiction.

Le guichet unique de la RGPD invoqué

Yahoo soutenait que la RGPD et son guichet unique imposaient le pilotage par l’autorité irlandaise, s’agissant d’une entreprise dont le siège européen est en Irlande. Le Conseil d’État écarte la thèse : les cookies publicitaires relèvent d’ePrivacy, qui organise une compétence d’intervention nationale. La CNIL peut donc agir sans passer par le mécanisme de coopération inter-autorités de la RGPD.

Responsabilité sur les cookies tiers : rejet d’une défausse

Autre ligne de défense : renvoyer la responsabilité aux partenaires publicitaires. La juridiction estime au contraire que l’éditeur demeure responsable du cadre de dépôt des cookies par des tiers opérant via ses pages ou ses SDK. Dès lors qu’il détermine les modalités d’activation ou la finalité publicitaire, sa responsabilité est engagée.

Proportionnalité de la sanction : une gravité retenue

Le Conseil d’État confirme la proportionnalité au regard des critères classiques : durée des manquements, nombre de personnes exposées et enjeux pour les droits et libertés. Le dossier mentionne près de 5 millions de visiteurs uniques en France sur 2019-2020, une volumétrie significative pour un traitement publicitaire.

La RGPD harmonise la protection des données à caractère personnel et prévoit un guichet unique pour les traitements transfrontaliers. La directive ePrivacy, elle, encadre les communications électroniques et les traceurs.

En France, la CNIL met en œuvre ePrivacy via l’article 82. Dans la pratique, cookies et consentement relèvent d’ePrivacy, tandis que les traitements ultérieurs de données personnelles opérés sur la base de ces cookies relèvent de la RGPD.

Portée juridique pour les entreprises : compétence nationale et vigilance accrue

La réaffirmation de la compétence nationale sur les cookies modifie les paramètres de risque. Le siège européen en Irlande n’offre pas de bouclier procédural dès lors que les pratiques relèvent d’ePrivacy. Les éditeurs opérant en France doivent s’attendre à des contrôles directs de la CNIL, sur la base de plaintes ou de constats propres.

CNIL : pouvoir de sanction en matière de cookies

En matière de cookies, l’autorité française applique le cadre ePrivacy et les recommandations afférentes. Elle peut prononcer des amendes administratives en cas de manquements à l’article 82. Le Conseil d’État valide l’usage de ces prérogatives pour sanctionner des dépôts sans consentement ou des interfaces de retrait dissuasives.

Risque financier et gouvernance de la conformité

Le risque ne se limite pas à l’amende. Des corrections techniques, un nettoyage du parc de tags et une refonte des parcours de consentement ont un coût d’implémentation et un impact sur la monétisation publicitaire. À cela s’ajoutent les risques réputationnels dans un contexte de judiciarisation des pratiques publicitaires.

Planchers et plafonds de sanction

En France, les manquements sur les cookies sont poursuivis sur le fondement d’ePrivacy via l’article 82 de la loi Informatique et Libertés. Les pouvoirs de sanction de la CNIL permettent d’atteindre des niveaux significatifs, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial selon les cas, en cohérence avec le droit applicable.

Sanctions récentes et climat de contrôle sur les cookies publicitaires

L’affaire Yahoo s’inscrit dans une dynamique de contrôle renforcé. La CNIL a multiplié les actions à l’encontre d’acteurs majeurs du numérique pour des dépôts de traceurs sans consentement conforme ou des interfaces trompeuses.

Un mouvement de fond documenté par les médias spécialisés

Des médias spécialisés ont rapporté des sanctions récentes visant des géants du numérique pour des infractions liées aux cookies. En septembre 2025, des montants importants ont ainsi été évoqués pour des acteurs internationaux au titre de manquements sur la gestion des traceurs publicitaires (source médias spécialisés). Ces informations, largement commentées, confirment l’attention portée à l’écosystème publicitaire en ligne et au respect du consentement.

Décisions et délibérations de 2025 : une doctrine appliquée

En 2025, plusieurs délibérations de la CNIL ont illustré la consolidation de sa doctrine en matière de recueil et retrait du consentement, ainsi que de transparence des partenaires. Ces textes s’ajoutent aux recommandations et mises à jour publiques intervenues depuis 2020, afin de sécuriser les pratiques de l’ensemble des éditeurs opérant sur le marché français.

Les directions juridiques et compliance retiennent trois enseignements : une compétence nationale assumée en matière de cookies, une exigence de consentement granulaire et réversible, et l’impossibilité de se décharger sur les partenaires pour justifier des dépôts illicites. Les éditeurs doivent porter une attention soutenue au paramétrage de leurs CMP et à l’audit de leur stack publicitaire.

Conséquences opérationnelles : CMP, design des parcours et gouvernance

La décision du Conseil d’État fait office de ligne directrice opérationnelle. Pour réduire l’exposition aux risques, les entreprises doivent agir simultanément sur les plans technique, juridique et UX. La conformité se joue désormais dans le détail des interfaces et dans le suivi continu des partenaires.

Bandeaux et parcours : corriger les effets dissuasifs

Les dark patterns et autres frictions dans le retrait du consentement sont explicitement visés. Les éditeurs ont intérêt à revoir :

  • La symétrie des choix sur le premier écran du bandeau, avec des options visibles Acceptation et Refus.
  • Le retrait du consentement, qui doit être aussi simple que l’accord initial, sans message intimidant.
  • L’information de premier niveau, concise et compréhensible, complétée d’un second niveau exhaustif.
  • Le paramétrage de la CMP, garantissant l’absence de dépôts avant consentement pour les finalités non nécessaires.

Gouvernance et pilotage : cartographie, preuves et contrôles

Au-delà de l’UX, l’éditeur doit démontrer sa maîtrise opérationnelle :

  • Cartographier les cookies et partenaires avec une tenue à jour et des processus documentés.
  • Tenir des journaux de consentement permettant de justifier le statut au moment des dépôts.
  • Encadrer contractuellement les tiers et leur imposer le respect des signaux de consentement.
  • Auditer régulièrement la chaîne publicitaire pour détecter les dépôts non autorisés.

Pour un site média, e-commerce ou SaaS :

  1. Vérifier l’absence de dépôts non nécessaires avant consentement.
  2. Assurer une symétrie Acceptation et Refus dès le premier niveau.
  3. Rendre le retrait du consentement accessible en un clic sur toutes les pages.
  4. Valider la conformité de la CMP et des intégrations partenaires.
  5. Activer des contrôles automatiques post-déploiement pour détecter les écarts.

Indicateurs de tendance

La CNIL a indiqué un relèvement du niveau de conformité des sites depuis 2020, mais les plaintes demeurent élevées. Le volume de saisines relatives à la protection des données reste significatif, ce qui alimente les contrôles et la production de recommandations.

Qui est Yahoo aujourd’hui : périmètre et exposition

Yahoo n’est plus le géant indépendant des années 2000. Depuis 2021, l’entreprise appartient à Apollo Global Management. La branche européenne est structurée autour de Yahoo EMEA Limited, entité basée en Irlande, au cœur de la stratégie publicitaire et des services destinés au marché européen, dont la France.

Propriété et activités en Europe

Sous l’actionnariat d’Apollo, Yahoo a maintenu des activités publicitaires et médias qui s’appuient sur des technologies d’adtech et des partenariats tiers. Cette configuration, très intégrée, renforce l’exigence de maîtrise opérationnelle des chaînes de dépôt de traceurs. La décision du Conseil d’État confirme que l’éditeur demeure responsable de bout en bout sur le territoire français, indépendamment de la localisation du siège européen.

Conséquences économiques et organisationnelles

Le paiement de l’amende, s’il reste inférieur aux records observés pour d’autres acteurs, ajoute une contrainte financière et incite à revoir les dispositifs de recueil du consentement. D’un point de vue organisationnel, l’entreprise doit adapter ses procédures internes, ses parcours utilisateurs et ses contrats partenaires pour se conformer aux exigences de l’article 82 sur le marché français.

Le raisonnement du Conseil d’État est de portée générale : toute plateforme ayant des utilisateurs en France et utilisant des traceurs publicitaires est exposée à un contrôle direct de la CNIL, sans passer par l’autorité du siège européen. Les équipes juridiques et produit des plateformes internationales doivent intégrer cette réalité dans leurs feuilles de route.

Ce que les directions financières et juridiques retiendront

La décision du 7 octobre 2025 fait jurisprudence sur deux plans. D’abord, elle clarifie l’articulation La RGPD ePrivacy en matière de cookies : ePrivacy prime pour le consentement et autorise un traitement national.

Ensuite, elle met en lumière des critères concrets de proportionnalité : durée des manquements, ampleur de l’audience, impact sur les droits. Pour les DAF et directions juridiques, l’enjeu est double : limiter le risque de sanction et préserver la monétisation publicitaire par une conformité robuste.

Pour Yahoo, le contentieux est clos et la priorité est au correctif. Pour le marché, le message est clair : la conformité RGPD ne suffit pas pour sécuriser la publicité en ligne. Les obligations spécifiques d’ePrivacy sur les traceurs s’imposent, avec un contrôle renforcé sur le territoire français.

La décision rappelle une évidence trop souvent négligée : la confiance publicitaire se construit d’abord dans le paramétrage fin des cookies et dans la transparence donnée aux utilisateurs.