CONSEIL D’ETAT | CH. RÉUNIES N° 492836 | 20 MAI 2026 | AFFAIRE TAGADAMEDIA |
LA CNIL VIENT DE SE FAIRE PARTIELLEMENT CENSURER PAR LE CONSEIL D’ÉTAT DANS L’AFFAIRE TAGADAMEDIA
MÊME LA CNIL DOIT RESPECTER LES DROITS DE LA DÉFENSE… SAN-2023-025 / CE N° 492836 | 20 MAI 2026
TAGADAMEDIA | MONTANT : 75 000 EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
EXIGENCES ET MISE EN ŒUVRE
Q1. LE RGPD IMPOSE-T-IL UNE FORME PARTICULIÈRE POUR RECUEILLIR UN CONSENTEMENT VALIDE À LA PROSPECTION COMMERCIALE ?
Le RGPD n’impose pas de formulaire-type, mais il fixe des exigences substantielles qui conditionnent la validité du consentement. En vertu de l’article 4, §11, du RGPD, le consentement doit constituer une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair ». Ces quatre qualités sont cumulatives : un consentement partiellement libre mais insuffisamment éclairé est invalide au même titre qu’un consentement éclairé mais non univoque.
La délibération SAN-2023-025 a précisé, en s’appuyant sur la jurisprudence Planet49 de la CJUE (C-673/17 du 1er octobre 2019), que le consentement ne peut résulter d’une case pré-cochée, d’un silence, d’une inaction ou d’une action dont la signification en matière de traitement de données ne serait pas clairement perçue par l’utilisateur. Le Conseil d’État a confirmé ce standard au § 9 de son arrêt : « le consentement libre, spécifique, éclairé et univoque ne peut qu’être un consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles ».
En pratique, tout responsable de traitement fondant la prospection sur le consentement doit s’assurer que : (i) la personne comprend sans ambiguïté que son action vaut consentement à une finalité de prospection précise ; (ii) une option de refus de valeur visuelle strictement équivalente est proposée sans pénalité ; (iii) les conséquences de chaque option sont décrites de manière lisible avant toute action. L’absence de l’une de ces conditions suffit à invalider le consentement.
Q2. QUELLES SONT LES EXIGENCES CONCRÈTES EN MATIÈRE DE DESIGN D’UN FORMULAIRE DE CONSENTEMENT À LA PROSPECTION ?
La délibération SAN-2023-025 a constitué l’acte fondateur de la transposition des critères de la recommandation CNIL n° 2020-092 du 17 septembre 2020 (initialement conçue pour les cookies) aux formulaires de recueil du consentement pour la prospection commerciale. La formation restreinte a posé au § 30 de la délibération :
« La formation restreinte relève à cet égard que les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement. »
Cela se traduit par les exigences suivantes :
Sur l’équivalence visuelle des options : Les boutons d’acceptation et de refus doivent être présentés avec la même taille, la même police de caractères, la même couleur de fond et le même niveau de contraste. Toute asymétrie visuelle — bouton d’acceptation plus grand, plus coloré, plus lumineux, plus central — est présumée créer un « dark pattern » induisant un biais en faveur du consentement.
Sur la clarté des intitulés : L’intitulé des boutons doit explicitement renseigner sur les conséquences du clic. Des intitulés tels que « JE VALIDE », « J’ACCEPTE » (sans complément), « CONTINUER » ou « ÉTAPE SUIVANTE » sont insuffisants car ils n’indiquent pas clairement que l’action vaut consentement à la transmission de données à des fins de prospection. La délibération SAN-2024-007 du 25 avril 2024 (clôture de l’injonction) a au contraire validé des intitulés tels que « Je participe et j’accepte de recevoir des offres personnalisées » / « Je participe et je refuse », en raison de leur explicitation complète des conséquences.
Sur la lisibilité du texte d’information : Le texte expliquant les conséquences de chaque option doit être présenté en caractères d’une taille comparable à celle des boutons, et non dans une police nettement inférieure. Un texte d’information lisible ne peut pas compenser des boutons asymétriques ou des intitulés ambigus, mais des boutons symétriques ne compensent pas davantage un texte d’information illisible.
Sur la dissociation participation/consentement : La participation à la finalité principale (jeu-concours, inscription, téléchargement) doit être structurellement dissociée du consentement à la prospection. Conditionner l’accès au service à l’acceptation de la prospection constitue une atteinte au caractère libre du consentement, au sens de l’article 7, §4, du RGPD.
Q3. UN BOUTON DE REFUS PRÉSENT SUR LE FORMULAIRE SUFFIT-IL À RENDRE LE CONSENTEMENT VALIDE ?
Non. La seule présence formelle d’un bouton de refus ne suffit pas. La délibération SAN-2023-025 a démontré qu’un formulaire à deux boutons (« JE VALIDE » / « JE REFUSE ») peut être tout aussi invalide qu’un formulaire à bouton unique, dès lors que les deux boutons présentent une asymétrie visuelle ou que les conséquences du refus ne sont pas explicitement décrites.
Dans le formulaire à deux boutons de TAGADAMEDIA, la formation restreinte a constaté au § 43 : « il n’est fait aucune mention des conséquences d’un clic sur le bouton “JE REFUSE” », et au § 46 : « Ce dernier pourrait tout aussi bien signifier que le refus de transmettre ses données ne permet pas de participer au jeu-concours, ce qui n’est pas le cas en l’espèce. » L’absence de description des conséquences du refus avait conduit les utilisateurs à croire — potentiellement — qu’ils ne pourraient pas participer au jeu s’ils refusaient, ce qui altérait le caractère libre et éclairé de leur consentement.
En pratique, un formulaire conforme doit décrire avec la même précision les conséquences de l’acceptation et du refus, en indiquant clairement que le refus n’empêche pas la participation à la finalité principale.
Q4. LE RESPONSABLE DE TRAITEMENT PEUT-IL CORRIGER SES FORMULAIRES EN COURS DE PROCÉDURE ET OBTENIR AINSI L’ANNULATION DE LA SANCTION ?
La correction en cours de procédure est une circonstance atténuante que la CNIL prend en compte dans la détermination du quantum de la sanction, mais elle ne fait pas obstacle au prononcé d’une sanction pour les manquements passés ni à la persistance de l’injonction si les nouveaux formulaires présentés s’avèrent toujours non conformes.
Dans l’affaire TAGADAMEDIA, la société avait présenté en cours de procédure un troisième formulaire (« J’ACCEPTE / ÉTAPE SUIVANTE ») qu’elle estimait conforme. La formation restreinte a néanmoins considéré au § 48 que ce formulaire demeurait non-conforme en raison de la connotation séquentielle de ses intitulés. Le Conseil d’État a expressément confirmé cette analyse au § 16 de son arrêt, validant l’injonction de mise en conformité nonobstant les efforts correctifs de la société.
C’est seulement dans le cadre de la délibération SAN-2024-007 du 25 avril 2024 — postérieure à la sanction — que la CNIL a constaté la mise en conformité effective des formulaires et clôturé l’injonction. La coopération et les mesures correctives sont des facteurs d’atténuation de la sanction, mais elles ne constituent pas une cause d’exonération.
Q5. LA CNIL PEUT-ELLE SANCTIONNER SUR LE FONDEMENT D’UNE BASE LÉGALE DIFFÉRENTE DE CELLE INSTRUITE DANS LE RAPPORT DU RAPPORTEUR ?
Non. L’arrêt CE n° 492836 du 20 mai 2026 a posé une règle procédurale d’une portée générale considérable : la formation restreinte ne peut pas substituer un grief autonome à celui figurant dans le rapport notifié au responsable de traitement, même si ce nouveau grief procède des mêmes faits.
Le Conseil d’État a motivé cette annulation partielle au § 8 de son arrêt, en relevant que « la formation restreinte a méconnu le principe des droits de la défense » car la société « n’avait donc pas pu formuler d’observations en réponse sur ce point ». Ce principe est fondé sur l’article 16 de la Déclaration des droits de l’homme et du citoyen de 1789, qui implique « qu’aucune sanction ayant le caractère d’une punition ne puisse être infligée à une personne sans que celle-ci ait été mise à même de présenter ses observations sur les faits qui lui sont reprochés ».
En pratique, si un responsable de traitement reçoit un rapport de rapporteur fondé sur l’article 5 du RGPD (traitement déloyal) et que la formation restreinte entend retenir un manquement à l’article 6 (défaut de base légale), elle doit d’abord soumettre cette requalification au débat contradictoire. À défaut, la sanction prononcée sur ce fondement est susceptible d’annulation devant le Conseil d’État. Cette règle constitue un droit procédural majeur que tout responsable de traitement mis en cause doit invoquer en temps utile.
COHÉRENCE ET IRRÉVERSIBILITÉ
Q6. PEUT-ON INVOQUER L’INTÉRÊT LÉGITIME COMME BASE LÉGALE POUR DES TRANSMISSIONS DE DONNÉES À DES PARTENAIRES ALORS QUE LA POLITIQUE DE CONFIDENTIALITÉ DÉCLARE LE CONSENTEMENT ?
Non. La formation restreinte a fermement écarté cet argument aux §§ 58 à 65 de la délibération. Lorsque le responsable de traitement a lui-même déclaré dans sa politique de confidentialité que le fondement légal d’un traitement est le consentement, il est lié par cette déclaration. Il ne peut pas, a posteriori — notamment lors d’une procédure de contrôle ou de sanction — invoquer l’intérêt légitime comme base légale de substitution pour les opérations qui n’ont pas recueilli de consentement valide.
La délibération a précisé au § 59 que « les finalités visées par la société comme relevant de la réalisation d’opérations techniques et de qualification, à savoir la normalisation postale, le dédoublonnage, l’enrichissement téléphonique, etc., participent à la réalisation des opérations de prospection commerciale de ses partenaires ». La qualification d’« opérations techniques » ne saurait donc masquer la réalité de la finalité : la prospection. Dès lors que la prospection est fondée sur le consentement, toutes les opérations qui lui sont préparatoires ou nécessaires doivent l’être également.
En pratique, avant de déclarer le consentement comme base légale dans une politique de confidentialité, le responsable de traitement doit s’assurer que cette base couvre l’intégralité de la chaîne de traitement, y compris les opérations dites « techniques » de qualification et de normalisation. Si certaines opérations préparatoires doivent reposer sur l’intérêt légitime, cela doit être déclaré explicitement et distinctement dans la politique de confidentialité.
Q7. QUE SE PASSE-T-IL SI JE TRANSMETS À DES PARTENAIRES LES DONNÉES D’UN PROSPECT QUI A REFUSÉ SON CONSENTEMENT PAR VOIE ÉLECTRONIQUE, MAIS N’A PAS EXPLICITEMENT REFUSÉ POUR LES VOIES POSTALE ET TÉLÉPHONIQUE ?
La formation restreinte a retenu (§§ 58-65) que cette pratique constituait un manquement à l’article 6 du RGPD dès lors que la politique de confidentialité déclarait le consentement comme base légale pour toutes les voies de prospection — électronique, postale et téléphonique. L’absence de refus explicite pour les voies postale et téléphonique ne saurait valoir consentement : la logique du RGPD est celle de l’opt-in, et non de l’opt-out. L’absence d’expression d’un choix ne constitue pas un acte positif clair au sens de l’article 4, §11.
Toutefois, il convient de noter que le Conseil d’État a annulé cette partie de la délibération pour violation des droits de la défense — non parce que le fond était inexact, mais parce que le grief n’avait pas été notifié dans les termes exacts retenus par la formation restreinte. La règle de fond demeure : en l’absence de consentement positif exprès pour chaque voie de prospection, aucune transmission n’est licite lorsque le consentement est la base légale déclarée.
PARTIE 3 — REGISTRE DES ACTIVITÉS DE TRAITEMENT
Q8. PUIS-JE TENIR UN REGISTRE DES ACTIVITÉS DE TRAITEMENT COMMUN À PLUSIEURS ENTITÉS JURIDIQUES D’UN MÊME GROUPE ?
La délibération SAN-2023-025 répond négativement à cette question, au moins sous sa forme actuelle. La formation restreinte a retenu un manquement à l’article 30 du RGPD au motif que le registre tenu en commun par TAGADAMEDIA et sa filiale rachetée ne permettait pas d’identifier, pour chaque activité de traitement, laquelle des deux entités agissait en qualité de responsable de traitement (§§ 70-72).
Cette exigence d’identification précise de l’entité responsable n’est pas une formalité : elle conditionne l’exercice effectif des droits des personnes concernées (adresser leurs demandes à la bonne entité), la responsabilité juridique en cas de violation de données (quelle entité doit notifier à la CNIL ?), et l’appréciation par la CNIL des sanctions (quelle entité sanctionner, et avec quel chiffre d’affaires de référence ?).
En pratique, un groupe peut légitimement partager une structure de registre et des modèles communs, mais chaque entité juridique distincte doit disposer de son propre registre indiquant, pour chaque traitement, son identité précise en tant que responsable. Les champs relatifs aux durées d’effacement et aux mesures de sécurité doivent être renseignés avec un niveau de précision proportionné au volume et à la sensibilité des données traitées.
Q9. QUELS SONT LES RISQUES CONCRETS D’UN REGISTRE INSUFFISAMMENT PRÉCIS ?
Outre le risque de sanction — limité mais existant, la formation restreinte ayant retenu dans l’affaire TAGADAMEDIA que « même si ce manquement est de faible gravité, le prononcé d’une amende apparaît justifié » (§ 87) — un registre insuffisamment précis présente des risques opérationnels majeurs en cas de contrôle CNIL, de violation de données ou de contentieux.
En cas de violation de données, un registre qui n’identifie pas clairement le responsable de traitement de chaque activité retarde la notification à la CNIL (qui doit intervenir dans les 72 heures) et peut conduire à une notification erronée, elle-même sanctionnable. En cas de contrôle CNIL, l’absence de durées d’effacement précises ou de description des mesures de sécurité constitue un signal d’alerte pouvant conduire à l’approfondissement du contrôle. En cas de contentieux avec une personne concernée, l’exercice du droit d’accès (article 15 RGPD) requiert l’identification précise du responsable de traitement pour chaque finalité, ce que seul un registre rigoureux permet d’étayer.
PARTIE 4 — SANCTIONS, INJONCTIONS ET PROCÉDURE
Q10. COMMENT LA CNIL DÉTERMINE-T-ELLE LE MONTANT D’UNE AMENDE POUR MANQUEMENT AU RGPD DANS LE CADRE DE LA PROSPECTION COMMERCIALE ?
La CNIL applique les critères énumérés à l’article 83, §2, du RGPD, parmi lesquels figurent la nature, la gravité et la durée de la violation ; le caractère intentionnel ou négligent ; les mesures prises pour atténuer le dommage ; les catégories de données concernées ; le nombre de personnes affectées ; et la coopération avec l’autorité de contrôle.
Dans l’affaire TAGADAMEDIA, la formation restreinte a expressément pris en compte (§ 85) : la gravité du manquement au regard du modèle économique du data brokering (« l’écosystème de la revente de données de partenaires en partenaires exige des garanties particulièrement fortes ») ; le volume de la base de prospects affectée (« environ six millions de prospects ») ; et, en sens inverse, la taille modeste de la société (six salariés), sa coopération avec la CNIL et les mesures correctives engagées en cours de procédure. Le Conseil d’État a ensuite réduit l’amende de 75 000 à 50 000 euros au titre de l’annulation partielle du manquement article 6 relatif à la transmission de données non-opt-in.
Q11. UNE INJONCTION DE MISE EN CONFORMITÉ PEUT-ELLE ÊTRE MAINTENUE PAR LE CONSEIL D’ÉTAT MÊME SI LA SOCIÉTÉ A PRÉSENTÉ DE NOUVEAUX FORMULAIRES EN COURS DE PROCÉDURE ?
Oui. Le Conseil d’État a expressément confirmé l’injonction au § 16 de son arrêt, après avoir jugé que le troisième formulaire (« J’ACCEPTE / ÉTAPE SUIVANTE ») présenté par TAGADAMEDIA « compte tenu de son caractère équivoque, ne répondait pas aux exigences du RGPD sur le recueil du consentement ». Les efforts d’amélioration effectués en cours de procédure ne font pas disparaître la non-conformité tant que la conformité n’est pas effectivement constatée par la CNIL.
L’injonction est levée non par l’arrêt du Conseil d’État, mais par une délibération distincte de la formation restreinte — en l’espèce la délibération SAN-2024-007 du 25 avril 2024 — qui constate positivement la conformité des formulaires mis en place par la société. Cette procédure de clôture d’injonction constitue le seul vecteur de levée de l’astreinte.
PARTIE 5 — QUESTIONS DES PERSONNES CONCERNÉES
Q12. COMMENT SAVOIR SI MES DONNÉES ONT ÉTÉ COLLECTÉES PAR UN SITE DE JEUX-CONCOURS ET TRANSMISES À DES PARTENAIRES SANS MON CONSENTEMENT VALIDE ?
En droit, vous disposez du droit d’accès prévu à l’article 15 du RGPD, qui vous permet d’adresser à tout organisme une demande de communication de l’ensemble des données personnelles vous concernant qu’il détient, ainsi que des destinataires auxquels ces données ont été communiquées. Cette demande doit être traitée dans un délai d’un mois, prorogeable à trois mois en cas de demande complexe ou nombreuse.
En pratique, si vous avez participé à des jeux-concours en ligne et recevez des sollicitations commerciales non désirées de sociétés que vous n’avez jamais contactées, il est probable que vos données ont été collectées puis revendues à des partenaires. Vous pouvez adresser des demandes d’accès aux sociétés organisatrices des jeux-concours auxquels vous avez participé, en exigeant notamment la liste complète des partenaires auxquels vos données ont été transmises.
Q13. PUIS-JE OBTENIR L’EFFACEMENT DE MES DONNÉES PERSONNELLES DÉTENUES PAR UN COURTIER EN DONNÉES ?
Oui. Le droit à l’effacement prévu à l’article 17 du RGPD vous permet de demander la suppression de vos données lorsque, notamment, vous retirez le consentement sur lequel le traitement était fondé (art. 17-1-b), les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées (art. 17-1-a), ou vous vous opposez au traitement et il n’existe pas de motif légitime impérieux pour le maintenir (art. 17-1-c).
La difficulté spécifique au data brokering tient à ce que vos données peuvent avoir été transmises à de nombreux partenaires successifs, chacun en possession d’une copie. Le droit à l’effacement adressé au primo-collectant oblige ce dernier à effacer les données et à « prendre des mesures raisonnables » pour informer les tiers auxquels les données ont été transmises de votre demande d’effacement (art. 17-2 RGPD). Toutefois, vous pouvez également exercer votre droit d’effacement directement auprès de chaque partenaire identifié.
Q14. COMMENT SIGNALER À LA CNIL DES PRATIQUES DE COLLECTE DE DONNÉES QUE J’ESTIME IRRÉGULIÈRES ?
Vous pouvez déposer une plainte auprès de la CNIL via le service en ligne PLAINTE accessible sur le site cnil.fr, rubrique « Vos droits / Plaintes ». La plainte peut également être adressée par courrier à : CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07. La CNIL traite chaque plainte mais ne communique pas systématiquement sur les suites données à une plainte individuelle. Toutefois, les plaintes constituent une source précieuse d’information orientant les thématiques de contrôle prioritaires.
Dans votre plainte, décrivez précisément les faits (site concerné, date de participation, formulaire utilisé, sollicitations reçues), joignez si possible des captures d’écran du formulaire de consentement, et précisez les droits que vous avez éventuellement tenté d’exercer et les réponses obtenues.
POINTS ESSENTIELS
La délibération SAN-2023-025 du 29 décembre 2023 sanctionne la société TAGADAMEDIA — courtier en données dont l’activité consiste à organiser des jeux-concours en ligne aux fins de collecter des données de prospects et de les revendre à des partenaires annonceurs pour prospection commerciale — d’une amende administrative de 75 000 euros pour manquements aux articles 6 et 30 du RGPD, assortie d’une injonction de mettre en conformité ses formulaires de recueil du consentement sous astreinte de 1 000 euros par jour de retard ;
L’arrêt du Conseil d’État, chambres réunies, n° 492836 du 20 mai 2026 réforme partiellement cette décision en réduisant l’amende à 50 000 euros au motif que la formation restreinte, en substituant au grief de traitement déloyal (art. 5 RGPD) retenu dans le rapport du rapporteur un grief distinct fondé sur l’article 6 du RGPD pour la transmission de données sans consentement par voie postale et téléphonique, a méconnu le principe des droits de la défense — la société n’ayant pas été en mesure de formuler des observations sur ce fondement reformulé — tout en confirmant, par ailleurs, l’intégralité de la délibération L’invalidité du consentement recueilli via les trois générations de formulaires successivement utilisés (bouton unique « JE VALIDE » : double bouton « JE VALIDE/JE REFUSE », puis double bouton « J’ACCEPTE/ÉTAPE SUIVANTE »), en validant l’injonction de mise en conformité, en écartant le moyen tiré de la violation du principe de légalité des délits et des peines, et en accordant à la société la somme de 2 000 euros au titre de l’article L. 761-1 du code de justice administrative ;
La décision présente une portée structurante à plusieurs égards : elle confirme la transposabilité des critères jurisprudentiels développés en matière de cookies à l’ensemble des interfaces de recueil du consentement en ligne, y compris dans le secteur de la prospection commerciale ; elle consacre l’exigence de cohérence entre la base légale déclarée dans la politique de confidentialité et la pratique effective de transmission des données, de sorte que le responsable de traitement ayant déclaré le consentement comme fondement ne peut invoquer l’intérêt légitime a posteriori pour couvrir des transmissions réalisées sans opt-in ; elle fixe un standard élevé d’exigences de design pour les formulaires de collecte (boutons de taille, police, couleur et intitulé équivalents, texte d’information lisible, absence de hiérarchisation visuelle entre les options), confirmé positivement par la délibération SAN-2024-007 du 25 avril 2024 qui a acté la conformité des nouveaux formulaires mis en place par la société à la suite de l’injonction ; enfin, l’arrêt du Conseil d’État produit un enseignement procédural de premier ordre en rappelant que la formation restreinte ne peut pas substituer un grief autonome à celui figurant dans le rapport notifié, même s’il procède des mêmes faits, sans priver le responsable de traitement de ses droits de la défense.
COURTIER EN DONNÉES | SANCTION
01.06.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats