Le 30 décembre 2025, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une amende de 3,5 millions d’euros à l’encontre d’une société ayant transmis illégalement les données de ses membres de programme de fidélité à un réseau social. Cette opération s’inscrit dans le cadre de ciblage publicitaire, mais a été réalisée sans le consentement valide des intéressés. Ce cas illustre les enjeux cruciaux de la protection des données personnelles dans un monde numérique en constante évolution.
Le contexte de la sanction
En janvier 2023, suite à des dispositifs de contrôle, la CNIL a découvert que la société concernée communiquait les adresses électroniques et/ou les numéros de téléphone de ses membres depuis février 2018. Ces informations étaient utilisées pour afficher des publicités ciblées sur un réseau social, visant à promouvoir les produits de la société. Ce constat a amené la formation restreinte de la CNIL à sanctionner l’entreprise pour plusieurs manquements aux obligations prévues par le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés.
Les manquements identifiés
Absence de base légale pour la transmission des données
Le premier manquement mis en lumière par la CNIL concerne l’obligation de disposer d’une base légale pour le traitement des données personnelles. En invoquant un consentement prétendument recueilli lors de l’adhésion au programme de fidélité, la société a omis de fournir des informations claires sur l’utilisation des données à des fins de publicité ciblée. Les éléments fournis aux membres étaient non seulement insuffisants, mais également compliqués à accéder, rendant ainsi impossible un consentement éclairé.
Information imprécise des personnes concernées
En outre, la CNIL a noté que l’information fournie sur le site web de l’entreprise était imprécise. Les objectifs des traitements de données n’étaient pas clairement liés aux bases légales correspondantes. En conséquence, les membres n’étaient pas en mesure de saisir la portée de leurs engagements en matière de protection des données.
Défaillances en matière de sécurité des données
La CNIL a également observé des lacunes significatives dans la sécurité des données stockées. Les règles relatives à la complexité des mots de passe n’étaient pas adéquates, et la méthode de stockage employée pour les mots de passe, nommée SHA-256, ne garantissait pas une sécurisation optimale. Ces manquements exposent les données personnelles à des risques accrus de piratage.
Omission d’analyse d’impact
Il a également été constaté que la société n’avait pas réalisé d’analyse d’impact sur la protection des données (AIPD), alors que le traitement impliquait un volume important de données personnelles et un croisement de celles-ci. Une telle négligence constitue une violation des obligations qui incombent aux entreprises en matière de protection des données.
Non-conformité avec les cookies et traceurs
Enfin, la CNIL a identifié des manquements relatifs à l’utilisation des cookies et traceurs sur le site de l’entreprise. Des cookies soumis à consentement étaient déposés automatiquement sur le terminal des utilisateurs, même avant qu’ils n’aient exprimé leur choix. Cette pratique enfreint les règles établies en matière de consentement et de transparence.
Une décision en coopération internationale
La sanction prononcée à l’encontre de cette société s’inscrit dans un cadre plus large, impliquant 16 homologues européens de la CNIL. Les données de citoyens résidant dans ces pays ont également été concernées par ce traitement illicite. La CNIL a jugé essentiel de rendre publique cette délibération pour sensibiliser le public au respect des normes de protection des données, en particulier dans le secteur de la publicité en ligne.
Les enjeux de la protection des données dans la publicité numérique
Ce cas met en évidence les défis rencontrés par les entreprises qui cherchent à combiner données personnelles et publicité ciblée tout en respectant les lois en vigueur. Les manquements observés soulèvent des questions fondamentales sur la transparence, la sécurité et le respect de la vie privée des utilisateurs. Pour approfondir ce sujet essentiel, il peut être pertinent d’explorer les implications de la protection des données ou de se pencher sur les défis que représentent les réseaux sociaux et les jeunes utilisateurs.
