Le 30 d\u00e9cembre 2025, la Commission nationale de l\u2019informatique et des libert\u00e9s (ci-apr\u00e8s \u00ab la Cnil \u00bb) a inflig\u00e9 une sanction de 3,5 millions d\u2019euros \u00e0 une soci\u00e9t\u00e9 ayant exploit\u00e9 les donn\u00e9es de son programme de fid\u00e9lit\u00e9 pour alimenter des campagnes de publicit\u00e9 cibl\u00e9e sur un r\u00e9seau social. La formation restreinte a retenu plusieurs manquements au r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (ci-apr\u00e8s le \u00ab\u00a0RGPD\u00a0\u00bb) ainsi qu\u2019\u00e0 la loi Informatique et Libert\u00e9s. Au-del\u00e0 du montant, la d\u00e9cision illustre une exigence accrue de rigueur dans l\u2019utilisation des bases clients \u00e0 des fins de marketing comportemental.<\/p>\n\n\n\n
\u00c0 l\u2019issue de contr\u00f4les r\u00e9alis\u00e9s en 2023, la Cnil<\/a> a \u00e9tabli que l\u2019entreprise transmettait, depuis 2018, les adresses \u00e9lectroniques et num\u00e9ros de t\u00e9l\u00e9phone des membres de son programme de fid\u00e9lit\u00e9 \u00e0 un r\u00e9seau social. Cette transmission permettait \u00e0 la plateforme d\u2019identifier les clients au sein de ses propres bases afin de leur afficher des publicit\u00e9s personnalis\u00e9es relatives aux produits commercialis\u00e9s par l\u2019enseigne. Il ne s\u2019agissait donc pas d\u2019un simple envoi de communications promotionnelles, mais d\u2019un m\u00e9canisme de rapprochement de bases de donn\u00e9es en vue d\u2019un ciblage individualis\u00e9.<\/p>\n\n\n\n Le traitement portait sur un volume consid\u00e9rable de personnes, le programme de fid\u00e9lit\u00e9 comptant plus de 10,5 millions d\u2019adh\u00e9rents en France. L\u2019ampleur du dispositif et sa dur\u00e9e \u2013 plusieurs ann\u00e9es \u2013 ont pes\u00e9 dans l\u2019appr\u00e9ciation de la gravit\u00e9 des manquements. La coop\u00e9ration de seize autorit\u00e9s europ\u00e9ennes souligne par ailleurs la dimension transfrontali\u00e8re du traitement, les donn\u00e9es de r\u00e9sidents d\u2019autres \u00c9tats membres \u00e9tant \u00e9galement concern\u00e9es. <\/p>\n\n\n\n La formation restreinte a choisi de publier sa d\u00e9cision sans mentionner l\u2019identit\u00e9 de la soci\u00e9t\u00e9, consid\u00e9rant que la port\u00e9e p\u00e9dagogique de la sanction primait sur la d\u00e9signation publique. Le message adress\u00e9 au march\u00e9 est clair : le recours aux outils publicitaires des r\u00e9seaux sociaux \u00e0 partir de donn\u00e9es internes suppose un encadrement juridique pr\u00e9cis et document\u00e9.<\/p>\n\n\n\n Pour justifier le traitement, la soci\u00e9t\u00e9 soutenait que les membres du programme avaient consenti \u00e0 recevoir des offres commerciales lors de leur inscription. Selon elle, cette acceptation couvrait \u00e9galement l\u2019utilisation de leurs donn\u00e9es \u00e0 des fins de ciblage sur un r\u00e9seau social. La Cnil a rejet\u00e9 cette interpr\u00e9tation en rappelant qu\u2019un consentement<\/a> valable doit \u00eatre sp\u00e9cifique \u00e0 chaque finalit\u00e9 distincte.<\/p>\n\n\n\n En l\u2019esp\u00e8ce, aucune mention explicite de la transmission des donn\u00e9es \u00e0 un r\u00e9seau social \u00e0 des fins de publicit\u00e9 cibl\u00e9e n\u2019\u00e9tait port\u00e9e \u00e0 la connaissance des personnes au moment de leur adh\u00e9sion. Les documents accessibles en ligne n\u2019explicitaient pas davantage cette op\u00e9ration de rapprochement de donn\u00e9es. Les personnes concern\u00e9es ne pouvaient donc pas mesurer l\u2019\u00e9tendue r\u00e9elle du traitement ni ses implications concr\u00e8tes. <\/p>\n\n\n\n La formation restreinte en a d\u00e9duit l\u2019absence de base l\u00e9gale valable. Un consentement g\u00e9n\u00e9ral \u00e0 la prospection commerciale ne saurait \u00eatre interpr\u00e9t\u00e9 comme une autorisation implicite d\u2019int\u00e9grer les donn\u00e9es dans un \u00e9cosyst\u00e8me publicitaire tiers. La d\u00e9cision r\u00e9affirme ainsi une exigence constante : le consentement ne se pr\u00e9sume pas, il se d\u00e9montre, et il doit porter pr\u00e9cis\u00e9ment sur le traitement effectivement mis en \u0153uvre.<\/p>\n\n\n\n L\u2019instruction a mis en \u00e9vidence des insuffisances notables dans l\u2019information d\u00e9livr\u00e9e aux adh\u00e9rents du programme de fid\u00e9lit\u00e9. Les finalit\u00e9s des traitements n\u2019\u00e9taient pas pr\u00e9sent\u00e9es de mani\u00e8re claire et structur\u00e9e, et le lien entre ces finalit\u00e9s et les bases l\u00e9gales invoqu\u00e9es demeurait ambigu. Une telle pr\u00e9sentation ne permet pas aux personnes d\u2019appr\u00e9hender de fa\u00e7on coh\u00e9rente l\u2019usage de leurs donn\u00e9es.<\/p>\n\n\n\n Certaines mentions obligatoires faisaient d\u00e9faut, notamment s\u2019agissant de la finalit\u00e9 de publicit\u00e9 cibl\u00e9e via un r\u00e9seau social et des dur\u00e9es de conservation applicables aux donn\u00e9es collect\u00e9es dans le cadre du programme. La pr\u00e9sence de r\u00e9f\u00e9rences juridiques obsol\u00e8tes t\u00e9moignait \u00e9galement d\u2019un dispositif de conformit\u00e9 insuffisamment actualis\u00e9. <\/p>\n\n\n\n La Cnil rappelle que l\u2019obligation d\u2019information constitue un pilier du principe de transparence. Il ne suffit pas de multiplier les documents ou les renvois internes ; encore faut-il que l\u2019information soit imm\u00e9diatement accessible, compr\u00e9hensible et adapt\u00e9e aux traitements r\u00e9ellement op\u00e9r\u00e9s. En l\u2019absence de transparence effective, le consentement invoqu\u00e9 ne peut \u00eatre regard\u00e9 comme \u00e9clair\u00e9.<\/p>\n\n\n\n Les contr\u00f4les ont \u00e9galement r\u00e9v\u00e9l\u00e9 des faiblesses techniques concernant la protection des comptes utilisateurs. Les r\u00e8gles de cr\u00e9ation de mots de passe n\u2019imposaient pas un niveau de complexit\u00e9 suffisant au regard de la sensibilit\u00e9 et du volume des donn\u00e9es en cause. Pour une base regroupant plusieurs millions de clients, le niveau d\u2019exigence doit \u00eatre particuli\u00e8rement \u00e9lev\u00e9.<\/p>\n\n\n\n La m\u00e9thode de hachage utilis\u00e9e pour le stockage des mots de passe ne r\u00e9pondait pas aux standards attendus en mati\u00e8re de s\u00e9curit\u00e9. L\u2019absence de m\u00e9canismes compl\u00e9mentaires destin\u00e9s \u00e0 ralentir les tentatives d\u2019attaque augmentait le risque d\u2019exploitation frauduleuse en cas d\u2019acc\u00e8s non autoris\u00e9 aux bases de donn\u00e9es.<\/p>\n\n\n\n L\u2019article 32 du RGPD<\/a> impose la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es au regard des risques identifi\u00e9s. La Cnil adopte ici une approche pragmatique : la robustesse des dispositifs d\u2019authentification constitue un socle minimal de conformit\u00e9, r\u00e9guli\u00e8rement contr\u00f4l\u00e9 et fr\u00e9quemment sanctionn\u00e9.<\/p>\n\n\n\n La soci\u00e9t\u00e9 n\u2019avait pas proc\u00e9d\u00e9 \u00e0 une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es (AIPD) avant de d\u00e9ployer son dispositif de ciblage publicitaire. Or, le traitement combinait plusieurs facteurs de risque : traitement \u00e0 grande \u00e9chelle, croisement de donn\u00e9es issues de sources distinctes et profilage \u00e0 des fins commerciales.<\/p>\n\n\n\n Ces caract\u00e9ristiques \u00e9taient de nature \u00e0 engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes concern\u00e9es, notamment en mati\u00e8re de tra\u00e7abilit\u00e9 des comportements et d\u2019influence publicitaire individualis\u00e9e. Dans un tel contexte, la r\u00e9alisation pr\u00e9alable d\u2019une AIPD constitue une obligation et non une simple facult\u00e9. <\/p>\n\n\n\n L\u2019absence de cette d\u00e9marche r\u00e9v\u00e8le un d\u00e9faut d\u2019anticipation des risques et une insuffisante int\u00e9gration du principe d\u2019accountability. La Cnil rappelle que la conformit\u00e9 doit \u00eatre pens\u00e9e en amont, d\u00e8s la conception du traitement, et non r\u00e9gularis\u00e9e a posteriori \u00e0 l\u2019occasion d\u2019un contr\u00f4le.<\/p>\n\n\n\n L\u2019autorit\u00e9 a constat\u00e9 que plusieurs cookies soumis \u00e0 consentement \u00e9taient d\u00e9pos\u00e9s sur le terminal des utilisateurs d\u00e8s leur arriv\u00e9e sur le site, avant toute action positive de leur part. Une telle pratique m\u00e9conna\u00eet l\u2019exigence d\u2019un consentement pr\u00e9alable pour les traceurs non strictement n\u00e9cessaires au fonctionnement du service.<\/p>\n\n\n\n Plus grave encore, le refus exprim\u00e9 par l\u2019utilisateur via l\u2019interface d\u00e9di\u00e9e ne produisait pas d\u2019effet complet, certains cookies demeurant actifs et continuant \u00e0 \u00eatre lus. Le m\u00e9canisme de gestion des pr\u00e9f\u00e9rences ne garantissait donc pas une prise en compte effective du choix formul\u00e9. <\/p>\n\n\n\n La Cnil confirme \u00e0 travers cette d\u00e9cision une position d\u00e9sormais constante : l\u2019acceptation et le refus doivent \u00eatre pr\u00e9sent\u00e9s de mani\u00e8re \u00e9quilibr\u00e9e et produire des effets imm\u00e9diats. Les dispositifs techniques doivent refl\u00e9ter fid\u00e8lement la volont\u00e9 exprim\u00e9e par l\u2019utilisateur.<\/p>\n\n\n\n Cette d\u00e9cision s\u2019inscrit dans la continuit\u00e9 de sanctions r\u00e9centes portant sur des manquements analogues : insuffisance des mesures de s\u00e9curit\u00e9<\/a>, d\u00e9faut de base l\u00e9gale pour des op\u00e9rations de prospection ou de profilage, et non-respect des r\u00e8gles applicables aux cookies<\/a>. Les affaires relatives \u00e0 la s\u00e9curisation des mots de passe ou aux m\u00e9canismes de traceurs illustrent la constance de cette ligne.<\/p>\n\n\n\n La Cnil concentre son action sur des traitements \u00e0 fort impact \u00e9conomique et impliquant un nombre significatif de personnes. Les principes de lic\u00e9it\u00e9, de transparence, de minimisation et de s\u00e9curit\u00e9 constituent le socle de son contr\u00f4le. Lorsque ces principes sont m\u00e9connus de mani\u00e8re syst\u00e9mique, la r\u00e9ponse r\u00e9pressive est proportionn\u00e9e \u00e0 l\u2019ampleur du manquement. Au-del\u00e0 de la sanction financi\u00e8re, la d\u00e9cision rappelle que l\u2019exploitation des donn\u00e9es issues des programmes de fid\u00e9lit\u00e9 ne peut s\u2019inscrire dans une logique purement commerciale. <\/p>\n\n\n\n Toute strat\u00e9gie de marketing data-driven suppose une documentation rigoureuse des finalit\u00e9s, une base l\u00e9gale d\u00e9montrable et une gouvernance interne structur\u00e9e. \u00c0 d\u00e9faut, le risque juridique devient rapidement un risque financier et r\u00e9putationnel majeur.<\/p>\n\n\n\n LOCK-T<\/p>\n\n\n\n Avec la participation de MAPANGOU NUNEZ Karly, stagiaire<\/p>\n","protected":false},"excerpt":{"rendered":" Le 30 d\u00e9cembre 2025, la Commission nationale de l\u2019informatique et des libert\u00e9s (ci-apr\u00e8s \u00ab la Cnil \u00bb) a inflig\u00e9 une sanction de 3,5 millions d\u2019euros \u00e0 une soci\u00e9t\u00e9 ayant exploit\u00e9 les donn\u00e9es de son programme de fid\u00e9lit\u00e9 pour alimenter des campagnes de publicit\u00e9 cibl\u00e9e sur un r\u00e9seau social. La formation restreinte a retenu plusieurs manquements … Read more<\/a><\/p>\n","protected":false},"author":1,"featured_media":425,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33],"tags":[],"type_ressource":[19],"class_list":["post-423","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cnil","type_ressource-articles"],"_links":{"self":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts\/423","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/comments?post=423"}],"version-history":[{"count":1,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts\/423\/revisions"}],"predecessor-version":[{"id":424,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts\/423\/revisions\/424"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/media\/425"}],"wp:attachment":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/media?parent=423"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/categories?post=423"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/tags?post=423"},{"taxonomy":"type_ressource","embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/type_ressource?post=423"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Un d\u00e9faut de base l\u00e9gale malgr\u00e9 l\u2019invocation du consentement (article 6 RGPD)<\/h2>\n\n\n\n
Une information lacunaire et insuffisamment intelligible (articles 12 et 13 RGPD)<\/h2>\n\n\n\n
Des mesures de s\u00e9curit\u00e9 inadapt\u00e9es au volume de donn\u00e9es trait\u00e9 (article 32 RGPD)<\/h2>\n\n\n\n
Une analyse d\u2019impact omise malgr\u00e9 un traitement \u00e0 risque \u00e9lev\u00e9 (article 35 RGPD)<\/h2>\n\n\n\n
Des cookies d\u00e9pos\u00e9s en m\u00e9connaissance des r\u00e8gles applicables (article 82 de la loi Informatique et Libert\u00e9s)<\/h2>\n\n\n\n
Une sanction coh\u00e9rente avec la strat\u00e9gie r\u00e9pressive r\u00e9cente de la Cnil<\/h2>\n\n\n\n