Le 30 décembre 2025, la Commission nationale de l’informatique et des libertés (ci-après « la Cnil ») a infligé une sanction de 3,5 millions d’euros à une société ayant exploité les données de son programme de fidélité pour alimenter des campagnes de publicité ciblée sur un réseau social. La formation restreinte a retenu plusieurs manquements au règlement général sur la protection des données (ci-après le « RGPD ») ainsi qu’à la loi Informatique et Libertés. Au-delà du montant, la décision illustre une exigence accrue de rigueur dans l’utilisation des bases clients à des fins de marketing comportemental.
Un programme de fidélité transformé en outil de ciblage publicitaire
À l’issue de contrôles réalisés en 2023, la Cnil a établi que l’entreprise transmettait, depuis 2018, les adresses électroniques et numéros de téléphone des membres de son programme de fidélité à un réseau social. Cette transmission permettait à la plateforme d’identifier les clients au sein de ses propres bases afin de leur afficher des publicités personnalisées relatives aux produits commercialisés par l’enseigne. Il ne s’agissait donc pas d’un simple envoi de communications promotionnelles, mais d’un mécanisme de rapprochement de bases de données en vue d’un ciblage individualisé.
Le traitement portait sur un volume considérable de personnes, le programme de fidélité comptant plus de 10,5 millions d’adhérents en France. L’ampleur du dispositif et sa durée – plusieurs années – ont pesé dans l’appréciation de la gravité des manquements. La coopération de seize autorités européennes souligne par ailleurs la dimension transfrontalière du traitement, les données de résidents d’autres États membres étant également concernées.
La formation restreinte a choisi de publier sa décision sans mentionner l’identité de la société, considérant que la portée pédagogique de la sanction primait sur la désignation publique. Le message adressé au marché est clair : le recours aux outils publicitaires des réseaux sociaux à partir de données internes suppose un encadrement juridique précis et documenté.
Un défaut de base légale malgré l’invocation du consentement (article 6 RGPD)
Pour justifier le traitement, la société soutenait que les membres du programme avaient consenti à recevoir des offres commerciales lors de leur inscription. Selon elle, cette acceptation couvrait également l’utilisation de leurs données à des fins de ciblage sur un réseau social. La Cnil a rejeté cette interprétation en rappelant qu’un consentement valable doit être spécifique à chaque finalité distincte.
En l’espèce, aucune mention explicite de la transmission des données à un réseau social à des fins de publicité ciblée n’était portée à la connaissance des personnes au moment de leur adhésion. Les documents accessibles en ligne n’explicitaient pas davantage cette opération de rapprochement de données. Les personnes concernées ne pouvaient donc pas mesurer l’étendue réelle du traitement ni ses implications concrètes.
La formation restreinte en a déduit l’absence de base légale valable. Un consentement général à la prospection commerciale ne saurait être interprété comme une autorisation implicite d’intégrer les données dans un écosystème publicitaire tiers. La décision réaffirme ainsi une exigence constante : le consentement ne se présume pas, il se démontre, et il doit porter précisément sur le traitement effectivement mis en œuvre.
Une information lacunaire et insuffisamment intelligible (articles 12 et 13 RGPD)
L’instruction a mis en évidence des insuffisances notables dans l’information délivrée aux adhérents du programme de fidélité. Les finalités des traitements n’étaient pas présentées de manière claire et structurée, et le lien entre ces finalités et les bases légales invoquées demeurait ambigu. Une telle présentation ne permet pas aux personnes d’appréhender de façon cohérente l’usage de leurs données.
Certaines mentions obligatoires faisaient défaut, notamment s’agissant de la finalité de publicité ciblée via un réseau social et des durées de conservation applicables aux données collectées dans le cadre du programme. La présence de références juridiques obsolètes témoignait également d’un dispositif de conformité insuffisamment actualisé.
La Cnil rappelle que l’obligation d’information constitue un pilier du principe de transparence. Il ne suffit pas de multiplier les documents ou les renvois internes ; encore faut-il que l’information soit immédiatement accessible, compréhensible et adaptée aux traitements réellement opérés. En l’absence de transparence effective, le consentement invoqué ne peut être regardé comme éclairé.
Des mesures de sécurité inadaptées au volume de données traité (article 32 RGPD)
Les contrôles ont également révélé des faiblesses techniques concernant la protection des comptes utilisateurs. Les règles de création de mots de passe n’imposaient pas un niveau de complexité suffisant au regard de la sensibilité et du volume des données en cause. Pour une base regroupant plusieurs millions de clients, le niveau d’exigence doit être particulièrement élevé.
La méthode de hachage utilisée pour le stockage des mots de passe ne répondait pas aux standards attendus en matière de sécurité. L’absence de mécanismes complémentaires destinés à ralentir les tentatives d’attaque augmentait le risque d’exploitation frauduleuse en cas d’accès non autorisé aux bases de données.
L’article 32 du RGPD impose la mise en œuvre de mesures techniques et organisationnelles appropriées au regard des risques identifiés. La Cnil adopte ici une approche pragmatique : la robustesse des dispositifs d’authentification constitue un socle minimal de conformité, régulièrement contrôlé et fréquemment sanctionné.
Une analyse d’impact omise malgré un traitement à risque élevé (article 35 RGPD)
La société n’avait pas procédé à une analyse d’impact relative à la protection des données (AIPD) avant de déployer son dispositif de ciblage publicitaire. Or, le traitement combinait plusieurs facteurs de risque : traitement à grande échelle, croisement de données issues de sources distinctes et profilage à des fins commerciales.
Ces caractéristiques étaient de nature à engendrer un risque élevé pour les droits et libertés des personnes concernées, notamment en matière de traçabilité des comportements et d’influence publicitaire individualisée. Dans un tel contexte, la réalisation préalable d’une AIPD constitue une obligation et non une simple faculté.
L’absence de cette démarche révèle un défaut d’anticipation des risques et une insuffisante intégration du principe d’accountability. La Cnil rappelle que la conformité doit être pensée en amont, dès la conception du traitement, et non régularisée a posteriori à l’occasion d’un contrôle.
Des cookies déposés en méconnaissance des règles applicables (article 82 de la loi Informatique et Libertés)
L’autorité a constaté que plusieurs cookies soumis à consentement étaient déposés sur le terminal des utilisateurs dès leur arrivée sur le site, avant toute action positive de leur part. Une telle pratique méconnaît l’exigence d’un consentement préalable pour les traceurs non strictement nécessaires au fonctionnement du service.
Plus grave encore, le refus exprimé par l’utilisateur via l’interface dédiée ne produisait pas d’effet complet, certains cookies demeurant actifs et continuant à être lus. Le mécanisme de gestion des préférences ne garantissait donc pas une prise en compte effective du choix formulé.
La Cnil confirme à travers cette décision une position désormais constante : l’acceptation et le refus doivent être présentés de manière équilibrée et produire des effets immédiats. Les dispositifs techniques doivent refléter fidèlement la volonté exprimée par l’utilisateur.
Une sanction cohérente avec la stratégie répressive récente de la Cnil
Cette décision s’inscrit dans la continuité de sanctions récentes portant sur des manquements analogues : insuffisance des mesures de sécurité, défaut de base légale pour des opérations de prospection ou de profilage, et non-respect des règles applicables aux cookies. Les affaires relatives à la sécurisation des mots de passe ou aux mécanismes de traceurs illustrent la constance de cette ligne.
La Cnil concentre son action sur des traitements à fort impact économique et impliquant un nombre significatif de personnes. Les principes de licéité, de transparence, de minimisation et de sécurité constituent le socle de son contrôle. Lorsque ces principes sont méconnus de manière systémique, la réponse répressive est proportionnée à l’ampleur du manquement. Au-delà de la sanction financière, la décision rappelle que l’exploitation des données issues des programmes de fidélité ne peut s’inscrire dans une logique purement commerciale.
Toute stratégie de marketing data-driven suppose une documentation rigoureuse des finalités, une base légale démontrable et une gouvernance interne structurée. À défaut, le risque juridique devient rapidement un risque financier et réputationnel majeur.
LOCK-T
Avec la participation de MAPANGOU NUNEZ Karly, stagiaire