Le 30 décembre 2025, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende record de 3,5 millions d’euros à l’encontre d’une société qui a illégalement transmis les données personnelles des membres de son programme de fidélité à un réseau social, principalement pour des opérations de ciblage publicitaire. Cette décision fait suite à des contrôles effectués en janvier 2023, révélant plusieurs manquements aux obligations établies par le règlement général sur la protection des données (RGPD), tout en soulignant l’importance du consentement et de la transparence dans le traitement des données personnelles.
Les contrôles de la CNIL et les constatations de manquements
Lors de ses investigations, la CNIL a observé que la société concernée avait commencé à transmettre, depuis février 2018, les adresses électroniques et/ou les numéros de téléphone des adhérents de son programme à un réseau social. Ces informations étaient utilisées pour afficher des publicités ciblées, visant à promouvoir les produits de l’entreprise. Les manquements identifiés par la CNIL sont significatifs et portent essentiellement sur des principes fondamentaux de protection des données.
Analyse des manquements à la législation sur les données
Un des points cruciaux soulevés par la CNIL concerne le manque de consentement valide. En effet, la société a tenté de justifier ses actions en argumentant que le consentement des membres avait été obtenu lors de leur inscription au programme de fidélité. Toutefois, la CNIL a conclu que cet accord n’était pas valable. Les informations fournies dans le formulaire d’inscription ne mentionnaient pas la transmission de données à des fins publicitaires, ce qui nuit à la capacité des adhérents à donner un consentement éclairé.
Obligation d’information et transparence
Un autre manquement significatif noté par la CNIL réside dans l’obligation d’information à destination des personnes concernées. La commission a jugé que l’information présentée sur le site web de la société était non seulement imprécise, mais aussi incomplète. Il manquait des détails cruciaux liés à la finalité du traitement de données, comme la durée de conservation, rendant ainsi l’information insuffisante pour permettre aux utilisateurs de faire un choix éclairé.
La sécurité des données : une négligence à ne pas ignorer
La CNIL a également souligné des défaillances en matière de sécurité des données. Les exigences relatives à la complexité des mots de passe pour les comptes utilisateurs n’étaient pas respectées. Ainsi, les utilisateurs étaient exposés à un risque accru en matière de sécurité des informations personnelles. En outre, la méthode de hachage utilisée pour stocker les mots de passe n’offrait pas une protection adéquate.
Analyse d’impact et respect des cookies
Un aspect fondamental qui a également été négligé est l’absence d’une analyse d’impact sur la protection des données (AIPD) avant d’initier les pratiques de ciblage publicitaire sur le réseau social. Étant donné la volume de données personnelles traitées, la CNIL a souligné que cela aurait dû déclencher une telle analyse, car les risques pour les droits des utilisateurs étaient considérables.
Enfin, la question des cookies et traceurs a été mise en lumière. La CNIL a observé que onze cookies, soumis à consentement, étaient déposés sur le terminal des utilisateurs sans qu’ils aient exprimé un choix préalable. De surcroît, ces cookies restaient actifs même lorsque les utilisateurs refusaient leur utilisation, ce qui constitue une violation manifeste des règles encadrant l’utilisation des cookies.
Une décision collaborative au niveau européen
Il est important de noter que cette décision a été prise en coopération avec seize autres autorités de protection des données européennes. De ce fait, des données de personnes vivant dans ces pays étaient également concernées. Le montant de l’amende de 3,5 millions d’euros a été déterminé en tenant compte de la gravité des manquements, mais également du nombre élevé de personnes affectées, estimé à plus de 10,5 millions.
La CNIL a également choisi de rendre publique la délibération et d’alerter le public sur les règles à respecter en matière de publicité sur les réseaux sociaux, une pratique notoirement répandue parmi les entreprises. En informant le public, l’organe de régulation vise à renforcer la prise de conscience concernant la protection des données personnelles et les droits des utilisateurs.
Pour en savoir plus sur les implications de cette réglementation dans d’autres contextes, vous pouvez consulter des articles en lien avec l’impact de la blockchain, ou les questions d’âge sur les réseaux sociaux, comme détaillé dans celui-ci. De plus, des décisions récentes concernant la restriction d’accès à des comptes sur des plateformes sociales, telles que compilées dans cet article, montrent les diverses pratiques mises en place pour réguler l’utilisation des réseaux sociaux.
