CNIL | SAN-2025-017 | 30 décembre 2025 | Affaire INTERSPORTS | CONSEILS

CONSEILS AUX RESPONSABLES DE TRAITEMENT

A. RECUEIL DU CONSENTEMENT POUR LA PUBLICITÉ CIBLÉE SUR LES RÉSEAUX SOCIAUX

Refondre intégralement le parcours de recueil du consentement au ciblage publicitaire. La formation restreinte a jugé insuffisant le fait d’assimiler le consentement à la prospection commerciale par courrier électronique ou SMS au consentement à la transmission de données à un réseau social tiers. Ces deux finalités, aussi voisines qu’elles paraissent sur le plan commercial, sont de nature distincte — l’une implique une communication directe de l’annonceur vers la personne, l’autre la cession de données à un tiers qui les exploite dans son propre environnement — et exigent un consentement distinct, recueilli par une case à cocher autonome, positionnée au niveau du formulaire d’adhésion, et non dans des documents de renvoi accessibles via des liens en pied de page.

La case à cocher doit mentionner explicitement : l’identité du réseau social destinataire des données, la finalité précise de la transmission (publicité ciblée), et la nature des données transmises (adresse électronique et/ou numéro de téléphone). Une formulation du type « J’accepte que mes coordonnées soient transmises au groupe [Y], gestionnaire du réseau social [Z], afin que des publicités pour les produits INTERSPORTS me soient affichées sur ce réseau » satisfait à ces exigences. Tout autre formulation ambiguë ou générique — telle qu’une référence à la « mise en correspondance » des données — a été expressément déclarée insuffisante par la CNIL.

Documenter le consentement et en assurer la traçabilité. Le responsable de traitement doit être en mesure de démontrer, à tout moment et pour chaque personne, que le consentement a bien été recueilli, la date et les modalités de ce recueil, et que la case correspondant au ciblage publicitaire avait bien été cochée — distinctement de celles relatives à la prospection par courrier électronique ou SMS. Cette traçabilité est une obligation découlant directement du principe d’accountability (art. 5, §2, et art. 7, §1, RGPD). En cas de contrôle ou de contentieux, l’absence de traçabilité du consentement emporte présomption d’absence de consentement valide.

Cessation immédiate du traitement en l’absence de consentement valide. Si un responsable de traitement transmet actuellement des données à un réseau social à des fins de publicité ciblée sans être en mesure d’établir que les personnes concernées ont donné un consentement spécifique et clair à cette finalité, il doit suspendre cette transmission sans délai. La cessation spontanée du traitement constitue une circonstance atténuante reconnue par la CNIL, à la condition expresse qu’elle intervienne de la propre initiative du responsable — et non à la suite d’un contrôle — et qu’elle soit documentée (date, motif, périmètre de la cessation).

---

B. TRANSPARENCE ET QUALITÉ DE L’INFORMATION

Structurer la politique de données personnelles par finalité. La CNIL a sanctionné la pratique consistant à lister d’un côté les bases légales disponibles et de l’autre les finalités des traitements, sans correspondance explicite entre les deux. La bonne pratique — reconnue comme conforme par la formation restreinte au vu de la politique révisée d’INTERSPORTS de septembre 2025 — est celle d’un tableau structuré par traitement, dans lequel chaque ligne associe une finalité précise, la base légale correspondante, les catégories de données concernées, les destinataires, et la durée de conservation. Ce tableau doit être accessible depuis le formulaire de collecte, non seulement en pied de page, mais avec un lien contextualisé à proximité des cases de recueil du consentement.

Maintenir une veille réglementaire active sur les transferts internationaux. La CNIL a retenu le manquement à l’article 13 du RGPD pour la période de cinq ans durant laquelle la politique de données personnelles d’INTERSPORTS mentionnait le Privacy Shield, invalidé par l’arrêt Schrems II du 16 juillet 2020. Toute documentation d’information mentionnant des transferts vers des pays tiers doit être mise à jour dès lors qu’une évolution réglementaire ou jurisprudentielle affecte la base légale du transfert. À ce jour, les transferts vers les États-Unis doivent être fondés sur le Data Privacy Framework (décision d’adéquation de la Commission européenne du 10 juillet 2023), et la politique de données personnelles doit le mentionner explicitement.

Indiquer les durées de conservation dans la documentation d’information. L’absence de toute mention des durées de conservation applicables aux données des adhérents au programme de fidélité a été retenue comme un manquement à l’article 13 du RGPD. Le responsable de traitement doit, pour chaque traitement ou catégorie de traitement, mentionner soit une durée précise (par exemple : « deux ans à compter de la dernière interaction commerciale »), soit les critères permettant aux personnes de la déterminer (par exemple : « le temps nécessaire à la gestion de votre compte client »).

---

SÉCURITÉ DES SYSTÈMES ET DES DONNÉES

Remplacer SHA-256 par un algorithme de dérivation de clé pour le stockage des mots de passe. La formation restreinte a expressément jugé que la fonction de hachage SHA-256 est impropre au stockage sécurisé des mots de passe, en raison de sa rapidité de calcul qui la rend vulnérable aux attaques par force brute et aux attaques par dictionnaire. Les algorithmes adaptés au stockage des mots de passe — bcrypt, scrypt, Argon2 — sont conçus pour être délibérément coûteux en calcul, ce qui rend leur exploitation par un attaquant prohibitivement longue. La migration d’un algorithme à l’autre impose une procédure de rehachage, qui peut être réalisée progressivement à l’occasion de la prochaine connexion de chaque utilisateur (le mot de passe en clair n’étant disponible qu’au moment de l’authentification).

Renforcer les exigences de complexité des mots de passe. Les règles de complexité insuffisantes constatées lors du contrôle — non précisées dans la délibération mais implicitement caractérisées — doivent être portées au niveau des recommandations de l’état de l’art. La recommandation de la CNIL (délibération n° 2022-100 du 21 juillet 2022) fixe des critères de longueur minimale et de diversité des caractères qui constituent le plancher exigible. Pour les comptes à risque élevé (administrateurs, DPO, RSSI), une politique de mots de passe renforcée doit être combinée à une authentification multifacteurs.

---

ANALYSE D’IMPACT ET DOCUMENTATION DE CONFORMITÉ

Réaliser une AIPD préalable à tout traitement de ciblage publicitaire à grande échelle. La formation restreinte a retenu l’absence d’AIPD comme un manquement distinct et autonome. Tout traitement impliquant la transmission des données de plus de 100 000 personnes à un réseau social tiers à des fins de profilage et de ciblage publicitaire remplit au minimum deux des critères déclencheurs de l’obligation d’AIPD définis par la CNIL : le traitement à grande échelle et la mise en correspondance ou combinaison de données provenant de sources distinctes. L’AIPD doit être documentée, datée, et conservée dans le registre des activités de traitement. Elle doit être réalisée avant la mise en œuvre du traitement et mise à jour en cas de modification substantielle.

Tenir un registre des activités de traitement détaillant les transmissions à des tiers. L’article 30 du RGPD impose la tenue d’un registre comportant notamment l’identification des destinataires des données, y compris des tiers. La transmission hebdomadaire de données à un réseau social tiers doit y figurer expressément, avec les informations relatives aux garanties encadrant les transferts internationaux le cas échéant.

---

E. RESPONSABILITÉ DANS LE CADRE DU MÉCANISME DE GUICHET UNIQUE

Anticiper les effets transfrontaliers des traitements. Lorsqu’un programme de fidélité s’étend à plusieurs États membres de l’Union européenne, le responsable de traitement est soumis au mécanisme de guichet unique (art. 56 RGPD). Il doit identifier, dès la conception du traitement, l’autorité de contrôle cheffe de file compétente (en principe celle de l’État membre de son établissement principal), et s’assurer que ses pratiques sont conformes aux exigences applicables dans l’ensemble des États membres où les personnes concernées résident. Une décision prononcée dans le cadre du guichet unique produit effets dans l’ensemble des États membres concernés, ce qui en démultiplie la portée et, le cas échéant, les risques réputationnels et financiers.

---

CONSEILS AUX PERSONNES CONCERNÉES

A. MAÎTRISER SES DONNÉES DANS LES PROGRAMMES DE FIDÉLITÉ

Lire attentivement les documents d’information avant de s’inscrire à un programme de fidélité en ligne. La CNIL a jugé que le parcours d’inscription d’INTERSPORTS ne permettait pas aux personnes de donner un consentement éclairé au ciblage publicitaire sur les réseaux sociaux. Avant de cocher toute case ou d’adhérer à tout programme de fidélité, il convient de rechercher spécifiquement, dans la politique de données personnelles ou les conditions générales, toute mention relative à la transmission des données à des tiers, à des partenaires publicitaires ou à des réseaux sociaux. Si une telle mention est présente mais formulée de façon obscure — par exemple, une simple référence à une « mise en correspondance » des données sans indication de finalité —, il est conseillé de ne pas cocher les cases de prospection commerciale, qui peuvent, selon les pratiques de l’enseigne, servir de fondement à ces transmissions.

Exercer son droit d’accès pour obtenir la liste des destinataires de ses données. L’article 15 du RGPD vous donne le droit d’obtenir de tout responsable de traitement la confirmation que des données vous concernant sont traitées et, le cas échéant, la liste des destinataires ou catégories de destinataires auxquels elles ont été ou sont communiquées. Cette demande peut être formulée par simple courriel adressé au responsable de traitement ou à son délégué à la protection des données (DPO). Le responsable doit répondre dans un délai d’un mois, prolongeable de deux mois supplémentaires dans les cas complexes.

B. GÉRER LES PUBLICITÉS CIBLÉES SUR LES RÉSEAUX SOCIAUX

Utiliser les paramètres de confidentialité du réseau social pour limiter le ciblage publicitaire. Les principaux réseaux sociaux proposent des paramètres permettant de limiter ou de refuser l’affichage de publicités fondées sur des données transmises par des partenaires tiers (fonctionnalités de type Custom Audiences). Ces paramètres sont accessibles depuis les rubriques « Paramètres » > « Publicités » ou « Données de publicité » selon les plateformes. Leur activation ne supprime pas les données déjà transmises par les annonceurs, mais elle empêche leur utilisation future à des fins de ciblage vous concernant.

Retirer votre consentement auprès du responsable de traitement et exercer votre droit à l’effacement. Si vous avez adhéré à un programme de fidélité en acceptant la prospection commerciale, vous pouvez à tout moment retirer votre consentement (art. 7, §3, RGPD) par écrit auprès du responsable de traitement, avec effet pour les traitements futurs. Si le traitement de ciblage publicitaire était fondé sur ce consentement, vous pouvez également demander l’effacement de vos données (art. 17 RGPD). La demande doit être adressée au DPO ou au service client de l’enseigne, par courriel avec accusé de réception, en indiquant clairement l’objet (retrait du consentement, demande d’effacement) et les données concernées.

RECOURS DISPONIBLES

Déposer une plainte auprès de la CNIL. Si vous estimez que vos données ont été transmises à un réseau social sans votre consentement valide, ou que le responsable de traitement n’a pas répondu à votre demande d’exercice de droits dans les délais impartis, vous pouvez déposer une plainte en ligne auprès de la CNIL via le formulaire disponible sur cnil.fr/plainte. La CNIL peut ouvrir une enquête et, si les manquements sont caractérisés, engager une procédure de sanction contre le responsable de traitement. Le plaignant est informé de l’issue de l’enquête en application de l’article 8-I-2-d de la loi Informatique et Libertés.

Engager une action en réparation devant le tribunal judiciaire. L’article 82 du RGPD reconnaît à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement le droit d’obtenir réparation. L’atteinte à la vie privée résultant de la transmission non consentie de données personnelles à un réseau social constitue un dommage moral susceptible d’indemnisation, dont la réalité et le quantum doivent être appréciés par le juge. Des actions collectives sont également possibles en France, en vertu de l’article 80 du RGPD et de l’article 37 de la loi Informatique et Libertés, par l’intermédiaire d’une association habilitée. La sanction administrative prononcée par la CNIL, si elle ne constitue pas en elle-même une indemnisation des personnes concernées, peut fonder et faciliter une action en réparation, en établissant le caractère illicite du traitement.

---

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-017 du 30 décembre 2025 sanctionne la société INTERSPORTS d’une amende administrative de 3 500 000 euros — décomposée en 2 500 000 euros au titre des manquements aux articles 6, 13, 32 et 35 du RGPD et en 1 000 000 euros au titre du manquement à l’article 82 de la loi Informatique et Libertés — pour avoir, depuis fin 2018 jusqu’en février 2024, transmis hebdomadairement à un réseau social les adresses électroniques et/ou numéros de téléphone de plus de 10,5 millions de membres de son programme de fidélité à des fins de ciblage publicitaire, sans que leur consentement à cette finalité spécifique ait été valablement recueilli, le formulaire d’adhésion au programme de fidélité ne contenant aucune information sur cette transmission et les documents de renvoi accessibles en pied de page étant jugés trop parcellaires et trop peu accessibles pour constituer la base d’un consentement clair et spécifique au sens de l’article 4, §11, et du considérant 32 du RGPD.