💡 Décision Conseil d’État (7 octobre 2025, n° 494300) – Yahoo EMEA / CNIL : points clés à retenir pour les acteurs de la conformité RGPD / cookies / e-privacy
1. Contexte et objet du recours
La société Yahoo EMEA Limited contestait l’amende administrative de 10 millions d’euros prononcée par la formation restreinte de la CNIL le 29 décembre 2023, pour des manquements liés aux cookies (lecture/écriture sans consentement préalable) et aux modalités de retrait du consentement.
Elle sollicitait l’annulation ou la réduction de cette sanction, ainsi que le renvoi à la CJUE d’une question préjudicielle sur l’articulation du RGPD, de la directive ePrivacy et du mécanisme de guichet unique.
2. Compétence de la CNIL confirmée – champ d’application national de la directive ePrivacy
Le Conseil d’État rappelle que la CNIL peut agir, même si les traitements ne sont pas strictement des traitements de données personnelles, et cela au titre de l’article 82 de la loi Informatique et Libertés transposant le paragraphe 3 de l’article 5 de la directive ePrivacy.
Il rejette l’argument selon lequel le mécanisme du guichet unique (article 56 RGPD) pourrait s’appliquer à la directive ePrivacy. En l’espèce, les mesures de mise en œuvre et de contrôle relevant de la directive ePrivacy relèvent de la compétence des autorités nationales et non du guichet unique.
Il confirme également la compétence territoriale de la CNIL à l’égard de Yahoo EMEA via son établissement en France (Yahoo France) chargé de promotion des produits publicitaires.
3. Manquements retenus : dépôt de cookies sans consentement et obstacle au retrait
Le Conseil d’État confirme que des cookies ont été déposés sans consentement préalable, en violation de l’article 82 de la loi de 1978 / directive ePrivacy.
Il retient aussi un manquement relatif aux modalités de retrait du consentement : l’utilisateur, pour retirer les cookies, se voyait présenter des avertissements indiquant que l’accès à certains services prendrait fin, ce qui crée un obstacle au retrait libre de son consentement (pratique aussi appelée « cookie wall »).
Enfin, le Conseil d’État confirme la position de la CNIL selon laquelle Yahoo n’avait pas exercé suffisamment de diligence auprès de ses partenaires tiers pour s’assurer du respect de leurs obligations de cookie.
4. Défense et recevabilité des moyens : délai de sanction, moyens de procédure
Yahoo soutenait que la durée de la procédure portait atteinte aux droits de la défense ou à la sécurité juridique. Le Conseil d’État juge que, entre la nomination du rapporteur et la décision, environ cinq mois se sont écoulés : c’est raisonnable, et aucune règle légale ne fixe un délai maximum.
Les demandes de communication des fichiers HAR (logs de requêtes) ou des plaintes reçues n’ont pas été jugées pertinentes pour établir les manquements sanctionnés.
5. Montant de l’amende et appréciation de la proportionnalité
La formation restreinte de la CNIL avait pris en compte plusieurs critères de l’article 83 du RGPD : nature et gravité des manquements, durée, coopération, mise en conformité partielle, public concerné.
Le Conseil d’État juge que la sanction n’est pas disproportionnée compte tenu de :
• la gravité des manquements => sans consentement préalable, obstacles au retrait.
• la durée des manquements => 4 mois pour le dépôt sans consentement, 9 mois pour le retrait.
• l’ampleur du public touché => millions d’utilisateurs du domaine yahoo.com.
• le fait que les manquements révèlent au moins une négligence et non d’une faute intentionnelle.
6. Conséquences pour les acteurs de la conformité
Cette décision a plusieurs enseignements de portée pour les responsables de traitements, notamment dans les usages de cookies, de traceurs et autres outils publicitaires :
On rappelle que la compétence nationale pour contrôler l’ePrivacy ne peut être simplement éludée par l’invocation du guichet unique RGPD.
Le consentement doit être libre, éclairé, spécifique, et le retrait doit être aussi facile que son dépôt, sans condition coercitive ou dissuasive.
Les responsables doivent veiller à ce que leurs partenaires tiers respectent eux aussi ces obligations (clauses contractuelles, audits).
Les critères de sanction s’alignent avec ceux du RGPD : gravité, durée, proportionnalité, coopération, mise en conformité.
Le respect du formalisme procédural (notification, rapport, garantie du contradictoire) est certes important mais la décision renforce l’idée que la durée de procédure ne suffit pas à vicier une sanction si elle reste raisonnable.
📌 En conclusion, cette décision renforce l’exigence de rigueur dans la gestion des cookies et du consentement, et réaffirme le rôle central des autorités nationales dans le cadre ePrivacy — même dans un contexte RGPD/guichet unique.
Pour aller plus loin: https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2025-10-07/494300
