CONSEIL D’ETAT | CH. RÉUNIES N° 492836 | 20 MAI 2026 | AFFAIRE TAGADAMEDIA |
LA CNIL VIENT DE SE FAIRE PARTIELLEMENT CENSURER PAR LE CONSEIL D’ÉTAT DANS L’AFFAIRE TAGADAMEDIA
MÊME LA CNIL DOIT RESPECTER LES DROITS DE LA DÉFENSE… SAN-2023-025 / CE N° 492836 | 20 MAI 2026
TAGADAMEDIA | MONTANT : 75 000 EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
CADRE NORMATIF ET STRUCTURE DES GRIEFS
La délibération SAN-2023-025 du 29 décembre 2023 repose sur l’instruction de cinq opérations de contrôle conduites par la CNIL entre mars 2022 et octobre 2023, à la suite de sa thématique prioritaire sur la prospection commerciale. Le rapport de la rapporteure, notifié le 25 août 2023, avait initialement identifié des manquements potentiels aux articles 5, 6, 30 et 32 du RGPD. La formation restreinte a finalement retenu deux manquements — aux articles 6 et 30 — et écarté le manquement à l’article 32, tandis que le grief fondé sur l’article 5 a été reformulé en termes de manquement à l’article 6, ce qui a précisément conduit le Conseil d’État à réformer partiellement la délibération.
Le texte central de référence est l’article 6, §1, du RGPD :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques […] »
Et l’article 4, §11, du même règlement :
« le consentement de la personne concernée s’entend de toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »
La société TAGADAMEDIA avait elle-même confirmé que la transmission des données de prospects à des fins de prospection électronique, postale et téléphonique reposait sur le consentement comme base légale unique. Cette déclaration volontaire de fondement a constitué le fil conducteur de l’intégralité de l’analyse de la formation restreinte.
## II. PREMIER MANQUEMENT — ARTICLE 6 RGPD : INVALIDITÉ DU CONSENTEMENT RECUEILLI PAR LES FORMULAIRES DE JEUX-CONCOURS
A. RAPPEL DU CADRE JURISPRUDENTIEL MOBILISÉ PAR LA FORMATION RESTREINTE
Avant d’analyser les formulaires, la formation restreinte a posé le cadre jurisprudentiel applicable avec une précision remarquable, en procédant à une synthèse tripartite.
En premier lieu, elle s’est appuyée sur l’arrêt Planet49 GmbH de la Cour de justice de l’Union européenne :
« l’article 7, sous a), de la directive 95 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est “indubitablement” donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence » (CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17, ECLI:EU:C:2019:801, § 54).
La même décision précisait que « la manifestation de volonté visée à l’article 2, sous h), de la directive 95/46 doit, notamment, être “spécifique”, en ce sens qu’elle doit porter précisément sur le traitement de données concerné et ne saurait être déduite d’une manifestation de volonté ayant un objet distinct » (§§ 58-59). La formation restreinte a ainsi établi que le fait d’activer un bouton de participation à un jeu-concours ne saurait valoir consentement à la transmission de données à des fins de prospection.
En deuxième lieu, elle a rappelé la jurisprudence du Conseil d’État lui-même, qui avait retenu que « le consentement libre, spécifique, éclairé et univoque ne peut qu’être un consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles » (CE, 10e et 9e ch. réunies, 19 juin 2020, Google LLC, n° 430810, pt. 21).
En troisième lieu, la formation restreinte a expressément transposé les lignes directrices 5/2020 du CEPD sur le consentement, qui précisent que « le caractère libre du consentement implique un choix et un contrôle réel pour les personnes concernées. En règle générale, le RGPD dispose que si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable ». Elle a également transposé la recommandation CNIL n° 2020-092 du 17 septembre 2020 sur les cookies, en posant explicitement le principe de sa transposabilité à la prospection commerciale :
« La formation restreinte relève à cet égard que les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement » (§ 30).
Cette transposition est d’une portée considérable : elle unifie les critères d’appréciation du consentement valide dans l’ensemble de l’écosystème numérique, qu’il s’agisse de cookies, de collecte de données pour jeux-concours, de formulaires d’inscription ou de tout autre interface de recueil de données personnelles.
B. LE FORMULAIRE À BOUTON UNIQUE « JE VALIDE » (UTILISÉ DE 2015 À 2022)
La formation restreinte a décrit ce formulaire avec précision au § 38 :
« Sous les champs permettant aux personnes concernées d’insérer leurs coordonnées est situé un bouton unique “JE VALIDE” sur fond vert avec une flèche. Au-dessus de ce bouton, un texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons précise qu’en cliquant sur ledit bouton, l’utilisateur accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. Des liens hypertextes permettent d’accéder à la politique de protection des données et à la liste des partenaires concernés. La fin du texte précise que si l’utilisateur souhaite continuer sans recevoir les offres des partenaires de la société, il peut cliquer sur un lien présent dans le texte (“je clique ici”). En outre, une case à cocher est prévue pour accepter le règlement de l’opération. »
La qualification de manquement repose sur trois constats cumulatifs formulés au § 40 :
« L’aperçu global de l’interface met particulièrement en valeur le bouton “JE VALIDE” qui, par sa taille et sa couleur se distingue des autres informations délivrées. De même, son intitulé évoque davantage la conclusion du parcours utilisateur qu’une transmission de données à des partenaires. Enfin, son emplacement et l’usage du verbe valider donnent l’impression de devoir obligatoirement être cliqué pour terminer l’inscription et participer au jeu-concours. A contrario, le lien hypertexte permettant de participer au jeu sans accepter la transmission de ses données est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière, de sorte qu’il n’apparait pas intuitif qu’il est possible de participer sans cliquer sur le bouton “JE VALIDE” et donc sans transmettre ses données à des tiers à des fins de prospection. Le consentement recueilli est donc privé de son caractère univoque et libre. »
Défense de la société : Tagadamedia avait soutenu (§ 23) que « la conception faisait que la participation de l’internaute au jeu/concours n’était conditionnée qu’à son acceptation du règlement. Ce dernier pouvait ainsi cliquer sur le lien situé dans le texte explicatif pour participer au jeu sans accepter de transmettre ses données aux partenaires ». La société invoquait donc la présence formelle d’une option de refus comme suffisante. Cet argument a été rejeté, car l’existence nominale d’une option ne suffit pas si l’architecture visuelle de l’interface rend cette option non intuitive et dissimulée dans le flux textuel.
C. LE FORMULAIRE À DEUX BOUTONS « JE VALIDE / JE REFUSE » (UTILISÉ DE 2017 À 2023)
Ce formulaire a été décrit au § 42 :
« Sous les champs permettant aux personnes concernées d’insérer leurs coordonnées, sont situés deux boutons : un bouton “JE VALIDE”, écrit en blanc sur fond rouge, et un bouton “JE REFUSE”, écrit en noir sur fond gris et dont la taille de police est inférieure à celle du bouton “JE VALIDE”. Au-dessus de ces boutons, un texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons précise qu’en cliquant sur le bouton “JE VALIDE”, l’utilisateur accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. »
La formation restreinte a souligné un vice rédhibitoire supplémentaire au § 43 :
« La formation restreinte constate que sur ce formulaire, il n’est fait aucune mention des conséquences d’un clic sur le bouton “JE REFUSE”. »
Ce constat a fondé la double disqualification pour défaut d’univocité (§ 45) et de caractère éclairé (§ 46) :
« Elle relève en outre qu’en l’absence de toute précision sur les conséquences liées au fait de cliquer sur le bouton “JE REFUSE”, le recueil du consentement n’est pas éclairé. Ce dernier pourrait tout aussi bien signifier que le refus de transmettre ses données ne permet pas de participer au jeu-concours, ce qui n’est pas le cas en l’espèce. »
Défense de la société : La société avait reconnu (§ 24) « que des modifications étaient nécessaires s’agissant des implications du bouton “JE REFUSE” sur le formulaire à deux boutons », mais soutenu que le consentement était univoque car « manifesté par un clic sur le bouton, ce qui en fait bien une action positive ». La société avait également produit des statistiques faisant état d’un nombre élevé de personnes opt-in, arguant du succès de sa pratique comme preuve de sa conformité. Ces arguments ont été écartés, la formation restreinte rappelant (§ 35) que « des études menées sur les pratiques des interfaces numériques, en particulier concernant les cookies, relèvent l’impact considérable de l’apparence des bannières de recueil du consentement sur le choix des utilisateurs, pouvant inciter ces derniers à faire des choix ne reflétant pas leurs préférences sur le partage de données ».
D. LE TROISIÈME FORMULAIRE « J’ACCEPTE / ÉTAPE SUIVANTE » (PROPOSÉ EN COURS DE PROCÉDURE)
La société avait soumis ce formulaire en cours de procédure en le présentant comme conforme, dans lequel :
« sous les champs permettant aux personnes concernées d’insérer leurs coordonnées sont situés deux boutons : un bouton “J’ACCEPTE”, écrit en blanc sur fond rouge, et un bouton “ÉTAPE SUIVANTE”, dont l’apparence est identique au premier. Au-dessus de ces boutons, un texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons précise qu’en cliquant sur le bouton “J’ACCEPTE”, l’utilisateur accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. En cliquant sur “ÉTAPE SUIVANTE”, il continue sans recevoir les offres des partenaires » (§ 47).
La formation restreinte a néanmoins considéré que ce formulaire demeurait non conforme, en dépit de la taille, police et couleur identiques des deux boutons :
« Les termes choisis incitent fortement les utilisateurs à cliquer en tout premier lieu sur “J’ACCEPTE” placé avant le bouton “ÉTAPE SUIVANTE”. En effet, les utilisateurs sont poussés à cliquer sur le premier bouton “J’ACCEPTE” puis le second bouton “ÉTAPE SUIVANTE” laissant penser qu’il existe un séquençage entre ces deux boutons, le premier constituant un préalable au second, alors que le parcours des utilisateurs se poursuit en cliquant sur “J’ACCEPTE”, sans qu’il soit nécessaire de cliquer sur “ÉTAPE SUIVANTE” » (§ 48).
La formation restreinte a ajouté :
« La formation restreinte note que si les explications sont fournies sur les conséquences de chacune des deux options, la mise en valeur particulière des deux boutons dans le visuel global du formulaire, par rapport à l’apparence dudit texte en termes de police et de couleur, ne permet pas de compenser le risque que la personne passe directement du remplissage des champs au bouton “J’ACCEPTE” sans en mesurer les conséquences » (§ 48).
Confirmation par le Conseil d’État : Le Conseil d’État a, au § 11 de son arrêt, expressément validé cette analyse :
« c’est sans erreur d’appréciation que la formation restreinte a retenu que ces formulaires ne permettaient pas un consentement libre, spécifique, éclairé et univoque des utilisateurs au sens des dispositions de l’article 6 du RGPD, dès lors que le bouton “je valide” était mis en valeur et que des ambiguïtés demeuraient sur les conséquences liées au fait d’actionner l’autre bouton. »
La conclusion générale de la formation restreinte sur ce point (§ 49) est d’une portée normative majeure :
« Les formulaires n’éclairent pas suffisamment les personnes concernées sur le fait qu’elles consentent à la transmission de leurs données à des fins de prospection commerciale, dans un contexte où l’objet même de ces sites web est d’offrir une perspective de gains ne pouvant laisser supposer l’objectif de collecte pérenne de ces données à de telles fins. Ces personnes ne sont pas mises en mesure de manifester leur consentement par un acte positif clair et dénué d’ambigüité. »
III. DEUXIÈME DIMENSION DU MANQUEMENT ARTICLE 6 — TRANSMISSION DE DONNÉES DE PROSPECTS NON-OPT-IN : VIOLATION DES DROITS DE LA DÉFENSE ET RÉFORME PAR LE CONSEIL D’ÉTAT
TRAITEMENT DÉLOYAL (ARTICLE 5 RGPD)
La rapporteure avait constaté (§ 53) que « le fait de ne pas consentir à la transmission de ses données permet bien à l’utilisateur d’empêcher la transmission de son adresse électronique. Toutefois, malgré l’absence de consentement, l’adresse postale ou le numéro de téléphone est transmis aux partenaires à des fins de prospection par voie postale ou par téléphone ». Elle en avait conclu (§ 54) à « un traitement déloyal des données de prospects n’ayant pas consenti à leur transmission aux partenaires », constituant un manquement à l’article 5, §1, a) du RGPD.
B. LA REQUALIFICATION OPÉRÉE PAR LA FORMATION RESTREINTE
La formation restreinte n’a pas suivi cette qualification et a substitué un grief fondé sur l’article 6 du RGPD. Elle a considéré, aux §§ 58 à 65, que « dès lors qu’un prospect ne consent pas à la transmission de ses données aux partenaires de la société, celle-ci n’est pas autorisée à les transmettre, y compris à des fins de réalisation d’opérations techniques et de qualification » (§ 61). Elle s’est appuyée sur la politique de confidentialité de la société, qui déclarait expressément :
« En cas d’acceptation expresse de votre part, vos données pourront également être utilisées par Tagadamedia et/ou ses partenaires pour : • Vous envoyer des offres commerciales et promotionnelles par courrier électronique, y compris à caractère politique ou syndical, par courrier électronique, par SMS/MMS, par courrier postal ou par télémarketing […] Le fondement légal du traitement est le consentement » (§ 58).
La formation restreinte a écarté l’argument de l’intérêt légitime invoqué pour les opérations de qualification (§ 59), considérant que « les finalités visées par la société comme relevant de la réalisation d’opérations techniques et de qualification, à savoir la normalisation postale, le dédoublonnage, l’enrichissement téléphonique, etc., participent à la réalisation des opérations de prospection commerciale de ses partenaires ».
Défense de la société : Tagadamedia avait soutenu (§ 55) que la transmission aux partenaires « pour la réalisation d’opérations techniques et de qualification » relevait de l’intérêt légitime, et non du consentement ; que l’exploitation de données postales sans opt-in « n’est pas le résultat d’un fait généralisé » et qu’elle « n’apporte d’ailleurs aucun avantage économique » (§ 56). Elle avait ajouté (§ 57) avoir cessé cette transmission depuis le 1er février 2023.
L’ANNULATION PARTIELLE PRONONCÉE PAR LE CONSEIL D’ÉTAT : VIOLATION DES DROITS DE LA DÉFENSE
Le Conseil d’État a annulé cette seconde branche du manquement article 6 en relevant une violation caractérisée du principe des droits de la défense (§ 8 de l’arrêt) :
« En ne retenant pas ce grief mais en lui substituant un grief distinct, fondé sur les mêmes faits mais tiré de la méconnaissance par la société de l’obligation, prévue par les dispositions précitées de l’article 6 du règlement, de recueillir le consentement des personnes concernées préalablement à toute transmission de leurs données à caractère personnel, alors que ce grief n’avait pas été retenu par le rapport communiqué à la société et qu’elle n’avait donc pas pu formuler d’observations en réponse sur ce point, la formation restreinte a méconnu le principe des droits de la défense. »
Le Conseil d’État a rappelé le fondement constitutionnel du principe au § 6, tiré de l’article 16 de la Déclaration des droits de l’homme et du citoyen de 1789, et a précisé « que la personne concernée soit informée, avec une précision suffisante et dans un délai raisonnable avant le prononcé de la sanction, des griefs formulés à son encontre et puisse avoir accès aux pièces au vu desquelles les manquements ont été retenus ». La combinaison de l’article 22 de la loi du 6 janvier 1978 — qui prévoit que le rapport est notifié au responsable de traitement « qui peut déposer des observations » — et du principe constitutionnel interdisait à la formation restreinte de sanctionner sur un fondement distinct de celui instruit et notifié.
Cette censure a conduit à la réduction de l’amende de 75 000 à 50 000 euros (§§ 14 et article 1er du dispositif).
IV. TROISIÈME MANQUEMENT RETENU — ARTICLE 30 RGPD : INSUFFISANCE DU REGISTRE DES ACTIVITÉS DE TRAITEMENT
A. FONDEMENT NORMATIF
L’article 30, §1, du RGPD impose au responsable de traitement de tenir un registre comprenant notamment le nom et les coordonnées du responsable de traitement et, le cas échéant, du responsable conjoint, les finalités du traitement, les catégories de personnes et de données concernées, et « dans la mesure du possible, les délais prévus pour l’effacement des données et la description des mesures techniques et organisationnelles ».
B. CONSTAT ET MOTIVATION DE LA FORMATION RESTREINTE
La formation restreinte a constaté (§§ 70-71) que :
« La société TAGADAMEDIA met en œuvre un registre des activités de traitement, tenu en commun avec la société […], rachetée par elle, pour des traitements relatifs aux ressources humaines ou aux activités de prospection. […] ledit registre ne distingue pas quelle société agit en qualité de responsable de traitement pour l’activité en question. En effet, il n’est pas précisé pour les activités de ressources humaines ou de prospection si c’est la société TAGADAMEDIA ou la société […] qui agit en qualité de responsable de traitement. Or la société TAGADAMEDIA aurait dû, au regard du nombre de données traitées et de son activité, veiller au caractère exhaustif, précis et à jour de son registre des activités de traitement. »
C. DÉFENSE DE LA SOCIÉTÉ ET RÉPONSE DE LA FORMATION RESTREINTE
La société avait soutenu (§ 68) que son registre était « un modèle de registre simplifié proposé par la CNIL » et « comprend bien toutes les mentions prévues à l’article 30 du RGPD ». Elle avait également souligné (§ 69) « qu’il est relativement rare que la CNIL sanctionne des organismes sur le fondement de l’article 30 du RGPD et que les décisions qui visent ce manquement concerneraient des faits plus graves (absence totale de registre, absence de mise en conformité après une mise en demeure, etc.) ».
La formation restreinte a écarté ces arguments au § 87 : « la formation restreinte estime que même si ce manquement est de faible gravité, le prononcé d’une amende apparaît justifié ». La précision « au regard du nombre de données traitées et de son activité » introduit un principe de proportionnalité des exigences : le niveau de précision attendu du registre croît avec le volume et la nature des données traitées.
Il convient de noter que ce manquement n’a pas été contesté devant le Conseil d’État, de sorte qu’il est définitif.
V. MANQUEMENT ÉCARTÉ — ARTICLE 32 RGPD : SÉCURITÉ DES DONNÉES
La rapporteure avait relevé l’existence d’un compte administrateur de base de données partagé entre deux personnes, considérant que cette pratique n’est « pas conforme aux exigences de sécurité » car « pour être efficace, un mot de passe doit demeurer secret et individuel » (§ 75). La formation restreinte a cependant écarté ce grief (§§ 78-80), en retenant que « la connexion au VPN au moyen de clés d’authentification individuelles constitue une bonne pratique et qu’elle permet, au regard du nombre restreint de personnes accédant au compte d’administration et de leur qualité, d’imputer les accès et actions effectuées au sein de la base de données par un compte administrateur partagé en cas de nécessité ». Elle a conclu que « la société avait mis en œuvre les mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque ».
VI. DÉTERMINATION DES MESURES CORRECTRICES ET DISPOSITIF
A. AMENDE ADMINISTRATIVE (75 000 € → 50 000 € APRÈS RÉFORME CE)
La formation restreinte a motivé le quantum de l’amende en soulignant (§ 85) que « l’écosystème de la revente de données de partenaires en partenaires exige des garanties particulièrement fortes quant à la qualité et à la validité du consentement obtenu par le primo-collectant des données et dont les partenaires se prévalent à des fins de prospection commerciale » et que « la base de données de prospects de la société compte environ six millions de prospects ». Elle a tenu compte de la coopération de la société et des mesures prises en cours de procédure.
Le Conseil d’État a réduit cette amende à 50 000 euros en raison de l’annulation partielle du manquement article 6 (§ 14 de l’arrêt).
B. INJONCTION DE MISE EN CONFORMITÉ DES FORMULAIRES
La formation restreinte a prononcé une injonction sous astreinte de 1 000 euros par jour de retard (§§ 92-93). Le Conseil d’État a confirmé cette injonction au § 16 de son arrêt, en validant expressément l’analyse du troisième formulaire « J’ACCEPTE / ÉTAPE SUIVANTE » comme non-conforme.
La conformité des nouveaux formulaires a été constatée par la délibération SAN-2024-007 du 25 avril 2024, qui a clôturé l’injonction et acté que les trois nouveaux formulaires (avec intitulés explicites « Je participe et j’accepte… » / « Je participe et je refuse… ») satisfaisaient aux exigences du RGPD.
C. PUBLICATION DE LA SANCTION
La formation restreinte a ordonné la publication de la délibération (§§ 94-97) « au regard de la gravité de certains des manquements en cause, de la portée du traitement et du nombre de personnes concernées, soit environ 6 millions de prospects », en l’assortissant d’une anonymisation à l’issue d’un délai de deux ans. Le Conseil d’État a ordonné la publication de son arrêt dans les mêmes conditions (§ 17 de l’arrêt).
D. DISPOSITIF — VERBATIM INTÉGRAL
Dispositif de la délibération SAN-2023-025 du 29 décembre 2023 :
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société TAGADAMEDIA d’un montant de soixante-quinze mille (75 000 €) pour manquements aux articles 6 et 30 du RGPD ;
• prononcer à l’encontre de la société TAGADAMEDIA une injonction de mettre en œuvre sur les sites qu’elle édite un formulaire de collecte des données de prospects permettant de recueillir un consentement libre, spécifique, éclairée et univoque quant à la transmission de leurs données à caractère personnel à des partenaires à des fins de prospection ;
• assortir l’injonction d’une astreinte de mille (1 000) euros par jour de retard à l’issue d’un délai d’un mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.
Dispositif de l’arrêt CE n° 492836 du 20 mai 2026 :
Article 1er : Le montant de l’amende administrative prononcée à l’encontre de la société Tagadamedia par la délibération de la formation restreinte de la CNIL du 29 décembre 2023 est ramené à 50 000 euros.
Article 2 : La délibération de la formation restreinte de la CNIL du 29 décembre 2023 est réformée en ce qu’elle a de contraire à la présente décision.
Article 3 : La présente décision sera publiée sur le site internet de la CNIL et sur le site Légifrance dans les mêmes conditions que la délibération ainsi réformée.
Article 4 : La CNIL versera à la société Tagadamedia la somme de 2 000 euros en application des dispositions de l’article L. 761-1 du code de justice administrative.
Article 5 : Le surplus des conclusions de la requête est rejeté.
JURISPRUDENCE CONNEXE
A. JURISPRUDENCES ANTÉRIEURES DE LA CNIL SUR LE CONSENTEMENT ET LA PROSPECTION
La délibération SAN-2023-025 s’inscrit dans une évolution jurisprudentielle continue de la CNIL concernant les interfaces de recueil du consentement, amorcée bien avant l’entrée en vigueur du RGPD et intensifiée à partir de 2020.
La délibération SAN-2019-001 du 21 janvier 2019 contre Google LLC (50 millions d’euros) avait posé les bases de l’exigence d’une information « claire et compréhensible » et d’un consentement « suffisamment éclairé », en relevant que les informations essentielles relatives à l’utilisation des données à des fins de personnalisation étaient accessibles de manière indirecte, via plusieurs niveaux de menus. La CNIL avait retenu l’absence de consentement valide, fondé sur l’absence de « clarté » et de « lisibilité » des informations présentées lors de la création d’un compte Google.
La délibération SAN-2022-021 du 31 octobre 2022 contre Clearview AI (20 millions d’euros) avait illustré une problématique connexe de collecte massive de données sans base légale valable. Si la problématique du consentement y était différente (absence totale de base légale plutôt qu’invalidité du consentement), la CNIL y avait confirmé son approche rigoureuse des exigences de l’article 6 du RGPD pour les acteurs dont l’activité repose sur la collecte et la commercialisation de données personnelles à grande échelle.
La délibération SAN-2022-017 du 21 septembre 2022 contre Infogreffe (250 000 euros) avait retenu un manquement à l’article 6 pour défaut de consentement valide, en relevant que les utilisateurs n’avaient pas été informés de manière adéquate de la finalité de prospection commerciale lors de la collecte de leurs données.
La recommandation CNIL n° 2020-092 du 17 septembre 2020 sur les cookies constitue le pivot normatif de toute cette jurisprudence. En formulant les exigences de neutralité visuelle, d’équivalence des boutons et de lisibilité du texte d’information, la CNIL avait anticipé leur généralisation à l’ensemble des interfaces de recueil du consentement — ce que la délibération TAGADAMEDIA a expressément consacré.
B. JURISPRUDENCES POSTÉRIEURES CONFIRMANT ET APPROFONDISSANT L’ACQUIS TAGADAMEDIA
L’affaire TAGADAMEDIA a elle-même nourri la jurisprudence postérieure. La délibération SAN-2024-003 (rendue publique en 2024) a cité la délibération SAN-2023-025 comme précédent en matière d’exigences de design des interfaces de consentement. La délibération SAN-2024-004 a rappelé la transposabilité de la recommandation cookies à la prospection commerciale, en s’appuyant directement sur les §§ 30 et 34 de la délibération TAGADAMEDIA.
La délibération SAN-2025-001 a expressément invoqué SAN-2023-025 comme fondement de l’exigence selon laquelle « les boutons d’acceptation et de refus doivent être présentés de manière strictement identique en taille, police, couleur et positionnement », élevant ainsi ce standard au rang de règle jurisprudentielle constante. La délibération SAN-2025-002 a étendu ce raisonnement aux formulaires d’inscription sur les plateformes d’e-commerce proposant un opt-in simultané à l’inscription.
L’arrêt CE n° 492836 du 20 mai 2026 produit par ailleurs un apport procédural qui intéresse l’ensemble des procédures de sanction CNIL : la formation restreinte ne peut pas, sans méconnaître les droits de la défense, substituer un grief distinct à celui figurant dans le rapport notifié, quand bien même les faits sous-jacents seraient identiques. Cette règle, d’abord affirmée dans le contentieux des sanctions administratives générales, est désormais expressément appliquée aux procédures de la CNIL, renforçant le droit à un procès équitable des responsables de traitement mis en cause.
POINTS ESSENTIELS
La délibération SAN-2023-025 du 29 décembre 2023 sanctionne la société TAGADAMEDIA — courtier en données dont l’activité consiste à organiser des jeux-concours en ligne aux fins de collecter des données de prospects et de les revendre à des partenaires annonceurs pour prospection commerciale — d’une amende administrative de 75 000 euros pour manquements aux articles 6 et 30 du RGPD, assortie d’une injonction de mettre en conformité ses formulaires de recueil du consentement sous astreinte de 1 000 euros par jour de retard ;
L’arrêt du Conseil d’État, chambres réunies, n° 492836 du 20 mai 2026 réforme partiellement cette décision en réduisant l’amende à 50 000 euros au motif que la formation restreinte, en substituant au grief de traitement déloyal (art. 5 RGPD) retenu dans le rapport du rapporteur un grief distinct fondé sur l’article 6 du RGPD pour la transmission de données sans consentement par voie postale et téléphonique, a méconnu le principe des droits de la défense — la société n’ayant pas été en mesure de formuler des observations sur ce fondement reformulé — tout en confirmant, par ailleurs, l’intégralité de la délibération L’invalidité du consentement recueilli via les trois générations de formulaires successivement utilisés (bouton unique « JE VALIDE » : double bouton « JE VALIDE/JE REFUSE », puis double bouton « J’ACCEPTE/ÉTAPE SUIVANTE »), en validant l’injonction de mise en conformité, en écartant le moyen tiré de la violation du principe de légalité des délits et des peines, et en accordant à la société la somme de 2 000 euros au titre de l’article L. 761-1 du code de justice administrative ;
La décision présente une portée structurante à plusieurs égards : elle confirme la transposabilité des critères jurisprudentiels développés en matière de cookies à l’ensemble des interfaces de recueil du consentement en ligne, y compris dans le secteur de la prospection commerciale ; elle consacre l’exigence de cohérence entre la base légale déclarée dans la politique de confidentialité et la pratique effective de transmission des données, de sorte que le responsable de traitement ayant déclaré le consentement comme fondement ne peut invoquer l’intérêt légitime a posteriori pour couvrir des transmissions réalisées sans opt-in ; elle fixe un standard élevé d’exigences de design pour les formulaires de collecte (boutons de taille, police, couleur et intitulé équivalents, texte d’information lisible, absence de hiérarchisation visuelle entre les options), confirmé positivement par la délibération SAN-2024-007 du 25 avril 2024 qui a acté la conformité des nouveaux formulaires mis en place par la société à la suite de l’injonction ; enfin, l’arrêt du Conseil d’État produit un enseignement procédural de premier ordre en rappelant que la formation restreinte ne peut pas substituer un grief autonome à celui figurant dans le rapport notifié, même s’il procède des mêmes faits, sans priver le responsable de traitement de ses droits de la défense.
COURTIER EN DONNÉES | SANCTION
01.06.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats