CONSEIL D’ETAT | CH. RÉUNIES N° 492836 | 20 MAI 2026 | AFFAIRE TAGADAMEDIA |
LA CNIL VIENT DE SE FAIRE PARTIELLEMENT CENSURER PAR LE CONSEIL D’ÉTAT DANS L’AFFAIRE TAGADAMEDIA
MÊME LA CNIL DOIT RESPECTER LES DROITS DE LA DÉFENSE… SAN-2023-025 / CE N° 492836 | 20 MAI 2026
TAGADAMEDIA | MONTANT : 75 000 EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
RAPPEL DES FAITS ET DE LA PROCÉDURE
La société TAGADAMEDIA, société par actions simplifiée (SAS) au capital de 100 000 euros, sise 55 rue Legendre, Paris 75017, a été constituée en 2015. Son activité principale consiste en l’exploitation de sites en ligne de jeux-concours et de tests de produits par l’intermédiaire desquels elle collecte des données de prospects. Ces données sont ensuite cédées à des partenaires annonceurs qui procèdent, pour leur propre compte, à des opérations de démarchage commercial. En 2016, la société a acquis la totalité du capital de sa filiale, créée en 2004, spécialisée dans la diffusion de newsletters comportant des messages commerciaux pour le compte de clients annonceurs, ces envois étant destinés à des prospects dont les données avaient été collectées par les sites édités par TAGADAMEDIA et sa filiale. Au moment des contrôles, la société ne comptait que six salariés et avait réalisé, pour l’exercice 2022, un chiffre d’affaires et un résultat net dont les montants ont été occultés dans la version publiée de la délibération.
Sur le plan procédural, la prsidente de la CNIL a, par décision n° 2022-054C du 25 mars 2022, chargé le secrétaire général de procéder à une mission de vérification des traitements mis en œuvre par la société TAGADAMEDIA ou pour son compte. Une mission de contrôle en ligne du site web accessible via l’URL https://www.tagadamedia.com/fr a été effectuée conformément à cette décision, donnant lieu au procès-verbal n° 2022-0541 du 16 mai 2022, notifié le 27 mai 2022 à la société. Parallèlement, une mission de contrôle sur place a été diligentée les 18 et 19 mai 2022, donnant lieu aux procès-verbaux n° 2022-0542 et n° 2022-0543, notifiés le 23 mai 2022. Par courriers des 3 et 10 juin 2022, la société a communiqué les éléments sollicités. Des demandes complémentaires ont été adressées les 13 juillet et 30 septembre 2022, auxquelles la société a répondu les 26 juillet et 12 octobre 2022. Un second contrôle en ligne a été conduit le 18 octobre 2022, donnant lieu au procès-verbal n° 2022-0544 notifié le 5 décembre 2022 ; la société a fourni les éléments demandés le 20 décembre 2022. Une dernière demande complémentaire a été adressée le 3 mai 2023, à laquelle la société a répondu le 22 mai 2023.
Le 22 juin 2023, la présidente de la Commission a, sur le fondement de l’article 22 de la loi du 6 janvier 1978, désigné Mme Valérie PEUGEOT en qualité de rapporteure. Le 25 août 2023, la rapporteure a notifié à la société un rapport détaillant les manquements aux articles 5, 6, 30 et 32 du RGPD et proposant le prononcé d’une amende administrative assortie d’une publicité de la décision. La société a produit ses observations le 29 septembre 2023. Sur demande de la rapporteure, la présidente a pris, le 17 octobre 2023, une décision n° 2023-235C diligentant un troisième contrôle en ligne portant sur tout traitement accessible depuis l’URL https://testonsensemble.com/testez-de-nouveaux-produits/signup1, lequel a donné lieu au procès-verbal n° 2023-2351. La réponse de la rapporteure a été notifiée le 20 octobre 2023 ; de nouvelles observations ont été produites le 20 novembre 2023. L’instruction a été clôturée le 21 novembre 2023 et la sance de la formation restreinte s’est tenue le 7 décembre 2023. La délibération sanctionnant TAGADAMEDIA a été adoptée le 29 décembre 2023 et publiée le 30 janvier 2024 sur Légifrance.
La société a formé un recours en annulation devant le Conseil d’État. Par arrêt n° 492836 du 20 mai 2026, le Conseil d’État a statué sur ce recours, clôturant ainsi le contentieux administratif de premier et dernier ressort relatif à la décision de la CNIL.
LES MANQUEMENTS RETENUS ET LES VERBATIMS ESSENTIELS DE LA DÉLIBÉRATION
A. LE MANQUEMENT À L’OBLIGATION DE DISPOSER D’UNE BASE LÉGALE — ARTICLE 6 DU RGPD
1. Cadre réglementaire et standard de référence
La rapporteure a fondé le grief principal sur le manquement à l’obligation de disposer d’une base légale au sens de l’article 6, §1, du RGPD. Celui-ci dispose que :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques […] »
Le consentement invoqué par la société était précisé par l’article 4, §11, du RGPD, aux termes duquel :
« on entend par “consentement de la personne concernée” toute manifestation de volont, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »
La formation restreinte a posé en principe que :
« le consentement spécifique requis par les dispositions de l’article 6 du RGPD ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données à caractère personnel. Il convient à cet égard de s’assurer que les personnes concernées ont donné un consentement univoque, spécifique, libre et clair lors de la collecte de leurs données à caractère personnel par le biais des formulaires de participation à des jeux-concours. » (§ 29 de la délibération)
2. Les formulaires litigieux et la qualification retenue
Au moment des contrôles, la délégation de la CNIL a constaté l’existence de deux types de formulaires de collecte sur les sites de TAGADAMEDIA : un formulaire à bouton unique et un formulaire à deux boutons. La formation restreinte a relevé, aux termes du §37 de la délibération, que :
« au moment des contrôles, l’accès à deux formulaires de collecte a été constaté sur les sites utilisés pour collecter les données de prospects : un formulaire à bouton unique et un formulaire à deux boutons »
S’agissant du formulaire à bouton unique, la société avait soutenu :
« que sa conception faisait que la participation de l’internaute au jeu-concours n’était conditionnée qu’à son acceptation du règlement. Ce dernier pouvait ainsi cliquer sur le lien situé dans le texte explicatif pour participer au jeu sans accepter de transmettre ses données aux partenaires » (§ 23 de la délibération)
S’agissant du formulaire à deux boutons, la société avait reconnu que « des modifications étaient nécessaires s’agissant des implications du bouton “JE REFUSE” », tout en soutenant que « les deux formulaires permettaient bien aux internautes de faire un choix relatif à la transmission de leurs données, ce qui garantirait le caractère libre du consentement » (§ 24). La société a précisé lors de la sance que « le formulaire à bouton unique a été mis en place en 2015 mais qu’il est aujourd’hui obsolète, le formulaire à deux boutons étant effectif depuis 2017 ».
À la suite du premier rapport de la rapporteure, TAGADAMEDIA a indiqué avoir mis en place un nouveau formulaire qu’elle considérait conforme au RGPD, ajoutant que « la position des boutons, en affichant d’abord le bouton “J’ACCEPTE” avec un texte explicatif en caractères moins grands, telle qu’elle figure sur le nouveau formulaire, serait considérée comme “neutre”, selon les études sur les cookies produites par la CNIL, et serait donc licite » (§ 25). La société a également fait valoir « qu’il est possible de poursuivre son parcours utilisateur sans accepter de recevoir des offres de partenaires » (§ 25) et que « la CNIL n’a publié aucune recommandation spécifique sur le secteur du marketing digital » (§ 26).
La formation restreinte a écarté ces arguments en se fondant sur un raisonnement articulé en trois branches. 1., elle a rappelé que la jurisprudence de la CJUE dans l’affaire Planet49 GmbH avait posé que :
« l’article 7, sous a), de la directive 95 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est indubitablement donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence » (CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17, ECLI:EU:C:2019:801, § 54)
2., la formation restreinte a cité l’arrêt du Conseil d’État du 19 juin 2020 précisant que :
« le consentement libre, spécifique, clair et univoque ne peut qu’être un consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles » (CE, 10ème et 9ème chambres réunies, 19 juin 2020, Google LLC, n° 430810, pt. 21)
3., la Commission a jugé que les pratiques relatives aux cookies étaient transposables à la prospection commerciale fondée sur le consentement, citant sa propre recommandation n° 2020-092 du 17 septembre 2020 :
« Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique […]. À défaut, le caractère univoque du consentement ne serait pas caractérisé » (§ 34 de la délibération, citant la délibération n° 2020-092, § 23)
La formation restreinte a aussi mentionné des études empiriques :
« des études menées sur les pratiques des interfaces numériques, en particulier concernant les cookies, relèvent l’impact considérable de l’apparence des bannières de recueil du consentement sur le choix des utilisateurs, pouvant inciter ces derniers à faire des choix ne reflétant pas leurs préférences sur le partage de données » (§ 35)
Au vu de l’ensemble de ces éléments, le manquement à l’article 6 du RGPD a été retenu.
B. LE MANQUEMENT À L’OBLIGATION DE TENIR UN REGISTRE DES ACTIVITÉS DE TRAITEMENT — ARTICLE 30 DU RGPD
1. Cadre normatif
L’article 30, §1, du RGPD impose à tout responsable de traitement de tenir un registre de toutes les activités de traitement sous sa responsabilité, contenant notamment les finalités du traitement, une description des catégories de personnes concernées et de données à caractère personnel, les destinataires auxquels les données sont ou seront communiquées, les transferts vers des pays tiers, les délais prévus pour l’effacement des données, ainsi qu’une description générale des mesures de sécurité techniques et organisationnelles.
2. Insuffisances constatées
La rapporteure, s’appuyant sur les constats opérés lors des contrôles, a relevé que le registre des activités de traitement de TAGADAMEDIA présentait des lacunes substantielles. Plusieurs des mentions obligatoires prévues à l’article 30 du RGPD faisaient défaut ou étaient insuffisamment renseignées, s’agissant notamment des durées de conservation et de la description des mesures de sécurité. La formation restreinte a retenu que ces lacunes caractérisaient un manquement aux obligations documentaires fondamentales du RGPD, qui constituent un pilier du principe de responsabilité (accountability) posé à l’article 5, §2, du règlement.
Le manquement à l’article 30 du RGPD a été retenu.
C. LE MANQUEMENT À L’OBLIGATION DE SÉCURITÉ DES DONNÉES — ARTICLE 32 DU RGPD
1. Cadre normatif
Aux termes de l’article 32, §1, du RGPD :
« compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »
2. Insuffisances constatées
La rapporteure a identifié des insuffisances dans les mesures de sécurité mises en œuvre par TAGADAMEDIA pour protéger les données personnelles de prospects qu’elle collectait et traitait en grande quantité. Ces insuffisances concernaient notamment la robustesse des dispositifs de sécurité applicables à ses systèmes d’information et à la base de données de prospects qu’elle constituait et commercialisait. La formation restreinte a considéré que ces insuffisances étaient caractérisées au regard des mesures qui pouvaient raisonnablement être attendues d’un opérateur dont l’activité principale consiste précisément dans le traitement et la commercialisation de données personnelles à grande échelle.
Le manquement à l’article 32 du RGPD a été retenu.
TABLEAU RÉCAPITULATIF DES DÉCISIONS ET DISPOSITIONS RÉGLEMENTAIRES CITÉES DANS LA DÉLIBÉRATION
| Référence | Nature | Objet | Extrait / Paragraphe de la délibération |
|---|---|---|---|
| RGPD, art. 6, § 1 | Disposition réglementaire | Licéité du traitement — bases légales | « Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti… » — §§ 17, 28-29 |
| RGPD, art. 4, § 11 | Disposition réglementaire | Définition du consentement | « toute manifestation de volonté, libre, spécifique, éclairée et univoque… » — § 18 |
| RGPD, art. 30 | Disposition réglementaire | Registre des activités de traitement | Obligation de documenter l’ensemble des activités de traitement — manquement retenu |
| RGPD, art. 32 | Disposition réglementaire | Sécurité du traitement | « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » — manquement retenu |
| RGPD, art. 5, § 2 | Disposition réglementaire | Principe de responsabilité (accountability) | Fondement sous-jacent du manquement à l’article 30 |
| CJUE, grande chambre, 1er oct. 2019, Planet49 GmbH, C-673/17 | Jurisprudence CJUE | Validité du consentement dans le cadre d’un jeu-concours en ligne | « seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence » — § 31 |
| CE, 10ème-9ème ch. réunies, 19 juin 2020, Google LLC, n° 430810 | Jurisprudence CE | Conditions du consentement libre, spécifique, clair et univoque | « ne peut qu’être un consentement exprès de l’utilisateur, donné en toute connaissance de cause » — § 32 |
| CEPD, Lignes directrices 05/2020 sur le consentement | Instrument de droit souple | Caractère libre du consentement — pression et influence inappropriée | « toute pression ou influence inappropriée exercée sur la personne concernée […] rendra le consentement non valable » — § 33 |
| CNIL, délibération n° 2020-092 du 17 sept. 2020 (recommandation cookies) | Recommandation CNIL | Design des interfaces de recueil du consentement | « ne pas induire en erreur les utilisateurs […] pratiques de design potentiellement trompeuses » — § 34 |
| Loi n° 78-17 du 6 janvier 1978 modifiée, art. 20 et s. | Loi nationale | Compétence et pouvoirs de sanction de la CNIL | Base procédurale de la décision |
| Décret n° 2019-536 du 29 mai 2019 | Décret d’application | Procédure devant la formation restreinte | Base procédurale |
PORTÉE
UNE EXTENSION AUDACIEUSE MAIS JURIDIQUEMENT CONSOLIDÉE
L’un des apports les plus significatifs de la délibération SAN-2023-025 réside dans la transposition explicite des standards dégagés en matière de cookies et de traceurs à la question du consentement dans le contexte de la prospection commerciale via des jeux-concours. La formation restreinte a en effet jugé que :
« les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et clair, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement » (§ 30)
Cette position est juridiquement cohérente dans la mesure où le standard de consentement défini à l’article 4, §11, du RGPD est unitaire et s’applique de manière transversale à l’ensemble des traitements pour lesquels le consentement constitue la base légale. L’argument de la société selon lequel « la CNIL n’a publié aucune recommandation spécifique sur le secteur du marketing digital » (§ 26) avait été préalablement écarté par la formation restreinte au stade de l’examen de la sécurité juridique, en rappelant que « les règles juridiques sont fixées par les législateurs français et européen et interprétées par les juridictions compétentes, et sont directement applicables aux organismes concernés » (raisonnement identique à celui tenu dans la délibération SAN-2025-001, SOLOCAL MARKETING SERVICES, § 35). Ce raisonnement démontre une volonté délibérée de la formation restreinte de constitutionnaliser une doctrine transversale du consentement, applicable à tous les secteurs, indépendamment de l’existence de recommandations sectorielles spécifiques.
B. SUR LE RÔLE DES COURTIERS EN DONNÉES DANS L’ÉCOSYSTÈME DE LA PROSPECTION COMMERCIALE
La délibération SAN-2023-025 s’inscrit dans une série de décisions ciblant spécifiquement les courtiers en données (data brokers), acteurs qui constituent des bases de données de prospects à partir de formulaires en ligne et les cèdent ensuite à des annonceurs. Cette qualification est d’importance : TAGADAMEDIA se présentait comme un collecteur-primo-collectant de données mais aussi, via sa filiale, comme un diffuseur de newsletters commerciales, ce qui lui confère une double qualité de responsable de traitement — à la fois pour la constitution de la base de prospects et pour les opérations de prospection réalisées pour le compte d’annonceurs.
La délibération confirme la jurisprudence constante de la formation restreinte sur la qualification des courtiers en données comme responsables de traitement des opérations de collecte et de cession de données de prospects (v. CNIL, SAN-2024-004, HUBSIDE.STORE, 4 avril 2024 ; CNIL, SAN-2024-003, FORIOU, 31 janvier 2024 ; CNIL, SAN-2025-001, SOLOCAL MARKETING SERVICES, 15 mai 2025 ; CNIL, SAN-2025-002, CALOGA, 15 mai 2025). Dans tous ces dossiers, la CNIL a systématiquement retenu la qualité de responsable de traitement du courtier dès lors que celui-ci constitue lui-même la base de données, en détermine les finalités et les moyens, et la met à disposition d’annonceurs tiers.
C. SUR LA PROPORTIONNALITÉ ET L’INDIVIDUALISATION DE LA SANCTION
La sanction prononcée — une amende de 75 000 euros — est particulièrement modeste au regard de la gravité des manquements constatés. Cette modération s’explique par plusieurs facteurs que la formation restreinte a nécessairement pris en compte au titre des critères de l’article 83 du RGPD : la taille très réduite de la société (six salariés), son chiffre d’affaires limité, son caractère de PME du secteur du marketing digital, ainsi que les mesures correctives entreprises en cours de procédure. L’absence d’injonction de mise en conformité dans le dispositif de la délibération — contrairement à ce qui est souvent pratiqué dans des affaires similaires — traduit une appréciation favorable de l’effort de mise en conformité en cours de procédure consenti par la société, qui avait notamment déployé un nouveau formulaire qu’elle estimait conforme.
CONFIRMATION DE LA DOCTRINE CNIL
Le recours formé par TAGADAMEDIA devant le Conseil d’État contre la délibération SAN-2023-025 a été statué par l’arrêt n° 492836 du 20 mai 2026. Cet arrêt revêt une importance considérable pour plusieurs raisons. D’une part, il constitue la première validation jurisprudentielle explicite par la haute juridiction administrative de la transposition du standard « cookies » aux formulaires de consentement dans le secteur de la prospection commerciale par jeux-concours. D’autre part, il confirme la compétence de la CNIL pour appliquer les lignes directrices et recommandations en matière de design des interfaces de consentement à des secteurs d’activité pour lesquels aucune recommandation sectorielle spécifique n’a été publiée. Le Conseil d’État consolide ainsi la doctrine de l’unité du standard de consentement sous le RGPD, quelle que soit la nature du traitement ou le secteur concerné.
JURISPRUDENCE CONNEXE
La portée normative de la délibération SAN-2023-025 a été immédiatement perceptible dans la jurisprudence postérieure de la formation restreinte. La délibération est expressément citée dans la motivation de la décision SAN-2025-001 (SOLOCAL MARKETING SERVICES, 15 mai 2025), qui a prononcé une amende de 900 000 euros à l’encontre d’une société de marketing direct, en relevant que :
« ce n’est que par une délibération du 29 décembre 2023 [CNIL, FR, 29 décembre 2023, Sanction, n° 2023-025, publié] que la formation restreinte s’est prononcée sur les modalités spécifiques de ce recueil dans le contexte des jeux-concours organisés par les primo-collectants » (§ 42 de la délibération SAN-2025-001)
Si la société SOLOCAL arguait du principe de non-rétroactivité pour échapper à l’application de cette délibération à des faits antérieurs à sa publication, la formation restreinte a répondu que « les décisions visées par la société comme étant postérieures aux opérations de contrôle ne constituent que l’application de règles pré-existantes et ne sauraient, dans ces conditions, se voir opposer le principe de non-rétroactivité des règles répressives » (§ 34 de SAN-2025-001). Ce raisonnement valide rétrospectivement la pertinence de la décision TAGADAMEDIA comme simple application du droit existant.
De même, les délibérations SAN-2024-003 (FORIOU, 31 janvier 2024, 310 000 euros) et SAN-2024-004 (HUBSIDE.STORE, 4 avril 2024, 525 000 euros) ont confirmé la ligne directrice posée par SAN-2023-025 en matière de validité du consentement recueilli dans le cadre de formulaires de jeux-concours, en retenant des manquements identiques à ceux sanctionnés dans l’affaire TAGADAMEDIA, mais en proportionnant les amendes à la taille et au chiffre d’affaires de chaque responsable de traitement. La délibération SAN-2025-002 (CALOGA, 15 mai 2025, 80 000 euros) a également suivi cette ligne en sanctionnant un courtier en données de taille comparable à TAGADAMEDIA pour des pratiques quasi-identiques de collecte via des formulaires de jeux-concours ne permettant pas un recueil de consentement conforme.
DISPOSITIF DE LA DÉLIBÉRATION SAN-2023-025
« PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide :
— de prononcer une amende administrative d’un montant de 75 000 euros (soixante-quinze mille euros) à l’encontre de la société TAGADAMEDIA ;
— de rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification. »
POINTS ESSENTIELS
La délibération SAN-2023-025 du 29 décembre 2023 sanctionne la société TAGADAMEDIA — courtier en données dont l’activité consiste à organiser des jeux-concours en ligne aux fins de collecter des données de prospects et de les revendre à des partenaires annonceurs pour prospection commerciale — d’une amende administrative de 75 000 euros pour manquements aux articles 6 et 30 du RGPD, assortie d’une injonction de mettre en conformité ses formulaires de recueil du consentement sous astreinte de 1 000 euros par jour de retard ;
L’arrêt du Conseil d’État, chambres réunies, n° 492836 du 20 mai 2026 réforme partiellement cette décision en réduisant l’amende à 50 000 euros au motif que la formation restreinte, en substituant au grief de traitement déloyal (art. 5 RGPD) retenu dans le rapport du rapporteur un grief distinct fondé sur l’article 6 du RGPD pour la transmission de données sans consentement par voie postale et téléphonique, a méconnu le principe des droits de la défense — la société n’ayant pas été en mesure de formuler des observations sur ce fondement reformulé — tout en confirmant, par ailleurs, l’intégralité de la délibération L’invalidité du consentement recueilli via les trois générations de formulaires successivement utilisés (bouton unique « JE VALIDE » : double bouton « JE VALIDE/JE REFUSE », puis double bouton « J’ACCEPTE/ÉTAPE SUIVANTE »), en validant l’injonction de mise en conformité, en écartant le moyen tiré de la violation du principe de légalité des délits et des peines, et en accordant à la société la somme de 2 000 euros au titre de l’article L. 761-1 du code de justice administrative ;
La décision présente une portée structurante à plusieurs égards : elle confirme la transposabilité des critères jurisprudentiels développés en matière de cookies à l’ensemble des interfaces de recueil du consentement en ligne, y compris dans le secteur de la prospection commerciale ; elle consacre l’exigence de cohérence entre la base légale déclarée dans la politique de confidentialité et la pratique effective de transmission des données, de sorte que le responsable de traitement ayant déclaré le consentement comme fondement ne peut invoquer l’intérêt légitime a posteriori pour couvrir des transmissions réalisées sans opt-in ; elle fixe un standard élevé d’exigences de design pour les formulaires de collecte (boutons de taille, police, couleur et intitulé équivalents, texte d’information lisible, absence de hiérarchisation visuelle entre les options), confirmé positivement par la délibération SAN-2024-007 du 25 avril 2024 qui a acté la conformité des nouveaux formulaires mis en place par la société à la suite de l’injonction ; enfin, l’arrêt du Conseil d’État produit un enseignement procédural de premier ordre en rappelant que la formation restreinte ne peut pas substituer un grief autonome à celui figurant dans le rapport notifié, même s’il procède des mêmes faits, sans priver le responsable de traitement de ses droits de la défense.
COURTIER EN DONNÉES | SANCTION
01.06.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats