CNIL | SAN-2025-017 | 30 DÉCEMBRE 2025 | AFFAIRE INTERSPORTS |
INTERSPORTS | MONTANT : 3,5 MILLIONS D’EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I. LES FAITS ET LA PROCÉDURE
A. PRÉSENTATION DE LA SOCIÉTÉ SANCTIONNÉE ET DE SON ACTIVITÉ
La société sanctionnée, dont l’identité n’est pas divulguée dans la version publique de la délibération, exploite l’enseigne de distribution sportive INTERSPORTS, une enseigne majeure du secteur de la distribution d’articles de sport en France. La société présente une surface financière significative et une activité commerciale importante, tant en magasins physiques qu’en ligne.
1. DONNÉES STRUCTURELLES ET ÉCONOMIQUES
En 2021, la société employait 363 salariés et l’enseigne comptait plus de magasins sur le territoire français. La société présente une situation financière solide, avec un chiffre d’affaires de plus de euros en 2022 pour un résultat net de près de euros, un chiffre d’affaires atteignant plus de euros en 2023 pour un résultat net de près de euros, et un chiffre d’affaires dépassant euros en 2024 pour un résultat net de plus de euros.
Cette progression constante du chiffre d’affaires sur la période 2022-2024 témoigne du dynamisme commercial de la société et de sa capacité à développer son activité, tant dans le canal physique que dans le canal numérique. La formation restreinte a pris en compte ces éléments financiers pour apprécier la capacité économique de la société et déterminer le montant de l’amende administrative.
2. ACTIVITÉ COMMERCIALE ET TRAITEMENT DES DONNÉES PERSONNELLES
Créée , la société exerce une activité consistant en en magasin ainsi qu’en ligne, à partir d’un site web dont elle est éditrice. Ce site web constitue un élément central de la stratégie commerciale de la société, permettant notamment aux clients de créer un compte client, d’effectuer des achats en ligne et d’adhérer à un programme de fidélité valable à la fois en ligne et à la caisse des magasins du réseau.
Le programme de fidélité de la société connaît un succès important, avec près de 10,5 millions de membres en France au 10 février 2023, auxquels s’ajoutent plus de 200 000 membres en Belgique, plus de 15 000 au Luxembourg, ainsi que des membres dans plusieurs autres pays de l’Union européenne. Cette dimension transfrontalière du traitement a conduit à l’application du mécanisme de coopération européenne prévu par l’article 60 du RGPD, avec l’intervention de seize autorités de contrôle européennes concernées.
Dans le cadre de son activité commerciale, la société collecte et traite de nombreuses données à caractère personnel de ses clients et prospects, notamment dans le cadre de son programme de fidélité (identité, coordonnées, historique d’achats, préférences commerciales), de la gestion des comptes clients sur son site web (identifiants de connexion, données de navigation, données de paiement) et de ses campagnes de prospection commerciale (consentements marketing, canaux de communication préférés).
B. LES CONTRÔLES RÉALISÉS PAR LA CNIL ET LE DÉROULEMENT DE LA PROCÉDURE
1. LA DÉCISION DE CONTRÔLE ET LES MISSIONS RÉALISÉES
Par décision n° 2023-001C du 21 décembre 2022, la présidente de la CNIL a chargé le secrétaire général de procéder ou de faire procéder à une mission de contrôle afin de vérifier la conformité des traitements mis en œuvre par la société au RGPD et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après « la loi Informatique et Libertés »).
En application de cette décision, une délégation de la CNIL a réalisé deux missions de contrôle complémentaires :
—-Un contrôle en ligne à partir du site web de la société, réalisé le 5 janvier 2023, ayant donné lieu à un procès-verbal n° 2023-0011 notifié à la société par courrier du 6 janvier 2023. Ce contrôle en ligne a permis d’examiner le parcours utilisateur sur le site web, les modalités de recueil du consentement pour les différentes finalités de traitement, les informations fournies aux personnes concernées dans la politique de confidentialité, ainsi que les pratiques en matière de cookies et traceurs.
—-Un contrôle sur place dans les locaux de la société, réalisé le 26 janvier 2023, ayant donné lieu à un procès-verbal n° 2023-0012 notifié à la société par courrier du 27 janvier 2023. Ce contrôle sur place a permis d’examiner la documentation interne relative aux traitements mis en œuvre, les mesures techniques et organisationnelles de sécurité déployées, les conventions conclues avec les prestataires et partenaires, ainsi que les registres de traitement tenus par la société.
À la suite de ces contrôles, la société a communiqué à la délégation de nombreux éléments complémentaires les 10 et 23 février, 14 mars, 18 et 28 avril, 23 août et 26 septembre 2023. Ces échanges itératifs entre la délégation de contrôle et la société ont permis d’approfondir l’instruction du dossier et de clarifier certains points techniques relatifs aux traitements mis en œuvre.
2. L’INSTRUCTION DU DOSSIER ET LA DÉSIGNATION D’UN RAPPORTEUR
Aux fins d’instruction de l’ensemble des éléments recueillis lors des contrôles et des échanges ultérieurs, la présidente de la Commission a, le 17 avril 2025, désigné Mme Anne DEBET, commissaire, en qualité de rapporteure sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
La désignation d’un rapporteur marque le passage de la phase de contrôle à la phase contentieuse de la procédure. Le rapporteur a pour mission d’instruire le dossier de manière contradictoire, d’examiner les arguments de défense présentés par la personne concernée, et de proposer à la formation restreinte les sanctions qu’il estime appropriées.
3. LA PROCÉDURE DE COOPÉRATION EUROPÉENNE
Conformément à l’article 56 du RGPD et au vu des éléments du dossier, la CNIL a, le 27 décembre 2024, informé l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle chef de file concernant les traitements transfrontaliers mis en œuvre par la société, résultant de ce que l’établissement principal de la société se trouve en France.
Cette notification déclenche la procédure de coopération prévue par l’article 60 du RGPD, dite procédure du « guichet unique », qui vise à assurer la cohérence des décisions prises par les autorités de contrôle européennes lorsqu’un traitement présente un caractère transfrontalier. Après échanges entre la CNIL et les autorités de protection des données européennes dans le cadre de ce mécanisme, il est apparu que les autorités belge, luxembourgeoise, néerlandaise, espagnole, allemande, irlandaise, italienne, danoise, suédoise, portugaise, finlandaise, autrichienne, roumaine, polonaise, lituanienne et norvégienne étaient concernées par les traitements mis en œuvre.
Cette pluralité d’autorités concernées s’explique par le fait que le programme de fidélité de la société compte des membres résidant dans l’ensemble de ces pays, de sorte que les opérations de transmission de données au réseau social et de publicité ciblée ont affecté des personnes relevant de la compétence territoriale de ces différentes autorités.
4. LE RAPPORT DE SANCTION ET LA PROCÉDURE CONTRADICTOIRE
Le 12 mai 2025, à l’issue de son instruction, la rapporteure a fait signifier à la société un rapport détaillant les manquements aux articles 6, 13, 32 et 35 du RGPD ainsi qu’à l’article 82 de la loi Informatique et Libertés qu’elle estimait constitués en l’espèce. Ce rapport, qui constitue l’acte de saisine de la formation restreinte, proposait à cette dernière de prononcer à l’encontre de la société une amende administrative, ainsi qu’une injonction de mettre en conformité ses traitements avec les dispositions susvisées, assortie d’une astreinte. La rapporteure proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
Conformément au principe du contradictoire qui gouverne la procédure de sanction devant la CNIL, la société a été mise en mesure de présenter ses observations en réponse au rapport de sanction. Elle a produit des observations écrites le 23 juin 2025. La rapporteure a répondu à ces observations le 16 juillet 2025. Le 12 septembre 2025, la société a produit de nouvelles observations en réponse.
Par courrier notifié le 24 septembre 2025, la rapporteure a, en application de l’article 40, III, du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi Informatique et Libertés, informé la société que l’instruction était close. Le même jour, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 16 octobre 2025.
La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte. Cette audience contradictoire permet à chaque partie d’exposer oralement ses arguments et de répondre aux questions posées par les membres de la formation restreinte, avant que celle-ci ne se retire pour délibérer.
5. L’ADOPTION DU PROJET DE DÉCISION ET L’APPROBATION PAR LES AUTORITÉS EUROPÉENNES
En application de l’article 60, §3 du RGPD, le projet de décision adopté par la formation restreinte a été transmis le 1er décembre 2025 aux autorités de contrôle européennes concernées. Ces autorités disposaient alors d’un délai de quatre semaines pour formuler, le cas échéant, des objections pertinentes et motivées à l’égard du projet de décision.
Au 29 décembre 2025, aucune des autorités consultées n’avait formulé d’objection pertinente et motivée à l’égard du projet de décision, de sorte que, en application de l’article 60, §6 du RGPD, ces dernières sont réputées l’avoir approuvé. Cette approbation tacite permet à la CNIL d’adopter définitivement sa décision et de la notifier à la société sanctionnée.
II. LE TRAITEMENT DE PUBLICITÉ CIBLÉE SUR RÉSEAU SOCIAL
A. PRÉSENTATION DU TRAITEMENT EN CAUSE : LA TECHNIQUE DE « CUSTOM AUDIENCE »
Les constatations de la CNIL ont révélé que, depuis février 2018, la société transmettait les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité à un groupe désigné sous l’appellation « groupe Y », exploitant un réseau social désigné sous l’appellation « réseau social Z ». Ces données étaient utilisées afin d’afficher, sur ce réseau social, des publicités ciblées visant à promouvoir les articles vendus par la société.
Cette pratique correspond à la technique dite de « custom audience » ou « audience personnalisée », largement utilisée par les annonceurs sur les grandes plateformes de réseaux sociaux et de publicité en ligne. Le mécanisme technique de cette pratique peut être décrit comme suit :
Étape 1 : Collecte et préparation des données par l’annonceur. La société collecte les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité, soit lors de leur adhésion au programme, soit lors de la création de leur compte client sur le site web.
Étape 2 : Transmission des données au réseau social. La société transmet périodiquement (en l’espèce, de façon hebdomadaire selon les constatations de la CNIL ) ces adresses électroniques et numéros de téléphone au groupe Y exploitant le réseau social Z. Cette transmission peut s’effectuer selon différentes modalités techniques : téléchargement direct d’un fichier sur la plateforme publicitaire, transmission via une API (Application Programming Interface), ou encore intégration d’un pixel de suivi sur le site web permettant la transmission automatique des données.
Étape 3 : Mise en correspondance (matching) par le réseau social. Le réseau social procède à une opération de mise en correspondance (« matching ») entre les adresses électroniques et numéros de téléphone transmis par la société et ceux des utilisateurs du réseau social. Cette opération permet d’identifier, parmi les membres du programme de fidélité de la société, ceux qui sont également utilisateurs du réseau social et de créer ainsi une « audience personnalisée » (« custom audience ») constituée de ces utilisateurs.
Étape 4 : Diffusion de publicités ciblées. La société configure des campagnes publicitaires sur le réseau social, en ciblant spécifiquement l’audience personnalisée ainsi créée. Les utilisateurs du réseau social qui sont également membres du programme de fidélité de la société voient ainsi s’afficher, lorsqu’ils consultent le réseau social, des publicités visant à promouvoir les articles vendus par la société.
Cette technique présente un intérêt commercial majeur pour les annonceurs, car elle permet de cibler des personnes dont on connaît déjà l’intérêt pour les produits ou services proposés (puisqu’elles sont membres du programme de fidélité), avec un taux de conversion généralement supérieur à celui de la publicité non ciblée. Elle soulève toutefois des questions juridiques importantes relatives à la base légale du traitement, à l’information des personnes et au respect de leurs droits.
B. LA QUALIFICATION JURIDIQUE DU TRAITEMENT : RESPONSABILITÉ DE TRAITEMENT
1. LA POSITION DE LA SOCIÉTÉ : RESPONSABILITÉ DE TRAITEMENT POUR LA TRANSMISSION, RESPONSABILITÉ CONJOINTE POUR LES CAMPAGNES
La société a indiqué à la délégation de contrôle qu’elle agissait en tant que responsable de traitement dans le cadre de la transmission des données au groupe Y et pour la mise en correspondance de ces données avec celles des utilisateurs du réseau social Z. S’agissant des traitements réalisés dans le cadre des campagnes lancées postérieurement à cette mise en correspondance, la société a indiqué qu’elle-même et le groupe Y agissaient en tant que responsables conjoints.
Cette distinction opérée par la société entre deux phases du traitement (d’une part la transmission et la mise en correspondance, d’autre part les campagnes publicitaires proprement dites) correspond à une analyse fréquemment présentée par les annonceurs utilisant les techniques de custom audience. Selon cette analyse, l’annonceur serait seul responsable de la décision de transmettre les données et des modalités de cette transmission, tandis que la diffusion effective des publicités relèverait d’une responsabilité conjointe entre l’annonceur (qui détermine le contenu, le ciblage et le budget des campagnes) et la plateforme (qui détermine les algorithmes de diffusion et les modalités techniques d’affichage).
2. LA POSITION DE LA FORMATION RESTREINTE : RESPONSABILITÉ DE TRAITEMENT DE LA SOCIÉTÉ
La formation restreinte a considéré que la société, en collectant et en transmettant les données à caractère personnel des adhérents de son programme de fidélité au groupe Y, en vue de leur afficher sur le réseau social Z des publicités visant à promouvoir ses produits, détermine les finalités et les moyens du traitement. Par conséquent, et sans qu’il soit nécessaire dans le cadre de la présente procédure de se prononcer également sur la part de responsabilité incombant au groupe Y, la société doit être regardée comme responsable du traitement de publicité ciblée affichée sur le réseau social Z, pour les besoins duquel elle transmettait au groupe Y des données à caractère personnel jusqu’en février 2024.
Cette analyse de la CNIL mérite plusieurs observations. 1., la formation restreinte qualifie la société de responsable de traitement pour l’ensemble du traitement de publicité ciblée, et non seulement pour la phase de transmission et de mise en correspondance des données. Cette qualification extensive est fondée sur le critère de détermination des finalités et des moyens du traitement prévu par l’article 4, §7 du RGPD.
En l’espèce, la finalité du traitement (afficher des publicités ciblées visant à promouvoir les produits de la société auprès des membres de son programme de fidélité) est déterminée par la société elle-même. Les principaux moyens du traitement (la collecte des adresses électroniques et numéros de téléphone dans le cadre du programme de fidélité, la décision de transmettre ces données à un réseau social, le choix de ce réseau social, la périodicité de transmission, le contenu des campagnes publicitaires, le budget alloué) sont également déterminés par la société. Ces éléments suffisent à caractériser la qualité de responsable de traitement.
2., la formation restreinte précise qu’il n’est pas nécessaire dans le cadre de la présente procédure de se prononcer sur la part de responsabilité incombant au groupe Y. Cette précision est importante car elle signifie que la CNIL n’exclut pas l’existence d’une responsabilité conjointe, mais estime qu’il n’est pas utile de trancher cette question pour les besoins de la procédure de sanction dirigée contre la société.
Il est en effet admis, conformément à la jurisprudence de la CJUE et aux lignes directrices du CEPD, qu’une responsabilité conjointe n’implique pas nécessairement une responsabilité équivalente des différents opérateurs concernés (CJUE, 7 mars 2024, « IAB Europe c. Gegevensbeschermingsautoriteit », C-604/22, point 58). Chaque co-responsable peut être sanctionné individuellement pour les manquements qui lui sont imputables, sans qu’il soit nécessaire de mettre également en cause les autres co-responsables.
3., la formation restreinte relève que la société transmettait des données au groupe Y « jusqu’en février 2024 ». Cette précision temporelle indique que la société a mis fin au traitement en cause en cours de procédure, probablement à la suite des contrôles réalisés par la CNIL en janvier 2023 et de l’instruction du dossier. Cette cessation volontaire du traitement constitue une circonstance atténuante qui sera prise en compte par la formation restreinte dans la détermination de la sanction.
C. LES MODALITÉS CONCRÈTES DE MISE EN ŒUVRE DU TRAITEMENT
1. LA PÉRIODE DE MISE EN ŒUVRE ET LA VOLUMÉTRIE
Le traitement de publicité ciblée sur réseau social a été mis en œuvre par la société depuis février 2018. La transmission des données s’effectuait de façon hebdomadaire, ce qui signifie qu’au cours des plus de cinq années de fonctionnement du traitement (février 2018 – février 2024), plusieurs centaines de transmissions ont été effectuées.
Le nombre de personnes concernées par le traitement est particulièrement élevé : la société a reconnu que les données de l’ensemble des adhérents à son programme de fidélité, à savoir plus de 10,5 millions de personnes, avaient été transmises au groupe Y. Ce chiffre englobe les membres résidant en France (près de 10,5 millions), en Belgique (plus de 200 000), au Luxembourg (plus de 15 000), ainsi que dans plusieurs autres pays de l’Union européenne.
Cette volumétrie massive constitue un élément déterminant pour apprécier la gravité du manquement et le montant de l’amende administrative. La formation restreinte insiste d’ailleurs particulièrement sur « le nombre particulièrement élevé de personnes concernées » dans sa motivation relative à la détermination de la sanction.
2. LES DONNÉES TRANSMISES ET LEUR SENSIBILITÉ
Les données transmises au réseau social comprenaient les adresses électroniques et/ou les numéros de téléphone des membres du programme de fidélité. Il s’agit de données d’identification indirecte qui permettent, par le biais de l’opération de mise en correspondance (matching), d’identifier précisément les utilisateurs du réseau social correspondant aux membres du programme de fidélité.
Bien que ces données ne constituent pas des catégories particulières de données au sens de l’article 9, §1 du RGPD, leur transmission à un réseau social à des fins de publicité ciblée présente néanmoins des risques significatifs pour la vie privée des personnes concernées. En effet, cette transmission permet au réseau social de croiser les données transmises par la société avec l’ensemble des autres données qu’il détient sur ses utilisateurs (profil, centres d’intérêt, activités sur le réseau, connexions sociales, géolocalisation, etc.), créant ainsi un profilage particulièrement précis des personnes.
3. LA CESSATION DU TRAITEMENT EN COURS DE PROCÉDURE
La société a procédé à la cessation du traitement en février 2024, soit environ un an après les contrôles réalisés par la CNIL en janvier 2023. Cette cessation volontaire témoigne d’une prise de conscience par la société de la non-conformité du traitement au RGPD.
La formation restreinte a pris acte de cette cessation et l’a qualifiée positivement, relevant que « la société a procédé de sa propre initiative à la cessation du traitement en cause, ce qui doit être mis à son crédit ». Néanmoins, la formation restreinte a également relevé que la société ne l’avait fait qu’après avoir été confrontée à un contrôle de la CNIL qui, selon ses propres déclarations, « a soulevé de nombreuses interrogations ». Cette réserve signifie que la cessation du traitement n’est pas considérée comme totalement spontanée et désintéressée, mais plutôt comme une réaction aux investigations de la CNIL.
**III. LES CINQ MANQUEMENTS SANCTIONNÉS **
La formation restreinte a retenu cinq manquements distincts aux obligations prévues par le RGPD et la loi Informatique et Libertés. Ces manquements seront examinés successivement, en présentant pour chacun d’entre eux le cadre juridique applicable, la position de la CNIL, les arguments de défense de la société (lorsqu’ils sont rapportés dans la délibération), et une analyse critique du raisonnement adopté par la formation restreinte.
A. LE MANQUEMENT À L’OBLIGATION DE DISPOSER D’UNE BASE LÉGALE (ARTICLE 6 DU RGPD) : L’ABSENCE DE CONSENTEMENT VALABLE POUR LA PUBLICITÉ CIBLÉE
1. LES EXIGENCES DU CONSENTEMENT AU SENS DU RGPD
A. LES DISPOSITIONS APPLICABLES
L’article 6, §1 du RGPD dispose que le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : « a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».
L’article 4, §11 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Le considérant 32 du RGPD précise que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ».
Le considérant 43 du RGPD ajoute que « pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier, lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement » et que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce ».
B. LA DOCTRINE DU COMITÉ EUROPÉEN DE LA PROTECTION DES DONNÉES (CEPD) SUR LE CONSENTEMENT
Le CEPD a adopté des lignes directrices 05/2020 relatives au consentement au sens du règlement (UE) 2016/679 (version 1.1, adoptée le 4 mai 2021), qui précisent les conditions de validité du consentement.
S’agissant du caractère « spécifique » du consentement, les lignes directrices précisent que « le consentement doit être donné pour toutes les activités de traitement réalisées dans un même but ou pour la même finalité. Lorsque le traitement a des finalités multiples, une possibilité de consentir à chacune d’entre elles devrait être proposée ». Le CEPD ajoute que « la granularité devrait se refléter dans différentes boîtes à cocher ou choix distincts, et non en une seule case permettant de consentir à un ensemble de finalités ».
S’agissant du caractère « éclairé » du consentement, les lignes directrices indiquent que « pour qu’il puisse être valablement recueilli, le consentement doit être éclairé. L’exigence d’un consentement éclairé est étroitement liée aux exigences de clarté et de transparence ». Le CEPD précise que « fournir des informations à la personne concernée est essentiel pour lui permettre de prendre une décision éclairée, de comprendre ce à quoi elle consent et, par exemple, d’exercer son droit de retirer son consentement ».
C. LA JURISPRUDENCE DE LA CJUE SUR LE CONSENTEMENT AUX COOKIES ET SON APPLICATION AU CONSENTEMENT RGPD
Bien que relative au consentement aux cookies au sens de la directive ePrivacy, la jurisprudence de la CJUE dans l’affaire Planet49 présente des enseignements transposables au consentement RGPD.
Dans son arrêt du 1er octobre 2019 (Planet49, C-673/17), la CJUE a jugé que « le consentement au stockage d’informations, ou au fait de donner accès à des informations déjà stockées, dans l’équipement terminal d’un utilisateur doit être donné avant ledit stockage ou ledit accès » (point 62) et que « le consentement doit être spécifique », ce qui implique que « lorsque différentes opérations de traitement sont effectuées, le consentement doit être donné pour chacune d’entre elles » (point 59).
2. ABSENCE DE CONSENTEMENT ÉCLAIRÉ ET SPÉCIFIQUE
La CNIL a considéré que « les opérations de ciblage publicitaire menées sur le réseau social, reposant sur la transmission de données personnelles des membres du programme de fidélité, étaient dépourvues de base légale ».
A. L’INVOCATION D’UN CONSENTEMENT NON VALABLE PAR LA SOCIÉTÉ
La société invoquait le consentement des personnes concernées, recueilli lors de leur adhésion au programme de fidélité de la société, lorsqu’elles acceptaient de recevoir de la prospection par SMS et/ou courrier électronique. Selon la société, ce consentement à la prospection commerciale couvrait également la transmission de données à des fins de publicité ciblée sur un réseau social.
Cette argumentation repose sur une interprétation extensive de la portée du consentement recueilli, qui assimile deux finalités de traitement distinctes : d’une part, la réception de prospection commerciale par les canaux classiques (SMS, courrier électronique) ; d’autre part, la transmission de données à un tiers (le réseau social) aux fins de publicité ciblée sur ce réseau.
B. L’ABSENCE D’INFORMATION SUR LE FORMULAIRE D’ADHÉSION AU PROGRAMME DE FIDÉLITÉ
La CNIL a considéré que le consentement de ces personnes n’était pas valablement recueilli dans la mesure où « aucune information n’était fournie sur le formulaire d’adhésion au programme de fidélité sur la transmission de données à des fins de publicité ciblée sur un réseau social ».
Cette première lacune est déterminante car elle prive le consentement de son caractère « éclairé ». Une personne qui adhère au programme de fidélité et coche une case pour accepter de recevoir de la prospection par SMS et/ou courrier électronique ne peut raisonnablement pas comprendre, en l’absence de toute information explicite, que ses données seront également transmises à un réseau social aux fins de publicité ciblée. Il s’agit là de deux opérations de traitement distinctes, présentant des risques différents pour la vie privée des personnes.
C. L’INFORMATION FOURNIE DANS LES DOCUMENTS ACCESSIBLES DEPUIS LE SITE WEB : INSUFFISANTE ET PEU ACCESSIBLE
L’information fournie dans les documents accessibles depuis le site web de la société, notamment la politique des données personnelles, soit ne mentionnait pas la transmission des données au réseau social, soit ne permettait pas de comprendre clairement la finalité de cette transmission des données.
Cette deuxième lacune concerne l’information a posteriori, c’est-à-dire celle accessible dans la politique de confidentialité ou autres documents d’information disponibles sur le site web. Même si cette information avait été complète et précise (ce qui n’était pas le cas en l’espèce), elle ne pourrait en tout état de cause pas pallier l’absence d’information au moment du recueil du consentement.
La CNIL a également relevé que « cette information était insuffisante pour recueillir un consentement éclairé des personnes, ce d’autant que le parcours d’accès à ces différents documents était complexe ». Cette mention du caractère « complexe » du parcours d’accès renvoie à l’exigence d’accessibilité de l’information posée par l’article 12, §1 du RGPD, qui impose que l’information soit fournie « d’une façon concise, transparente, compréhensible et aisément accessible ».
Un parcours d’accès complexe, impliquant plusieurs clics et renvois successifs vers différents documents (par exemple : page d’accueil > mentions légales > politique de confidentialité > section spécifique sur les cookies et traceurs > sous-section sur les partenaires publicitaires), ne satisfait pas à cette exigence d’accessibilité. La CJUE a d’ailleurs jugé que l’information doit être « facilement accessible » (« readily available ») pour la personne concernée (CJUE, 11 novembre 2020, Orange România, C-61/19, point 41).
D. LA CONCLUSION : ABSENCE DE CONSENTEMENT EXPLICITE ET ÉCLAIRÉ
La CNIL conclut que « ces conditions ne permettaient donc pas aux personnes de donner un consentement explicite et éclairé, comme aurait pu le permettre, par exemple, une case à cocher mentionnant clairement la finalité de ce traitement ».
Cette conclusion appelle plusieurs observations. 1., la CNIL qualifie le vice du consentement comme portant à la fois sur son caractère « explicite » et son caractère « éclairé ». Le caractère éclairé du consentement est compromis par l’absence d’information suffisante sur la transmission de données au réseau social et la finalité de cette transmission. Le caractère explicite du consentement est compromis par l’absence d’un acte positif clair spécifiquement destiné à manifester l’accord de la personne pour cette opération de traitement distincte.
2., la CNIL fournit un exemple de modalité de recueil du consentement qui aurait été conforme : « une case à cocher mentionnant clairement la finalité de ce traitement ». Cet exemple est important car il indique clairement la pratique attendue par la CNIL : un consentement granulaire, c’est-à-dire distinct pour chaque finalité de traitement, recueilli au moyen d’une case à cocher non pré-cochée et accompagnée d’une information claire et précise sur la finalité concernée.
Par exemple, le formulaire d’adhésion au programme de fidélité aurait pu comporter deux cases à cocher distinctes :
—-□ « J’accepte de recevoir par SMS et/ou courrier électronique des offres promotionnelles concernant les produits vendus par la société »
—-□ « J’accepte que mes coordonnées (adresse électronique et/ou numéro de téléphone) soient transmises au réseau social [nom du réseau] afin que des publicités ciblées me soient présentées lorsque je consulte ce réseau social »
Une telle présentation aurait permis aux personnes concernées de comprendre clairement les deux finalités distinctes et de consentir séparément à chacune d’entre elles, satisfaisant ainsi aux exigences de granularité, de spécificité et de caractère éclairé du consentement.
4. UNE APPLICATION RIGOUREUSE ET COHÉRENTE DE LA DOCTRINE DU CONSENTEMENT GRANULAIRE
La position de la CNIL sur ce manquement s’inscrit dans une doctrine désormais bien établie concernant les exigences de validité du consentement au sens de l’article 4, §11 et de l’article 6, §1, a) du RGPD. Elle mérite plusieurs observations critiques.
A. LA DISTINCTION FONDAMENTALE ENTRE PROSPECTION DIRECTE ET TRANSMISSION DE DONNÉES À UN TIERS
Le raisonnement de la CNIL repose sur une distinction fondamentale entre deux opérations de traitement :
—-D’une part, la prospection commerciale directe par SMS et/ou courrier électronique, dans le cadre de laquelle la société utilise elle-même les données de ses clients pour leur adresser des offres promotionnelles.
—-D’autre part, la transmission de données à un tiers (le réseau social) aux fins de publicité ciblée, dans le cadre de laquelle la société communique les données de ses clients à un partenaire externe qui les utilisera pour afficher des publicités.
Cette distinction est juridiquement fondée car les deux opérations présentent des finalités distinctes, impliquent des destinataires différents des données, et présentent des risques différents pour la vie privée des personnes. Dans le premier cas, les données restent sous le contrôle de la société et sont utilisées pour une communication directe avec le client. Dans le second cas, les données sont partagées avec un tiers qui dispose de capacités de profilage et de croisement de données considérables, créant ainsi des risques supplémentaires pour la vie privée.
Le principe de « granularité » du consentement, tel qu’énoncé par le CEPD dans ses lignes directrices 05/2020, impose précisément qu’un consentement distinct soit recueilli pour chacune de ces opérations de traitement. Un consentement général à recevoir de la prospection commerciale ne peut donc valoir consentement spécifique à une opération de transmission de données à un tiers aux fins de publicité ciblée.
B. L’EXIGENCE D’INFORMATION AU MOMENT DU RECUEIL DU CONSENTEMENT
La CNIL insiste particulièrement sur l’absence d’information « sur le formulaire d’adhésion au programme de fidélité » concernant la transmission de données au réseau social. Cette exigence d’une information fournie directement sur le formulaire, au moment même du recueil du consentement, est conforme à la doctrine du CEPD qui précise que « l’information doit être fournie avant que le consentement ne soit sollicité ».
L’information fournie a posteriori dans une politique de confidentialité accessible via un lien hypertexte ne peut, en principe, pas pallier l’absence d’information au moment du recueil du consentement. En effet, de nombreuses personnes ne consultent pas les politiques de confidentialité, soit par manque de temps, soit par méconnaissance de leur existence, soit par défaut de compréhension de leur portée. Conditionner la validité du consentement à la consultation par la personne d’un document d’information séparé reviendrait à transférer sur la personne concernée la charge de s’informer, alors que c’est au responsable de traitement qu’incombe l’obligation de fournir l’information.
Cette exigence d’information au moment du recueil du consentement est d’autant plus importante que le consentement doit être « éclairé », c’est-à-dire donné en connaissance de cause. Si l’information essentielle n’est pas fournie au moment où la personne est invitée à consentir, celle-ci ne peut pas prendre une décision véritablement éclairée.
C. LA CRITIQUE DU CARACTÈRE COMPLEXE DU PARCOURS D’ACCÈS À L’INFORMATION
La CNIL relève que « le parcours d’accès à ces différents documents était complexe ». Cette critique mérite d’être soulignée car elle traduit une vigilance accrue de la CNIL concernant l’accessibilité effective de l’information.
L’article 12, §1 du RGPD impose que l’information soit fournie « d’une façon concise, transparente, compréhensible et aisément accessible ». L’adverbe « aisément » (« readily » dans la version anglaise) traduit l’idée que l’information doit pouvoir être trouvée et consultée sans difficulté. Un parcours d’accès complexe, impliquant plusieurs clics et renvois successifs, ne satisfait pas à cette exigence.
La jurisprudence de la CJUE a confirmé cette interprétation en jugeant que l’information doit être « facilement accessible » pour la personne concernée (CJUE, 11 novembre 2020, Orange România, C-61/19, point 41). Dans un environnement numérique où l’attention des utilisateurs est limitée et où la multiplication des liens hypertextes crée un risque de « perdition » dans l’information, il est essentiel que les informations les plus importantes soient présentées de manière claire et directement accessible.
D. LA SUGGESTION D’UNE CASE À COCHER SPÉCIFIQUE : UN EXEMPLE DE BONNE PRATIQUE
La CNIL conclut son analyse en suggérant qu’« une case à cocher mentionnant clairement la finalité de ce traitement » aurait permis de recueillir un consentement explicite et éclairé. Cette suggestion n’est pas une simple indication, mais constitue en réalité une prescription implicite de la modalité de recueil du consentement attendue par la CNIL.
Cette modalité présente plusieurs avantages au regard des exigences du RGPD. 1., elle garantit la granularité du consentement en permettant à la personne de consentir séparément à chaque finalité distincte. 2., elle assure que le consentement est donné par un acte positif clair (cocher une case), conformément à l’article 4, §11 du RGPD. 3., elle permet de fournir l’information essentielle directement sur le formulaire, à proximité immédiate de la case à cocher, garantissant ainsi que le consentement est éclairé.
Les lignes directrices 05/2020 du CEPD confirment que cette modalité constitue une bonne pratique, en précisant qu’« une case à cocher non pré-cochée constitue un moyen approprié de recueillir le consentement » et qu’« un acte positif clair est requis, tel que cocher une case ».
E. UNE QUESTION NON ABORDÉE : LA POSSIBILITÉ D’INVOQUER L’INTÉRÊT LÉGITIME
La délibération ne mentionne pas la question de savoir si la société aurait pu alternativement invoquer son intérêt légitime (article 6, §1, f) du RGPD) comme base légale du traitement. Cette absence de discussion suggère soit que la société n’a pas soulevé cet argument, soit que la CNIL a considéré qu’il n’était pas pertinent.
En effet, la transmission de données à un tiers aux fins de publicité ciblée constitue généralement un traitement pour lequel l’intérêt légitime ne peut être invoqué, du moins en l’absence de mise en balance démontrant que les intérêts ou libertés fondamentales de la personne concernée ne prévalent pas. Les lignes directrices 06/2014 du Groupe de travail article 29 (reprises par le CEPD) relatives à la notion d’intérêt légitime précisent que « le traitement de données à caractère personnel à des fins de marketing direct peut être considéré comme répondant à un intérêt légitime », mais elles ajoutent immédiatement que « cela ne signifie pas pour autant que cet intérêt prévaudra nécessairement sur les intérêts ou libertés fondamentales de la personne concernée ».
En l’espèce, plusieurs éléments militent contre la possibilité d’invoquer l’intérêt légitime :
—-Le caractère massif du traitement (plus de 10,5 millions de personnes concernées) ;
—-La durée particulièrement longue du traitement (plus de cinq années) ;
—-L’absence d’attente raisonnable des personnes concernées quant à une telle utilisation de leurs données (les personnes qui adhèrent à un programme de fidélité s’attendent à recevoir des offres promotionnelles de la part de l’enseigne, mais non à ce que leurs données soient transmises à des réseaux sociaux) ;
—-L’existence d’une alternative moins intrusive (la société aurait pu obtenir le consentement spécifique des personnes par une case à cocher dédiée).
Une analyse plus explicite de cette alternative aurait néanmoins permis de clarifier les raisons pour lesquelles le traitement en cause nécessitait nécessairement le consentement et ne pouvait reposer sur l’intérêt légitime.
B. LE MANQUEMENT À L’OBLIGATION D’INFORMATION DES PERSONNES CONCERNÉES (ARTICLES 12 ET 13 DU RGPD) : UNE INFORMATION IMPRÉCISE, INCOMPLÈTE ET ERRONÉE
1. LES OBLIGATIONS D’INFORMATION PRÉVUES PAR LE RGPD
A. LES DISPOSITIONS APPLICABLES
L’article 12, §1 du RGPD dispose que « le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
L’article 13, §1 du RGPD précise que « lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes : a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ; b) le cas échéant, les coordonnées du délégué à la protection des données ; c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ».
L’article 13, §2 du RGPD ajoute que « en plus des informations visées au §1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent : a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ».
B. LES LIGNES DIRECTRICES DU CEPD SUR LA TRANSPARENCE
Le CEPD (anciennement Groupe de travail article 29) a adopté des lignes directrices sur la transparence au sens du règlement (UE) 2016/679 (lignes directrices WP260 rev.01, adoptées le 11 avril 2018, révisées le 4 mai 2021).
Ces lignes directrices précisent notamment que « les responsables de traitement doivent indiquer clairement quelle base juridique s’applique à quelle finalité de traitement » et que « si plusieurs bases juridiques s’appliquent à un traitement, elles doivent toutes être mentionnées ». Elles ajoutent que « l’information doit être exacte et à jour » et que « toute modification substantielle de l’information fournie doit être portée à la connaissance des personnes concernées ».
2. TROIS CATÉGORIES DE DÉFAILLANCES DANS L’INFORMATION FOURNIE
La CNIL a relevé que « l’information fournie sur le site web de la société était imprécise, en particulier parce qu’elle ne liait pas clairement les finalités des traitements aux bases légales correspondantes ». L’information était également incomplète sur certains points (absence de mention relative à la finalité du traitement de publicité ciblée et à la durée de conservation des données des adhérents au programme de fidélité) et/ou erronée (l’information relative au transfert des données renvoyant au « bouclier de protection des données », qui n’est plus en vigueur).
Cette analyse de la CNIL identifie trois catégories distinctes de défaillances :
A. L’IMPRÉCISION : ABSENCE DE LIEN CLAIR ENTRE FINALITÉS ET BASES LÉGALES
La première catégorie de défaillance concerne l’imprécision de l’information fournie. La CNIL reproche à la société de ne pas avoir lié clairement les finalités des traitements aux bases légales correspondantes.
Cette exigence de clarté dans l’indication de la base légale applicable à chaque finalité découle directement de l’article 13, §1, c) du RGPD, qui impose au responsable de traitement de communiquer « les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ». Le CEPD a précisé dans ses lignes directrices sur la transparence que « les responsables de traitement doivent indiquer clairement quelle base juridique s’applique à quelle finalité de traitement ».
En pratique, cette exigence signifie que la politique de confidentialité doit présenter, pour chaque finalité de traitement, la base légale applicable. Par exemple :
—-« Gestion de votre compte client : traitement nécessaire à l’exécution du contrat (article 6, §1, b) du RGPD) »
—-« Envoi d’offres promotionnelles par courrier électronique : consentement (article 6, §1, a) du RGPD) »
—-« Analyses statistiques de nos ventes : intérêt légitime de la société (article 6, §1, f) du RGPD) »
Une présentation qui se contenterait d’indiquer de manière générale que « nous traitons vos données sur la base du contrat, de votre consentement et de notre intérêt légitime », sans préciser quelle base juridique s’applique à quelle finalité, ne satisferait pas à l’exigence de clarté.
B. L’INCOMPLÉTUDE : ABSENCE DE MENTION DE CERTAINES FINALITÉS ET DURÉES DE CONSERVATION
La deuxième catégorie de défaillance concerne l’incomplétude de l’information fournie. La CNIL reproche à la société deux lacunes spécifiques :
1., l’absence de mention relative à la finalité du traitement de publicité ciblée. Cette lacune est particulièrement grave car elle concerne précisément le traitement qui fait l’objet du principal manquement retenu par la CNIL (absence de base légale). L’omission de mentionner une finalité substantielle du traitement, telle que la transmission de données à un tiers aux fins de publicité ciblée, prive la personne concernée d’une information essentielle pour comprendre le sort réservé à ses données.
L’article 13, §1, c) du RGPD impose expressément la communication des « finalités du traitement ». L’omission d’une finalité constitue donc un manquement direct à cette obligation. Cette omission est d’autant plus problématique qu’elle concerne une finalité qui présente des risques significatifs pour la vie privée des personnes (transmission de données à un tiers, profilage, croisement de données).
2., l’absence de mention de la durée de conservation des données des adhérents au programme de fidélité. Cette lacune constitue un manquement à l’article 13, §2, a) du RGPD, qui impose au responsable de traitement de communiquer « la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ».
L’indication de la durée de conservation constitue une information essentielle pour permettre aux personnes concernées de comprendre pendant combien de temps leurs données seront conservées et d’exercer leurs droits en connaissance de cause. L’omission de cette information prive les personnes de la possibilité d’apprécier l’ampleur temporelle du traitement et de demander, le cas échéant, l’effacement de leurs données lorsque la durée de conservation est excessive.
C. L’ERREUR : RÉFÉRENCE À UN MÉCANISME DE TRANSFERT INVALIDÉ (PRIVACY SHIELD)
La troisième catégorie de défaillance concerne l’exactitude de l’information fournie. La CNIL reproche à la société d’avoir mentionné dans sa politique de confidentialité que le transfert des données s’effectuait sur la base du « bouclier de protection des données » (Privacy Shield), alors que ce mécanisme n’est plus en vigueur depuis son invalidation par la CJUE dans l’arrêt Schrems II du 16 juillet 2020.
Cette erreur est particulièrement problématique pour plusieurs raisons :
1., elle témoigne d’un défaut de vigilance et de mise à jour de la documentation de la société. L’arrêt Schrems II, rendu le 16 juillet 2020 par la grande chambre de la CJUE (CJUE, grande chambre, 16 juillet 2020, Data Protection Commissioner c. Facebook Ireland e.a., C-311/18), a invalidé la décision d’adéquation 2016/1250 relative au bouclier de protection UE-États-Unis. Cet arrêt a fait l’objet d’une large publicité et a été commenté par l’ensemble des autorités de protection des données européennes, dont la CNIL. Au moment des contrôles réalisés par la CNIL en janvier 2023, soit plus de deux ans et demi après l’arrêt Schrems II, la référence au Privacy Shield aurait dû depuis longtemps être supprimée de la politique de confidentialité de la société.
2., cette erreur concerne une information particulièrement sensible, relative aux transferts de données hors de l’Union européenne. Les transferts de données vers des pays tiers constituent l’une des opérations de traitement les plus risquées pour les droits et libertés des personnes, car elles peuvent conduire à ce que les données soient soumises à des législations offrant un niveau de protection inférieur à celui garanti par le RGPD. L’information relative aux garanties encadrant ces transferts est donc essentielle pour permettre aux personnes concernées d’apprécier les risques auxquels leurs données sont exposées.
3., cette erreur est susceptible d’induire les personnes concernées en erreur sur les garanties dont bénéficient leurs données transférées. Une personne qui lit dans la politique de confidentialité que ses données sont transférées sur la base du Privacy Shield peut légitimement penser que ces transferts sont encadrés par un mécanisme validé par la Commission européenne et offrant des garanties appropriées, alors qu’en réalité ce mécanisme a été invalidé et que les transferts pourraient ne pas être conformes au RGPD.
4. UNE APPLICATION COHÉRENTE DU PRINCIPE DE TRANSPARENCE
La position de la CNIL sur ce manquement s’inscrit dans une application cohérente du principe de transparence, qui est l’un des piliers fondamentaux du RGPD. Elle appelle plusieurs observations critiques.
A. LA DISTINCTION ENTRE TROIS CATÉGORIES DE DÉFAILLANCES : IMPRÉCISION, INCOMPLÉTUDE, ERREUR
La CNIL structure son analyse en distinguant trois catégories de défaillances : l’imprécision (absence de lien clair entre finalités et bases légales), l’incomplétude (absence de mention de certaines finalités et durées de conservation) et l’erreur (référence à un mécanisme de transfert invalidé).
Cette distinction est pertinente car elle correspond aux différentes facettes de l’obligation de transparence telle que définie par l’article 12, §1 du RGPD, qui impose que l’information soit fournie « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
L’imprécision est contraire à l’exigence de clarté (« termes clairs et simples »). L’incomplétude est contraire à l’exigence de fournir « toute information visée aux articles 13 et 14 ». L’erreur est contraire à l’exigence d’exactitude qui, bien que non explicitement mentionnée à l’article 12, découle nécessairement du principe de transparence (une information inexacte est par nature non transparente).
B. L’EXIGENCE DE LIER CLAIREMENT LES FINALITÉS AUX BASES LÉGALES : UNE PRÉCISION BIENVENUE
Le reproche fait par la CNIL concernant l’absence de lien clair entre finalités et bases légales mérite d’être particulièrement souligné. Cette exigence, bien que découlantnaturellement de l’article 13, §1, c) du RGPD, n’est pas toujours respectée en pratique.
De nombreuses politiques de confidentialité se contentent de présenter d’une part une liste de finalités de traitement, d’autre part une liste de bases légales invoquées, sans établir clairement la correspondance entre les deux. Cette présentation est insuffisante car elle ne permet pas aux personnes concernées de comprendre sur quelle base juridique repose chaque traitement spécifique.
Les lignes directrices du CEPD sur la transparence confirment cette interprétation en précisant que « les responsables de traitement doivent indiquer clairement quelle base juridique s’applique à quelle finalité de traitement ». La CNIL applique donc ici de manière rigoureuse les standards européens en matière de transparence.
C. L’OMISSION DE LA FINALITÉ DE PUBLICITÉ CIBLÉE : UNE LACUNE GRAVE
L’absence de mention de la finalité du traitement de publicité ciblée constitue une lacune particulièrement grave. Cette omission prive les personnes concernées d’une information essentielle sur une opération de traitement qui présente des risques significatifs pour leur vie privée (transmission de données à un tiers, profilage, croisement de données).
L’article 13, §1, c) du RGPD impose expressément la communication des « finalités du traitement ». L’omission d’une finalité substantielle constitue donc un manquement direct et caractérisé à cette obligation.
Cette lacune est d’autant plus problématique qu’elle concerne précisément la finalité pour laquelle la société a été sanctionnée pour absence de base légale. L’absence d’information sur cette finalité et l’absence de consentement valable pour cette finalité sont ainsi intimement liées : les personnes n’ont pas été informées de la transmission de leurs données au réseau social et n’ont pas consenti à cette transmission.
D. LA RÉFÉRENCE AU PRIVACY SHIELD INVALIDÉ : UN DÉFAUT DE VIGILANCE CARACTÉRISÉ
Le reproche concernant la référence au Privacy Shield dans la politique de confidentialité, plus de deux ans et demi après son invalidation par la CJUE, révèle un défaut manifeste de vigilance de la part de la société.
L’arrêt Schrems II du 16 juillet 2020 constitue l’un des arrêts les plus importants rendus par la CJUE en matière de protection des données personnelles au cours des dernières années. Il a fait l’objet d’une large couverture médiatique, de nombreux commentaires doctrinaux, et de communications détaillées de la part de l’ensemble des autorités de protection des données européennes, dont la CNIL. Tout responsable de traitement effectuant des transferts de données vers les États-Unis devait nécessairement avoir connaissance de cet arrêt et de ses conséquences.
Le fait que la société n’ait pas mis à jour sa politique de confidentialité pour supprimer la référence au Privacy Shield et la remplacer par la mention du mécanisme de transfert effectivement utilisé (clauses contractuelles types, règles d’entreprise contraignantes, ou après le 10 juillet 2023, adhésion au Data Privacy Framework) témoigne d’un défaut de gouvernance de la protection des données.
Ce défaut de vigilance est d’autant plus problématique qu’il concerne une information particulièrement sensible, relative aux transferts de données hors de l’Union européenne, et qu’il est susceptible d’induire les personnes concernées en erreur sur les garanties dont bénéficient leurs données.
E. UNE LACUNE DE LA MOTIVATION : ABSENCE DE PRÉCISION SUR LES TRANSFERTS EFFECTIVEMENT RÉALISÉS
La délibération ne précise pas si la société effectuait effectivement des transferts de données vers des pays tiers, ni le cas échéant, sur quel mécanisme de transfert elle s’appuyait au moment du contrôle. Cette absence de précision constitue une lacune de la motivation qui pourrait affaiblir la démonstration du manquement en cas de recours contentieux.
En effet, si la société n’effectuait pas de transferts de données vers des pays tiers au moment du contrôle, la référence au Privacy Shield dans sa politique de confidentialité constituerait certes une erreur, mais sans conséquence pratique immédiate pour les personnes concernées. La gravité de l’erreur serait alors moindre.
À l’inverse, si la société effectuait effectivement des transferts vers les États-Unis (par exemple du fait de la transmission de données au réseau social, si celui-ci transfère ensuite ces données vers ses serveurs situés aux États-Unis), et si ces transferts n’étaient pas encadrés par un mécanisme conforme au RGPD, le manquement serait beaucoup plus grave car il concernerait non seulement l’information fournie aux personnes, mais également la conformité substantielle des transferts eux-mêmes.
Une précision sur ce point aurait permis de clarifier la portée exacte du manquement et d’apprécier plus finement sa gravité.
C. LE MANQUEMENT À L’OBLIGATION D’ASSURER LA SÉCURITÉ DES DONNÉES (ARTICLE 32 DU RGPD) : UNE POLITIQUE DE MOTS DE PASSE INSUFFISAMMENT ROBUSTE ET UN STOCKAGE INADAPTÉ
1. L’OBLIGATION DE SÉCURITÉ DES DONNÉES PERSONNELLES
A. LES DISPOSITIONS APPLICABLES
L’article 32, §1 du RGPD dispose que « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : a) la pseudonymisation et le chiffrement des données à caractère personnel ; b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».
L’article 32, §2 du RGPD précise que « lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».
B. LA RECOMMANDATION DE LA CNIL RELATIVE AUX MOTS DE PASSE
La CNIL a adopté une délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés. Cette recommandation, bien que non impérative, fournit un éclairage pertinent sur les mesures qu’il convient de prendre en matière de sécurité des mots de passe.
Elle prévoit que pour assurer un niveau de sécurité et de confidentialité suffisant, dans l’hypothèse où l’authentification repose uniquement sur un identifiant et un mot de passe, ce dernier doit soit être composé d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles ; soit être d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire ; ou encore, lorsqu’il correspond à une phrase fondée sur des mots de la langue française, être composé d’au minimum 7 mots.
À défaut, la Commission considère que permet également d’assurer un niveau de sécurité et de confidentialité suffisant une authentification reposant sur un mot de passe d’une longueur minimum de 8 caractères, composé de 3 catégories de caractères différentes, dès lors qu’elle est accompagnée d’une mesure complémentaire telle que la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : « captcha ») et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses (au maximum 10).
C. LES BONNES PRATIQUES EN MATIÈRE DE STOCKAGE SÉCURISÉ DES MOTS DE PASSE
La recommandation de la CNIL du 21 juillet 2022 précise également que « pour garantir la confidentialité des mots de passe, il est recommandé d’utiliser des fonctions cryptographiques adaptées au stockage de mots de passe (bcrypt, scrypt, PBKDF2, Argon2) » et que « les fonctions cryptographiques de type MD5, SHA-1, SHA-256 ou SHA-512 ne doivent pas être utilisées seules pour stocker des mots de passe ».
Cette recommandation s’appuie sur les bonnes pratiques établies par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et par la communauté internationale de la sécurité informatique. Les fonctions de hachage cryptographique classiques (telles que SHA-256) sont conçues pour être rapides et efficaces, ce qui les rend inadaptées au stockage de mots de passe. En effet, la rapidité de calcul de ces fonctions permet à un attaquant disposant d’une base de hachages de tester un très grand nombre de mots de passe possibles en un temps réduit, au moyen d’attaques par force brute ou par dictionnaire.
À l’inverse, les fonctions de dérivation de clés spécifiquement conçues pour le stockage de mots de passe (bcrypt, scrypt, Argon2, PBKDF2) sont volontairement lentes à calculer et nécessitent des ressources mémoire importantes, ce qui rend les attaques par force brute considérablement plus difficiles.
2. DEUX DÉFAILLANCES DISTINCTES EN MATIÈRE DE SÉCURITÉ
La CNIL a constaté que « les règles de complexité des mots de passe des comptes utilisateurs n’étaient pas suffisamment robustes ». En outre, la formation restreinte a rappelé que « la fonction de hachage SHA-256 ne permettait pas un stockage sécurisé des mots de passe ».
Ces constats révèlent deux défaillances distinctes en matière de sécurité :
A. L’INSUFFISANCE DES RÈGLES DE COMPLEXITÉ IMPOSÉES AUX UTILISATEURS
La première défaillance concerne les exigences de complexité imposées aux utilisateurs lors de la création de leurs mots de passe. La CNIL considère que ces règles n’étaient pas suffisamment robustes, c’est-à-dire qu’elles n’offraient pas un niveau de sécurité adapté au risque présenté par le traitement.
Bien que la délibération ne précise pas exactement quelles étaient les règles de complexité imposées par la société au moment du contrôle, on peut déduire de la formulation du reproche qu’elles étaient insuffisantes au regard de la recommandation de la CNIL du 21 juillet 2022. Probablement, la société imposait un mot de passe de longueur minimale inférieure à 12 caractères et/ou ne comportant pas un nombre suffisant de catégories de caractères différentes (majuscules, minuscules, chiffres, caractères spéciaux).
Cette insuffisance des règles de complexité présente un risque significatif car elle permet aux utilisateurs de choisir des mots de passe faibles, facilement devinables ou cassables par des attaques par dictionnaire. Or, les comptes utilisateurs sur le site web de la société permettent d’accéder à des données personnelles sensibles (historique d’achats, coordonnées, données de paiement enregistrées le cas échéant) et de réaliser des opérations importantes (effectuer des achats, modifier les données du compte, gérer les préférences de communication).
B. L’UTILISATION D’UNE FONCTION DE HACHAGE INADAPTÉE POUR LE STOCKAGE DES MOTS DE PASSE (SHA-256)
La deuxième défaillance concerne le stockage des mots de passe dans la base de données de la société. La CNIL reproche à la société d’avoir utilisé la fonction de hachage SHA-256 pour stocker les mots de passe, alors que cette fonction ne permet pas un stockage sécurisé.
Comme expliqué précédemment, la fonction SHA-256 est une fonction de hachage cryptographique conçue pour être rapide et efficace, ce qui la rend inadaptée au stockage de mots de passe. La rapidité de calcul de cette fonction permet à un attaquant disposant d’une base de hachages SHA-256 (par exemple obtenue à la suite d’une violation de données) de tester un très grand nombre de mots de passe possibles en un temps réduit.
Les bonnes pratiques en matière de sécurité, notamment celles recommandées par l’ANSSI et par la CNIL, préconisent l’utilisation de fonctions de dérivation de clés spécifiquement conçues pour le stockage de mots de passe, telles que bcrypt, scrypt, Argon2 ou PBKDF2. Ces fonctions sont volontairement lentes à calculer et nécessitent des ressources mémoire importantes, ce qui rend les attaques par force brute considérablement plus difficiles.
La recommandation de la CNIL du 21 juillet 2022 est explicite sur ce point, en précisant que « les fonctions cryptographiques de type MD5, SHA-1, SHA-256 ou SHA-512 ne doivent pas être utilisées seules pour stocker des mots de passe ».
4. : UNE APPLICATION STRICTE DES STANDARDS DE SÉCURITÉ
La position de la CNIL sur ce manquement s’inscrit dans une application stricte des standards de sécurité établis par la recommandation du 21 juillet 2022. Elle appelle plusieurs observations critiques.
A. LA PORTÉE DE L’OBLIGATION DE SÉCURITÉ : UNE OBLIGATION DE MOYENS RENFORCÉE
L’article 32 du RGPD instaure une obligation de moyens renforcée, consistant à mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation s’apprécie au regard d’un faisceau de critères : l’état des connaissances, les coûts de mise en œuvre, la nature, la portée, le contexte et les finalités du traitement, ainsi que les risques pour les droits et libertés des personnes.
La formation restreinte a déjà, à plusieurs reprises, sanctionné des responsables de traitement qui prévoyaient des mots de passe de connexion d’une robustesse insuffisante. Les délibérations n° SAN-2022-020 du 10 novembre 2022, n° SAN-2023-021 du 27 décembre 2023 et n° SAN-2023-023 du 29 décembre 2023 en constituent des exemples.
Cette jurisprudence témoigne de la vigilance particulière de la CNIL concernant la sécurité des mots de passe, qui constituent souvent le maillon faible de la sécurité des systèmes d’information. En effet, de nombreuses violations de données résultent de l’utilisation de mots de passe faibles ou de l’absence de mesures complémentaires de sécurité (authentification multifacteur, détection des comportements anormaux, etc.).
B. LA RECOMMANDATION DU 21 JUILLET 2022 : UN RÉFÉRENTIEL OPPOSABLE
Bien que la recommandation de la CNIL du 21 juillet 2022 ne soit pas juridiquement contraignante (elle n’a pas la valeur d’un texte réglementaire), elle constitue néanmoins un référentiel technique opposable aux responsables de traitement dans le cadre de l’appréciation du respect de l’article 32 du RGPD.
En effet, la recommandation traduit en termes opérationnels les exigences de l’article 32 du RGPD s’agissant de la sécurité des mots de passe. Elle s’appuie sur l’état de l’art en matière de sécurité informatique et a été élaborée en concertation avec l’ANSSI et d’autres experts du domaine.
Un responsable de traitement qui respecte les préconisations de la recommandation peut légitimement considérer qu’il satisfait à son obligation de sécurité s’agissant des mots de passe. À l’inverse, un responsable de traitement qui ne respecte pas ces préconisations s’expose à ce qu’un manquement à l’article 32 du RGPD soit caractérisé.
C. LE REPROCHE CONCERNANT SHA-256 : PLEINEMENT FONDÉ MAIS MÉRITERAIT DES PRÉCISIONS
Le reproche fait par la CNIL concernant l’utilisation de la fonction SHA-256 pour le stockage des mots de passe est pleinement fondé au regard des bonnes pratiques de sécurité. La recommandation de la CNIL du 21 juillet 2022 est explicite sur ce point, en précisant que « les fonctions cryptographiques de type MD5, SHA-1, SHA-256 ou SHA-512 ne doivent pas être utilisées seules pour stocker des mots de passe ».
Toutefois, la délibération aurait gagné en précision en indiquant si l’utilisation de SHA-256 était assortie de mesures complémentaires, telles que l’ajout d’un sel (salt) unique pour chaque mot de passe, l’application itérative de la fonction de hachage (technique dite du « key stretching »), ou l’ajout d’un poivre (pepper) secret.
En effet, si l’utilisation de SHA-256 sans aucune mesure complémentaire constitue une vulnérabilité critique, l’utilisation de SHA-256 avec un sel unique et une application itérative (par exemple 10 000 itérations) offre un niveau de sécurité significativement supérieur, même si inférieur à celui offert par les fonctions de dérivation de clés spécialisées (bcrypt, scrypt, Argon2, PBKDF2).
L’absence de précision sur ce point dans la délibération constitue une lacune qui pourrait affaiblir la démonstration du manquement en cas de recours contentieux. En effet, si la société démontrait qu’elle mettait en œuvre des mesures complémentaires robustes (sel unique, itérations multiples), elle pourrait arguer que le niveau de sécurité effectivement assuré était adapté au risque, même si la fonction utilisée n’était pas optimale.
D. L’ABSENCE DE VIOLATION DE DONNÉES : SANS INCIDENCE SUR L’EXISTENCE DU MANQUEMENT
Il est important de souligner que la CNIL ne mentionne pas de violation de données effective résultant des vulnérabilités en matière de mots de passe. Cette absence de violation n’est toutefois pas de nature à écarter l’existence du manquement.
En effet, l’obligation de sécurité prévue par l’article 32 du RGPD est une obligation de moyens, consistant à mettre en œuvre les mesures appropriées pour prévenir les risques, et non une obligation de résultat consistant à empêcher effectivement toute violation. Des défauts de sécurité peuvent être sanctionnés en tant que tels en raison du risque qu’ils ont fait peser sur l’intégrité des données traitées, même en l’absence de violation effective.
La CJUE a d’ailleurs confirmé cette interprétation dans son arrêt « Natsionalna agentsia za prihodite » du 14 décembre 2023 (C/2024/1065, point 47), en jugeant que l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement, pas plus que la survenance d’une violation de données ne suffit à caractériser en elle-même l’existence d’un manquement à l’article 32 du RGPD.
La formation restreinte de la CNIL sanctionne régulièrement des manquements à l’obligation de sécurité sans que ceux-ci soient nécessairement à l’origine d’une violation de données, tels qu’une politique de mot de passe insuffisamment robuste (délibération n° SAN-2018-009 du 6 septembre 2018), le stockage de mots de passe en clair (délibération n° SAN-2022-018 du 8 septembre 2022), l’absence de politique d’habilitation (délibération n° SAN-2021-019 du 29 octobre 2021), ou encore l’utilisation d’une version obsolète du protocole TLS (décision n° SANPS-2024-011 du 31 janvier 2024).
D. LE MANQUEMENT À L’OBLIGATION DE RÉALISER UNE ANALYSE D’IMPACT (ARTICLE 35 DU RGPD) : UN TRAITEMENT À RISQUE ÉLEVÉ NON PRÉCÉDÉ D’UNE AIPD
1. L’OBLIGATION DE RÉALISER UNE AIPD
A. LES DISPOSITIONS APPLICABLES
L’article 35, §1 du RGPD dispose que « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel ».
L’article 35, §3 du RGPD précise qu’une AIPD est notamment requise dans trois cas : « a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ; b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, §1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; c) la surveillance systématique à grande échelle d’une zone accessible au public ».
B. LES LIGNES DIRECTRICES DU CEPD CONCERNANT L’ANALYSE D’IMPACT
Le CEPD (anciennement Groupe de travail article 29) a adopté des lignes directrices concernant l’analyse d’impact relative à la protection des données (lignes directrices WP 248 rev.01, adoptées le 4 octobre 2017).
Ces lignes directrices identifient neuf critères permettant de déterminer si un traitement est susceptible d’engendrer un risque élevé, parmi lesquels : l’évaluation ou notation (scoring), y compris le profilage ; le traitement à grande échelle ; le croisement d’ensembles de données ; les données concernant des personnes vulnérables ; l’utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles ; le traitement qui empêche les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat.
Les lignes directrices précisent que « si le traitement répond à au moins deux des critères listés, le responsable de traitement devrait, en principe, effectuer une AIPD ».
C. LA LISTE DES TYPES DE TRAITEMENT POUR LESQUELS UNE AIPD EST REQUISE, ÉTABLIE PAR LA CNIL
La CNIL a publié une liste des types d’opérations de traitement pour lesquelles une AIPD est requise (délibération n° 2018-327 du 11 octobre 2018). Cette liste comprend notamment « les traitements ayant pour finalité le ciblage/profilage pouvant entraîner une exclusion du bénéfice d’un contrat, d’un service ou d’une prestation ».
2. UN TRAITEMENT À RISQUE ÉLEVÉ JUSTIFIANT LA RÉALISATION D’UNE AIPD
La CNIL a constaté que « la société n’avait pas réalisé d’analyse d’impact sur la protection des données (AIPD) avant la mise en œuvre du traitement de publicité ciblée sur le réseau social, alors même que ce traitement impliquait un volume important de données personnelles, un croisement de données ».
Un tel traitement était susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées et aurait donc dû donner lieu à la réalisation préalable d’une AIPD.
A. LES CRITÈRES DE QUALIFICATION DE TRAITEMENT À RISQUE ÉLEVÉ RETENUS PAR LA CNIL
La CNIL se fonde sur deux critères cumulatifs pour qualifier le traitement de traitement à risque élevé :
1., le volume important de données personnelles traitées. La société a reconnu que les données de l’ensemble des adhérents à son programme de fidélité, à savoir plus de 10,5 millions de personnes, avaient été transmises au réseau social. Ce chiffre caractérise incontestablement un traitement « à grande échelle » au sens des lignes directrices du CEPD.
2., le croisement de données. Le traitement en cause implique nécessairement un croisement entre les données du programme de fidélité détenues par la société (identité, coordonnées, historique d’achats, préférences commerciales) et les données détenues par le réseau social sur ses utilisateurs (profil, centres d’intérêt, activités sur le réseau, connexions sociales, géolocalisation, etc.). Ce croisement permet de créer un profilage particulièrement précis des personnes, combinant des informations sur leurs comportements d’achat et leurs comportements en ligne.
B. L’OBLIGATION DE RÉALISER UNE AIPD PRÉALABLEMENT À LA MISE EN ŒUVRE DU TRAITEMENT
La CNIL souligne que l’AIPD aurait dû être réalisée « avant la mise en œuvre du traitement de publicité ciblée sur le réseau social ». Cette exigence de réalisation préalable découle directement de l’article 35, §1 du RGPD, qui précise que le responsable de traitement effectue « avant le traitement » une analyse de l’impact.
L’objectif de l’AIPD est précisément d’identifier et d’évaluer les risques présentés par le traitement envisagé, afin de déterminer les mesures techniques et organisationnelles appropriées pour atténuer ces risques, avant la mise en œuvre effective du traitement. Une AIPD réalisée a posteriori, après que le traitement a déjà été mis en œuvre, ne remplit pas cette fonction préventive et ne satisfait pas à l’obligation prévue par l’article 35 du RGPD.
4. : UNE APPLICATION COHÉRENTE DU CRITÈRE DE RISQUE ÉLEVÉ
La position de la CNIL sur ce manquement s’inscrit dans une application cohérente du critère de risque élevé défini par l’article 35 du RGPD et précisé par les lignes directrices du CEPD. Elle appelle plusieurs observations critiques.
A. LA CORRESPONDANCE DU TRAITEMENT AVEC LES CRITÈRES DU CEPD
Le traitement de publicité ciblée sur réseau social mis en œuvre par la société correspond manifestement à plusieurs des critères identifiés par le CEPD dans ses lignes directrices WP 248 rev.01 :
1., l’évaluation ou notation (scoring), y compris le profilage. La publicité ciblée implique nécessairement une forme de profilage des utilisateurs en fonction de leurs caractéristiques et comportements. En l’espèce, le réseau social utilise les données transmises par la société (appartenance au programme de fidélité, achats effectués) pour identifier des segments d’utilisateurs présentant des caractéristiques ou comportements similaires, et leur afficher des publicités personnalisées.
2., le traitement à grande échelle. Avec plus de 10,5 millions de personnes concernées, le traitement en cause répond incontestablement au critère de grande échelle. Les lignes directrices du CEPD précisent d’ailleurs que constituent des facteurs à prendre en compte pour déterminer si un traitement est à grande échelle : le nombre de personnes concernées, le volume de données traitées, la durée de l’activité de traitement, et l’étendue géographique de l’activité de traitement. En l’espèce, ces quatre facteurs plaident pour la qualification de traitement à grande échelle.
3., le croisement d’ensembles de données. Le traitement implique le croisement des données du programme de fidélité (détenues par la société) avec les données des utilisateurs du réseau social (détenues par le réseau social). Ce croisement permet d’enrichir considérablement le profil des personnes concernées et d’accroître les capacités de ciblage.
Les lignes directrices du CEPD précisent que « si le traitement répond à au moins deux des critères listés, le responsable de traitement devrait, en principe, effectuer une AIPD ». En l’espèce, le traitement répond manifestement à trois critères (profilage, traitement à grande échelle, croisement de données), ce qui justifie pleinement la qualification de traitement à risque élevé retenue par la CNIL.
B. LE RAPPROCHEMENT AVEC LA LISTE DES TRAITEMENTS POUR LESQUELS UNE AIPD EST REQUISE
Bien que le traitement en cause ne semble pas directement correspondre aux catégories de traitement listées dans la délibération n° 2018-327 du 11 octobre 2018 de la CNIL, il s’en rapproche suffisamment pour justifier une analyse approfondie de ses risques au moyen d’une AIPD.
En effet, cette liste comprend notamment « les traitements ayant pour finalité le ciblage/profilage pouvant entraîner une exclusion du bénéfice d’un contrat, d’un service ou d’une prestation ». Bien que le traitement en cause ne semble pas directement entraîner une exclusion d’un service, il s’agit néanmoins d’un traitement ayant pour finalité le ciblage/profilage.
Cette proximité avec les catégories listées par la CNIL constitue un indice supplémentaire de la nécessité de réaliser une AIPD.
C. L’OBLIGATION DE RÉALISER UNE AIPD : UNE OBLIGATION DE MOYEN INDÉPENDANTE DE LA CONFORMITÉ SUBSTANTIELLE DU TRAITEMENT
Il est important de souligner que l’obligation de réaliser une AIPD est une obligation de moyen et non de résultat. L’absence de réalisation d’une AIPD constitue un manquement en soi, indépendamment de la question de savoir si le traitement mis en œuvre présente effectivement des risques insuffisamment maîtrisés.
Comme l’a précisé le CEPD dans ses lignes directrices, « l’absence de réalisation d’une AIPD lorsqu’elle était requise constitue un manquement à l’article 35 du RGPD, que le traitement soit ou non conforme aux autres dispositions du RGPD ».
Cette interprétation est conforme à la logique du RGPD, qui instaure un principe d’« accountability » (responsabilité) consistant à ce que le responsable de traitement soit en mesure de démontrer qu’il a pris les mesures appropriées pour assurer la conformité de ses traitements. L’AIPD constitue précisément l’un des outils permettant au responsable de traitement de démontrer qu’il a procédé à une analyse rigoureuse des risques et mis en œuvre les mesures appropriées pour les atténuer.
L’absence de réalisation d’une AIPD prive le responsable de traitement de cet outil de démonstration et constitue donc un manquement au principe d’accountability.
D. UNE QUESTION NON ABORDÉE : LES CONSÉQUENCES DE L’ABSENCE D’AIPD SUR LA VALIDITÉ DU TRAITEMENT
La délibération ne se prononce pas sur la question de savoir si l’absence de réalisation d’une AIPD aurait dû conduire la société à ne pas mettre en œuvre le traitement en cause.
En effet, l’article 35, §7 du RGPD prévoit que l’AIPD contient au minimum « a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ; b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ; c) une évaluation des risques pour les droits et libertés des personnes concernées […] ; d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel ».
En outre, l’article 36, §1 du RGPD dispose que « le responsable du traitement consulte l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données […] indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ».
Si la société avait réalisé une AIPD préalablement à la mise en œuvre du traitement de publicité ciblée, cette AIPD aurait très probablement révélé que le traitement présentait un risque élevé pour les droits et libertés des personnes concernées, notamment en raison de l’absence de consentement valable. Dans ce cas, la société aurait dû soit mettre en œuvre des mesures pour atténuer ce risque (notamment en recueillant un consentement valable), soit consulter la CNIL préalablement au traitement conformément à l’article 36 du RGPD.
L’absence de réalisation d’une AIPD a donc privé la société de cette analyse critique qui aurait dû la conduire à renoncer au traitement en l’absence de consentement valable, ou à tout le moins à consulter la CNIL. Cette dimension aurait mérité d’être davantage explicitée dans la délibération.
E. LE MANQUEMENT AUX OBLIGATIONS LIÉES À L’UTILISATION DES COOKIES (ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS) : DÉPÔT ET LECTURE DE COOKIES SANS CONSENTEMENT
1. LES OBLIGATIONS RELATIVES AUX COOKIES ET TRACEURS
A. LES DISPOSITIONS PERTINENTES DE LA LOI INFORMATIQUE ET LIBERTÉS
L’article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».
Cet article transpose en droit français l’article 5, §3 de la directive 2002/58/CE dite « ePrivacy », qui dispose que « les États membres garantissent que le stockage d’informations ou l’obtention de l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur concerné ait donné son consentement, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement ».
B. LES LIGNES DIRECTRICES ET LA RECOMMANDATION DE LA CNIL RELATIVES AUX COOKIES
La CNIL a publié des lignes directrices et une recommandation relatives aux cookies et autres traceurs :
—-Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur ;
—-Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».
Ces lignes directrices précisent notamment que :
—-Le consentement doit être recueilli avant le dépôt des cookies soumis à consentement ;
—-Le refus doit être aussi simple que l’acceptation ;
—-Les cookies déposés avant le recueil du consentement doivent être supprimés lorsque l’utilisateur refuse leur dépôt ;
—-Les choix de l’utilisateur doivent être conservés pendant une durée maximale de six mois.
C. LA JURISPRUDENCE DE LA CJUE RELATIVE AU CONSENTEMENT AUX COOKIES
La CJUE a précisé dans son arrêt Planet49 du 1er octobre 2019 (C-673/17) que « le consentement au stockage d’informations, ou au fait de donner accès à des informations déjà stockées, dans l’équipement terminal d’un utilisateur doit être donné avant ledit stockage ou ledit accès » (point 62).
La CJUE a également jugé que « un consentement recueilli au moyen d’une case pré-cochée ne peut être considéré comme une manifestation de volonté active et univoque » (point 64) et que « le consentement doit être spécifique, ce qui signifie que lorsque différentes opérations de traitement sont effectuées, le consentement doit être donné pour chacune d’entre elles » (point 59).
2. UN DOUBLE MANQUEMENT EN MATIÈRE DE COOKIES
La CNIL a constaté que « lorsqu’un utilisateur se rendait sur le site web de la société, onze cookies soumis à consentement étaient déposés sur son terminal, avant même qu’il n’ait exprimé un choix ». De plus, « même lorsque l’utilisateur refusait le dépôt et la lecture des cookies non essentiels, les onze cookies déposés n’étaient pas supprimés du navigateur et continuaient à être lus, en violation des règles applicables ».
Ce double manquement révèle deux violations distinctes :
A. LE DÉPÔT DE COOKIES AVANT LE RECUEIL DU CONSENTEMENT
Le premier manquement concerne le dépôt de onze cookies soumis à consentement avant même que l’utilisateur n’ait exprimé un choix. Cette pratique, communément appelée « cookies walls » ou « pré-dépôt de cookies », constitue une violation manifeste de l’article 82 de la loi Informatique et Libertés et de la jurisprudence Planet49 de la CJUE.
En effet, l’exigence de consentement préalable signifie que les cookies soumis à consentement ne peuvent être déposés sur le terminal de l’utilisateur qu’après que celui-ci a exprimé son accord par un acte positif clair (par exemple en cliquant sur un bouton « Accepter » ou en cochant des cases correspondant aux finalités pour lesquelles il consent).
Le dépôt de cookies avant le recueil du consentement prive ce dernier de tout effet utile, puisque les cookies sont déjà actifs au moment où l’utilisateur est censé exprimer son choix. Cette pratique est d’autant plus problématique qu’elle permet au responsable de traitement de collecter des données sur l’utilisateur (par exemple des données de navigation, des identifiants uniques) dès l’instant où celui-ci accède au site web, avant même qu’il ait pu prendre connaissance des informations relatives aux cookies et exprimer son consentement.
B. LA PERSISTANCE DES COOKIES ET LEUR LECTURE APRÈS LE REFUS DE L’UTILISATEUR
Le deuxième manquement concerne la persistance des cookies et leur lecture après que l’utilisateur a refusé leur dépôt. La CNIL constate que « même lorsque l’utilisateur refusait le dépôt et la lecture des cookies non essentiels, les onze cookies déposés n’étaient pas supprimés du navigateur et continuaient à être lus ».
Cette pratique constitue une atteinte particulièrement grave à l’effectivité du consentement. En effet, si l’utilisateur exprime un refus mais que les cookies restent actifs et continuent à être lus, ce refus est totalement privé d’effet. L’utilisateur a l’illusion d’avoir exercé un contrôle sur les cookies déposés sur son terminal, alors qu’en réalité ses préférences ne sont pas respectées.
Les lignes directrices de la CNIL du 17 septembre 2020 sont explicites sur ce point, en précisant que « lorsque l’utilisateur refuse le dépôt de cookies, sa décision doit être respectée et les cookies déjà déposés doivent être supprimés ou ne plus être lus ».
4. : UNE APPLICATION STRICTE DE LA DOCTRINE COOKIES DE LA CNIL
La position de la CNIL sur ce manquement s’inscrit dans une application stricte de sa doctrine relative aux cookies, telle qu’exprimée dans les lignes directrices et la recommandation du 17 septembre 2020. Elle appelle plusieurs observations critiques.
A. LE DÉPÔT DE COOKIES AVANT LE CONSENTEMENT : UNE VIOLATION MANIFESTE
Le dépôt de onze cookies soumis à consentement avant même que l’utilisateur n’ait exprimé un choix constitue une violation manifeste de l’article 82 de la loi Informatique et Libertés.
La CNIL a adopté une position particulièrement stricte dans sa recommandation du 17 septembre 2020, en précisant que « le consentement doit être recueilli avant toute action consistant à lire ou écrire des informations dans le terminal de l’utilisateur ». Cette exigence de consentement préalable a été confirmée par la jurisprudence de la CJUE dans l’arrêt Planet49, qui a jugé que « le consentement au stockage d’informations, ou au fait de donner accès à des informations déjà stockées, dans l’équipement terminal d’un utilisateur doit être donné avant ledit stockage ou ledit accès » (point 62).
Cette interprétation est conforme à la logique du consentement telle que définie par le RGPD : le consentement doit permettre à la personne concernée d’exercer un contrôle effectif sur l’utilisation de ses données, ce qui implique nécessairement qu’il soit recueilli avant que le traitement ne commence.
B. LA PERSISTANCE DES COOKIES APRÈS LE REFUS : UNE ATTEINTE À L’EFFECTIVITÉ DU CONSENTEMENT
La persistance des cookies et leur lecture après que l’utilisateur a exprimé un refus constitue une atteinte particulièrement grave à l’effectivité du consentement.
L’un des principes fondamentaux du droit à la protection des données est que les personnes concernées doivent pouvoir exercer un contrôle effectif sur l’utilisation de leurs données. Ce contrôle implique non seulement la possibilité de consentir ou de refuser, mais également que ces choix soient effectivement respectés.
En l’espèce, le fait que les cookies restent actifs et continuent à être lus après que l’utilisateur a exprimé un refus prive ce dernier de toute effectivité. L’utilisateur a l’illusion d’avoir exercé un contrôle sur les cookies, alors qu’en réalité son choix n’est pas respecté.
Cette pratique est d’autant plus problématique qu’elle peut conduire à une perte de confiance des utilisateurs envers les mécanismes de gestion des cookies. Si les utilisateurs constatent que leurs choix ne sont pas respectés, ils risquent de perdre confiance dans l’ensemble du système de gestion des cookies et de considérer que leurs préférences sont de toute façon ignorées.
C. UNE LACUNE DE LA DÉLIBÉRATION : ABSENCE DE PRÉCISION SUR LA NATURE DES COOKIES
La délibération ne précise pas la nature exacte des onze cookies en cause. S’agissait-il de cookies publicitaires, de cookies de mesure d’audience, de cookies de réseaux sociaux, de cookies de personnalisation du contenu ?
Cette précision aurait permis d’apprécier plus finement la gravité du manquement. En effet, le dépôt de cookies publicitaires sans consentement est généralement considéré comme plus grave que le dépôt de cookies de mesure d’audience, dans la mesure où les cookies publicitaires permettent un suivi plus intrusif de l’utilisateur et sont souvent partagés avec de nombreux tiers.
De même, la délibération ne précise pas si certains de ces cookies pouvaient bénéficier d’une exemption de consentement (cookies strictement nécessaires au fonctionnement du site, cookies de mesure d’audience exemptés sous certaines conditions). Cette précision aurait permis de vérifier que la CNIL avait bien pris en compte les éventuelles exemptions applicables et n’avait retenu comme manquement que le dépôt de cookies effectivement soumis à consentement.
D. LA COHÉRENCE AVEC LA JURISPRUDENCE DE LA FORMATION RESTREINTE
Le manquement retenu par la CNIL s’inscrit dans une jurisprudence désormais bien établie de la formation restreinte en matière de cookies.
La formation restreinte a prononcé de nombreuses sanctions pour des pratiques similaires, notamment dans les affaires suivantes :
—-Délibération SAN-2020-012 du 7 décembre 2020 sanctionnant Google LLC et Google Ireland Limited de 90 et 60 millions d’euros respectivement pour dépôt de cookies publicitaires sur google.fr sans consentement préalable ;
—-Délibération SAN-2020-013 du 10 décembre 2020 sanctionnant Amazon Europe Core de 35 millions d’euros pour dépôt de cookies publicitaires sur amazon.fr sans consentement préalable ;
—-Plusieurs autres délibérations sanctionnant des sites web pour des pratiques similaires.
Cette jurisprudence témoigne de la vigilance particulière de la CNIL concernant le respect des règles relatives aux cookies, qui constituent l’un des principaux vecteurs de collecte de données personnelles sur internet.
IV. LES MOYENS DE DÉFENSE DE LA SOCIÉTÉ ET LEUR ANALYSE
Bien que la délibération publiée ne rapporte pas de manière exhaustive l’ensemble des arguments de défense présentés par la société au cours de la procédure, plusieurs éléments peuvent être déduits de la structure de l’argumentation de la formation restreinte et des références implicites à certains moyens de défense.
A. LES MOYENS DE DÉFENSE RELATIFS AU MANQUEMENT À L’OBLIGATION DE DISPOSER D’UNE BASE LÉGALE
S’agissant du manquement à l’obligation de disposer d’une base légale pour le traitement de publicité ciblée, la société a manifestement fait valoir que le consentement recueilli lors de l’adhésion au programme de fidélité, autorisant la réception de prospection commerciale par SMS et/ou courrier électronique, couvrait également la transmission de données à des fins de publicité ciblée sur réseau social.
Cet argument repose sur une interprétation extensive de la portée du consentement, qui assimile deux finalités de traitement distinctes. La formation restreinte a rejeté cet argument en appliquant le principe de granularité du consentement, selon lequel un consentement distinct doit être recueilli pour chaque finalité de traitement.
B. LES MOYENS DE DÉFENSE RELATIFS AU MONTANT DE L’AMENDE
1. L’ARGUMENT DE LA DISPROPORTION ET DU CARACTÈRE EXCESSIF DU MONTANT PROPOSÉ
La société a contesté le montant proposé par la rapporteure, le jugeant « disproportionné et excessif au regard de la réalité de l’atteinte portée aux droits des personnes ».
Cet argument classique en matière de contentieux des sanctions administratives repose sur l’idée que le montant de l’amende doit être strictement proportionné à la gravité des manquements et ne peut excéder ce qui est nécessaire pour atteindre les objectifs de dissuasion et de sanction.
2. L’ARGUMENT DE LA DÉGRADATION DE LA SITUATION ÉCONOMIQUE
La société a invoqué sa situation économique qui s’est dégradée en 2024, ainsi que « les conséquences que pourraient avoir une sanction financière élevée sur son activité ». Elle a fait valoir que son résultat net a baissé, passant de euros en 2023 à euros en 2024, et a illustré « les spécificités de son modèle économique ainsi que la faible marge caractéristique de son secteur d’activité ».
Cet argument vise à obtenir une modération du montant de l’amende en raison de la situation financière de la société et de sa capacité contributive. La formation restreinte a partiellement pris en compte cet argument en analysant l’ensemble des éléments financiers de la société, tout en relevant que malgré la baisse du résultat net, « l’analyse de l’ensemble des éléments financiers de la société démontre que celle-ci n’est pas, contrairement à ce qu’elle affirme, dans une situation économique dégradée, comme en attestent notamment la trésorerie disponible et les réserves dont disposait la société en 2023 ».
C. LES MOYENS DE DÉFENSE RELATIFS À L’INJONCTION
La société a soutenu que « le prononcé d’une injonction est sans objet, dès lors qu’elle a déployé des mesures de mise en conformité en cours de procédure ».
Cet argument a été accueilli par la formation restreinte, qui a considéré que compte tenu des éléments développés et de la mise en conformité de la société s’agissant de l’ensemble des manquements relevés, « il n’y a pas lieu de prononcer d’injonction ».
Cette décision témoigne du caractère pragmatique de l’approche de la formation restreinte : lorsque les manquements ont cessé et que des mesures de mise en conformité ont été déployées, le prononcé d’une injonction n’apporte aucune valeur ajoutée et peut même être contre-productif.
D. LES MOYENS DE DÉFENSE RELATIFS À LA PUBLICITÉ DE LA SANCTION
La société a contesté la proposition de la rapporteure de rendre publique la délibération, au motif notamment « qu’une telle publicité risque de fragiliser son équilibre commercial ainsi que la confiance de ses adhérents, sans pour autant apporter de bénéfice à l’intérêt général et tout en favorisant ses concurrents ».
La formation restreinte a partiellement accueilli cet argument en décidant de publier la décision sous forme anonymisée après un délai de deux ans. Elle a considéré que « la publicité de la présente décision est justifiée au regard des manquements en cause et du nombre de personnes concernées, le recours à la publicité ciblée sur le réseau social Z étant, notamment, une pratique répandue parmi les acteurs économiques ». Dans ce contexte, « il importe d’informer les personnes concernées sur les règles applicables en matière de consentement ».
Toutefois, la formation restreinte a considéré que « dans cette perspective, une publication de la décision sans que la société y soit nommément identifiée est suffisante ».
Cette décision constitue un compromis équilibré entre l’objectif de transparence et de dissuasion (qui justifie la publication de la décision) et la protection des intérêts commerciaux légitimes de la société (qui justifie l’anonymisation).
V. LA DÉTERMINATION DES SANCTIONS ET LES MESURES COMPLÉMENTAIRES
A. LE MONTANT DE L’AMENDE ADMINISTRATIVE : 3,5 MILLIONS D’EUROS
La formation restreinte a prononcé à l’encontre de la société une amende administrative d’un montant total de 3,5 millions d’euros, se décomposant comme suit :
—-2,5 millions d’euros au regard des manquements constitués aux articles 6, §1, a), 13, 32 et 35 du RGPD ;
—-1 million d’euros au regard du manquement constitué à l’article 82 de la loi Informatique et Libertés.
1. LES CRITÈRES PRIS EN COMPTE PAR LA FORMATION RESTREINTE
La formation restreinte rappelle qu’elle doit tenir compte des critères précisés à l’article 83, §2 du RGPD pour déterminer le montant de l’amende. Elle examine successivement plusieurs critères pertinents.
A. LA NATURE, LA GRAVITÉ ET LA DURÉE DE LA VIOLATION
La formation restreinte note tout d’abord que « plusieurs manquements relevés sont relatifs aux opérations de publicité ciblée réalisées sur le réseau social Z, pour les besoins desquelles la société transmettait au groupe Y les données à caractère personnel des adhérents à son programme de fidélité ».
Elle relève, 1., que deux de ces manquements concernent des principes fondamentaux de la protection des données, relatifs à la licéité du traitement et à l’information des personnes. Elle observe à cet égard que ces manquements entrent dans les prévisions de l’article 83, §5 du RGPD, et sont ainsi susceptibles d’être sanctionnés par l’amende la plus élevée prévue par le législateur européen.
2., la formation restreinte insiste sur « le nombre particulièrement élevé de personnes concernées, la société ayant reconnu que les données de l’ensemble des adhérents à son programme de fidélité, à savoir plus de 10,5 millions de personnes, avaient été transmises au groupe Y ».
3., s’agissant de la durée des violations, la formation restreinte relève que « la société transmettait les données au groupe Y depuis fin 2018, de façon hebdomadaire, et qu’une telle transmission a duré plus de cinq années, à savoir jusqu’en février 2024 ». Si la société a procédé de sa propre initiative à la cessation du traitement en cause, ce qui doit être mis à son crédit, la formation restreinte relève néanmoins qu’elle ne l’a fait qu’après avoir été confrontée à un contrôle de la CNIL qui, selon ses propres déclarations, « a soulevé de nombreuses interrogations ».
B. LE CARACTÈRE DÉLIBÉRÉ OU LA NÉGLIGENCE
La formation restreinte souligne que « le nombre de manquements constatés révèle une particulière négligence de la part de la société ». Plus particulièrement, concernant le manquement à l’article 6, §1, a) du RGPD, la formation restreinte considère que « la société aurait dû, compte tenu du caractère massif du traitement en cause, faire preuve d’une vigilance accrue ».
C. LES AUTRES CRITÈRES PERTINENTS
S’agissant du manquement à l’obligation d’assurer la sécurité des données à caractère personnel, la formation restreinte relève qu’il concerne « des obligations élémentaires en matière de sécurité, à savoir la robustesse des mots de passe utilisés ainsi que le stockage sécurisé de ces derniers ». Elle note également qu’un tel manquement concerne l’ensemble des clients de la société et adhérents à son programme de fidélité, les règles de complexité des mots de passe et les modalités de stockage étant les mêmes pour tous.
Enfin, s’agissant du manquement relatif aux cookies déposés sur le terminal de l’utilisateur lors de la visite du site web, la formation restreinte rappelle qu’au jour du contrôle en ligne, « la société traitait les données de ses utilisateurs sans avoir recueilli préalablement leur consentement, en déposant sur leurs terminaux des cookies pourtant soumis au recueil préalable d’un consentement ». Elle considère qu’un tel manquement « constitue une atteinte substantielle au droit au respect de la vie privée des personnes concernées ».
2. LA PRISE EN COMPTE DE LA SITUATION FINANCIÈRE DE LA SOCIÉTÉ
La formation restreinte rappelle ensuite que « pour s’assurer du caractère effectif, dissuasif et proportionné de l’amende prononcée, il convient de prendre en compte la capacité économique réelle ou matérielle de son destinataire ».
Une telle capacité économique ne saurait s’apprécier exclusivement au regard du résultat net dégagé par l’entreprise, qui peut être affecté par des éléments exceptionnels, mais doit tenir compte d’un ensemble d’éléments d’analyse financière, tels que le chiffre d’affaires, mentionné par l’article 83 du RGPD, le compte de résultat, l’endettement, la trésorerie, etc..
En l’espèce, la formation restreinte considère que si le résultat net de la société a en effet subi une baisse entre l’année 2023 et l’année 2024, « l’analyse de l’ensemble des éléments financiers de la société démontre que celle-ci n’est pas, contrairement à ce qu’elle affirme, dans une situation économique dégradée, comme en attestent notamment la trésorerie disponible et les réserves dont disposait la société en 2023 ».
3. LA DÉTERMINATION FINALE DU MONTANT DE L’AMENDE
Au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83, §2 du RGPD évoqués ci-avant, la formation restreinte considère « qu’une amende administrative, d’une part, d’un montant de deux millions cinq cent mille (2 500 000) euros pour sanctionner les manquements aux articles 6 §1, a), 13, 32 et 35 du RGPD et d’autre part, d’un montant de un million (1 000 000) d’euros pour sanctionner le manquement à l’article 82 de la loi Informatique et Libertés apparaît dissuasive et proportionnée ».
Cette distinction entre deux composantes de l’amende (2,5 millions d’euros pour les manquements au RGPD et 1 million d’euros pour le manquement relatif aux cookies) s’explique par le fait que ces deux catégories de manquements relèvent de fondements juridiques distincts. Les manquements au RGPD sont susceptibles d’être sanctionnés par une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (article 83, §5 du RGPD). Le manquement à l’article 82 de la loi Informatique et Libertés est quant à lui susceptible d’être sanctionné conformément aux dispositions spécifiques de cette loi.
B. L’ABSENCE DE PRONONCÉ D’UNE INJONCTION
Dans son rapport initial, la rapporteure proposait à la formation restreinte de prononcer à l’encontre de la société une injonction de mettre en conformité le traitement avec les dispositions des articles 6, 13, 32 et 35 du RGPD et 82 de la loi Informatique et Libertés, assortie d’une astreinte.
La société a soutenu que « le prononcé d’une injonction est sans objet, dès lors qu’elle a déployé des mesures de mise en conformité en cours de procédure ».
Compte tenu des éléments développés ci-avant et de la mise en conformité de la société s’agissant de l’ensemble des manquements relevés, la formation restreinte considère « qu’il n’y a pas lieu de prononcer d’injonction ».
Cette décision témoigne du caractère pragmatique de l’approche de la formation restreinte. Lorsque les manquements ont cessé et que des mesures de mise en conformité ont été effectivement déployées, le prononcé d’une injonction n’apporte aucune valeur ajoutée. Au contraire, une injonction assortie d’une astreinte pourrait même être perçue comme une charge supplémentaire inutile pour la société, dans la mesure où elle est déjà conforme.
Cette approche est conforme à la jurisprudence constante de la formation restreinte, qui considère que l’injonction a pour objet de faire cesser les manquements constatés, et non de sanctionner des manquements passés qui ont déjà cessé.
C. LA PUBLICITÉ DE LA SANCTION AVEC ANONYMISATION DIFFÉRÉE
La société a contesté la proposition de la rapporteure de rendre publique la délibération, au motif notamment « qu’une telle publicité risque de fragiliser son équilibre commercial ainsi que la confiance de ses adhérents, sans pour autant apporter de bénéfice à l’intérêt général et tout en favorisant ses concurrents ».
La formation restreinte considère que « la publicité de la présente décision est justifiée au regard des manquements en cause et du nombre de personnes concernées, le recours à la publicité ciblée sur le réseau social Z étant, notamment, une pratique répandue parmi les acteurs économiques ». Dans ce contexte, « il importe d’informer les personnes concernées sur les règles applicables en matière de consentement ».
La formation restreinte considère toutefois que, dans cette perspective, « une publication de la décision sans que la société y soit nommément identifiée est suffisante ».
Cette décision de publicité anonymisée constitue un compromis équilibré entre deux objectifs :
—-D’une part, l’objectif de transparence et de dissuasion, qui justifie la publication de la décision. La publication permet d’informer le public des règles applicables en matière de protection des données, et notamment des exigences strictes du RGPD s’agissant du consentement pour les opérations de publicité ciblée. Elle permet également d’exercer un effet dissuasif sur les autres acteurs économiques qui mettraient en œuvre des pratiques similaires.
—-D’autre part, la protection des intérêts commerciaux légitimes de la société, qui justifie l’anonymisation. La publication nominative d’une sanction peut effectivement fragiliser l’équilibre commercial d’une société et affecter la confiance de ses clients et partenaires. L’anonymisation permet d’atténuer cet effet négatif tout en préservant l’objectif pédagogique de la publication.
POINTS ESSENTIELS
La délibération SAN-2025-017 du 30 décembre 2025 sanctionne la société INTERSPORTS d’une amende administrative de 3 500 000 euros — décomposée en 2 500 000 euros au titre des manquements aux articles 6, 13, 32 et 35 du RGPD et en 1 000 000 euros au titre du manquement à l’article 82 de la loi Informatique et Libertés — pour avoir, depuis fin 2018 jusqu’en février 2024, transmis hebdomadairement à un réseau social les adresses électroniques et/ou numéros de téléphone de plus de 10,5 millions de membres de son programme de fidélité à des fins de ciblage publicitaire, sans que leur consentement à cette finalité spécifique ait été valablement recueilli, le formulaire d’adhésion au programme de fidélité ne contenant aucune information sur cette transmission et les documents de renvoi accessibles en pied de page étant jugés trop parcellaires et trop peu accessibles pour constituer la base d’un consentement clair et spécifique au sens de l’article 4, §11, et du considérant 32 du RGPD.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats