Conseil d’État, 7 octobre 2025, n° 494300
Le Conseil d’État a rejeté le recours formé par Yahoo EMEA contre la sanction prononcée par la CNIL le 29 décembre 2023 : l’amende de 10 millions d’euros est définitivement confirmée. Une décision structurante, tant sur la compétence de la CNIL que sur les exigences de consentement libre et effectif en matière de cookies.
🟠 Que reprochait la CNIL à Yahoo ?
La sanction reposait sur plusieurs manquements aux règles encadrant les traceurs publicitaires. Des cookies étaient déposés ou lus sans recueil préalable du consentement des utilisateurs. Par ailleurs, les modalités de retrait du consentement étaient jugées dissuasisves, des messages laissant entendre qu’un refus ou un retrait des cookies pouvait entraîner une perte d’accès à certains services, notamment la messagerie.
🟠 Guichet unique RGPD : compétence nationale confirmée
Yahoo soutenait que la CNIL n’était pas compétente, en invoquant le mécanisme du guichet unique prévu par le RGPD. Le Conseil d’État rejette cet argument : la réglementation applicable aux cookies relève du cadre ePrivacy, dont le contrôle appartient aux autorités nationales.
La CNIL était donc pleinement compétente pour agir, indépendamment de l’établissement principal de Yahoo dans un autre État membre. La juridiction confirme également la compétence territoriale de la CNIL à l’égard de Yahoo EMEA, compte tenu de la présence de Yahoo France impliquée dans la promotion des services publicitaires.
🟠 Responsabilité du responsable de traitement et cookies tiers
Le Conseil d’État rappelle que Yahoo ne pouvait se défausser sur ses partenaires publicitaires. Les cookies litigieux pouvaient provenir à la fois de Yahoo et d’acteurs tiers, mais il appartenait à Yahoo, en tant que responsable de traitement, de s’assurer que les partenaires respectaient la réglementation et de prendre toute mesure utile pour faire cesser les manquements.
🟠 Retrait du consentement : l’effet dissuasif est déterminant
La juridiction administrative rappelle que si le « cookie wall » n’est pas illégal en soi, il ne peut être admis que si le consentement reste libre, ce qui implique la possibilité de le retirer librement.
Elle valide l’analyse de la CNIL selon laquelle les messages avertissant d’une possible perte d’accès aux services avaient un effet fortement dissuasif, peu importe que Yahoo invoque une erreur technique ou affirme que l’accès restait possible en pratique.
🟠 Procédure et droits de la défense
Yahoo invoquait également des griefs procéduraux, tenant notamment à la durée de la procédure et à l’accès à certains éléments techniques. Le Conseil d’État écarte ces moyens et considère que la procédure s’est déroulée dans un délai raisonnable, sans atteinte aux droits de la défense.
🟠 Une amende jugée proportionnée
Enfin, le Conseil d’État estime que le montant de la sanction ne présente aucun caractère disproportionné, compte tenu :
- de la gravité des manquements,
- de leur durée,
- du nombre très important d’utilisateurs concernés,
- et ce, malgré les démarches de mise en conformité partielle engagées par Yahoo.
🟠 Conclusion
Cette décision confirme une ligne jurisprudentielle claire :
- les règles relatives aux cookies relèvent de la compétence nationale des autorités ePrivacy,
- le retrait du consentement doit être aussi simple et libre que son octroi,
- et les responsables de traitement doivent maîtriser l’ensemble de leur écosystème publicitaire, y compris les partenaires tiers.
Un rappel sévère, mais structurant, pour l’ensemble des acteurs de la publicité en ligne.