CONSEIL D'ETAT | Ch. Réunies n° 492836 | 20 mai 2026 | Affaire TAGADAMEDIA | SAN-2023-025-ESSENTIELS

1. La déclaration volontaire du consentement comme base légale engage irrévocablement le responsable de traitement pour l’intégralité de la chaîne de collecte et de transmission

La délibération SAN-2023-025 repose sur un constat préliminaire d’une portée normative considérable : TAGADAMEDIA avait elle-même déclaré, dans sa politique de protection des données accessible via ses sites web, que « le fondement légal du traitement » de la transmission des données de prospects à ses partenaires à des fins de prospection « par courrier électronique, par SMS/MMS, par courrier postal ou par télémarketing » était le consentement. La formation restreinte rappelle au § 28 que « aussi bien la politique de protection des données, accessible via les sites web, que le registre des activités de traitement de la société, prévoient que la base légale de la transmission des données de prospects à des fins de prospection par voie électronique, téléphonique ou postale est le consentement, ce que confirme la société ». Cette déclaration volontaire a eu pour effet d’interdire à la société de se prévaloir, en cours de procédure, d’une base légale alternative — l’intérêt légitime — pour couvrir les transmissions de données à des fins d’opérations techniques et de qualification réalisées au bénéfice de ses partenaires. La formation restreinte a en effet retenu (§ 59) que « les finalités visées par la société comme relevant de la réalisation d’opérations techniques et de qualification, à savoir la normalisation postale, le dédoublonnage, l’enrichissement téléphonique, etc., participent à la réalisation des opérations de prospection commerciale de ses partenaires ». Ce raisonnement implique qu’un responsable de traitement qui choisit librement le consentement comme base légale ne peut pas, sans modifier sa politique de confidentialité et sans informer les personnes concernées, prétendre couvrir les opérations préparatoires ou connexes par une autre base légale, sauf à violer l’article 6 du RGPD et, potentiellement, le principe de transparence de l’article 5.

2. Le design des interfaces de recueil du consentement constitue désormais un critère de légalité pleinement opposable, transposé des cookies à la prospection commerciale

L’apport doctrinal le plus significatif de la délibération tient dans la transposition explicite des critères de design issus de la recommandation CNIL n° 2020-092 du 17 septembre 2020 sur les cookies aux formulaires de recueil du consentement pour la prospection commerciale. La formation restreinte l’affirme sans ambiguïté au § 30 : « les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement ». La recommandation 2020-092 prescrit notamment que « les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses […] Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique » (§ 34 de la recommandation). La formation restreinte a appliqué ce standard aux trois générations de formulaires TAGADAMEDIA — bouton unique « JE VALIDE », double bouton « JE VALIDE / JE REFUSE », et troisième formulaire « J’ACCEPTE / ÉTAPE SUIVANTE » — en les déclarant tous non-conformes pour des motifs successifs de défaut d’univocité, de défaut d’information éclairée, ou de séquençage sémantique trompeur. Cette transposition, confirmée par le Conseil d’État au § 11 de l’arrêt CE n° 492836, produit un effet normatif considérable : tous les acteurs qui fondent leur collecte de données sur le consentement — quelle que soit l’interface utilisée — sont désormais tenus de respecter des critères de neutralité visuelle et de lisibilité équivalents à ceux applicables aux bannières cookies.

3. La requalification d’un grief par la formation restreinte, sans débat contradictoire, constitue une violation des droits de la défense sanctionnée par le Conseil d’État

L’arrêt CE n° 492836 du 20 mai 2026 a introduit une règle procédurale d’une portée générale pour l’ensemble des procédures de sanction CNIL : la formation restreinte ne peut pas, sans violer les droits de la défense, substituer un grief autonome à celui figurant dans le rapport du rapporteur qui lui a été notifié, quand bien même les faits sous-jacents seraient identiques. En l’espèce, la rapporteure avait proposé de retenir un manquement à l’article 5, paragraphe 1, a) du RGPD (traitement déloyal) pour la transmission de données postales et téléphoniques à des partenaires sans consentement. La formation restreinte lui avait substitué un manquement à l’article 6, fondé sur le défaut de base légale. Le Conseil d’État a censuré cette substitution au § 8 de son arrêt : « la formation restreinte a méconnu le principe des droits de la défense », en relevant que la société « n’avait donc pas pu formuler d’observations en réponse sur ce point ». Ce principe est ancré dans l’article 16 de la Déclaration des droits de l’homme et du citoyen de 1789, qui garantit à toute personne faisant l’objet d’une sanction punitive d’être « informée, avec une précision suffisante et dans un délai raisonnable avant le prononcé de la sanction, des griefs formulés à son encontre » (§ 6 de l’arrêt). Il est crucial de souligner que cette censure ne porte pas sur le bien-fondé du grief lui-même — le Conseil d’État ne valide pas la licéité de la pratique — mais uniquement sur l’irrégularité procédurale de la substitution. Toute procédure de sanction CNIL dans laquelle la formation restreinte entendrait retenir un manquement distinct de celui instruit dans le rapport notifié devrait, sous peine d’annulation, être soumise à un nouveau débat contradictoire.

4. La présence formelle d’un bouton de refus ne suffit pas : l’absence de description des conséquences du refus invalide le consentement

L’un des apports les plus opérationnels de la délibération réside dans la démonstration que la simple présence d’un bouton de refus sur un formulaire de consentement ne suffit pas à rendre ce dernier valide. La formation restreinte a en effet constaté, s’agissant du formulaire à deux boutons « JE VALIDE / JE REFUSE » utilisé de 2017 à 2023, qu’« il n’est fait aucune mention des conséquences d’un clic sur le bouton “JE REFUSE” » (§ 43). Ce silence était rédhibitoire car « ce dernier pourrait tout aussi bien signifier que le refus de transmettre ses données ne permet pas de participer au jeu-concours, ce qui n’est pas le cas en l’espèce » (§ 46). Autrement dit, l’utilisateur ne pouvait pas savoir si cliquer sur « JE REFUSE » le privait de la possibilité de participer au jeu-concours — ce qui aurait affecté le caractère libre de son consentement — ou s’il pouvait participer sans accepter la transmission. La formation restreinte a ainsi établi que la validité du consentement exige non seulement une option de refus visible mais également une description précise et symétrique des conséquences de chaque option, aussi bien de l’acceptation que du refus. Ce standard, confirmé par le Conseil d’État, impose en pratique que chaque formulaire de recueil du consentement précise explicitement, pour les deux boutons : ce à quoi l’utilisateur consent en cliquant sur l’un, et ce qu’il se passe lorsqu’il clique sur l’autre — notamment le fait que le refus n’empêche pas l’accès à la prestation ou au service principal proposé.

5. L’écosystème du data brokering impose des exigences renforcées de qualité et de validité du consentement sur l’ensemble de la chaîne de transmission

La formation restreinte a insisté, au § 85 de la délibération, sur la spécificité de l’écosystème dans lequel opère TAGADAMEDIA pour caractériser la gravité du manquement : « l’écosystème de la revente de données de partenaires en partenaires exige des garanties particulièrement fortes quant à la qualité et à la validité du consentement obtenu par le primo-collectant des données et dont les partenaires se prévalent à des fins de prospection commerciale ». Ce constat est d’une importance considérable : dans le modèle du data brokering, le consentement recueilli au moment de la collecte initiale — via le formulaire de jeu-concours — est ensuite invoqué par des partenaires successifs, souvent nombreux, pour légitimer leurs propres opérations de prospection. Si ce consentement originel est invalide, c’est l’intégralité de la chaîne de transmission qui se trouve dépourvue de base légale — le primo-collectant comme chacun des partenaires successifs. La formation restreinte souligne également que « les exigences doivent être particulièrement renforcées s’agissant des modalités de recueil du consentement des utilisateurs des sites web édités par la société, dont l’objet est d’offrir des perspectives de gains, ces personnes n’ayant pas nécessairement conscience de la portée de leur accord dans le cadre de leur inscription ». Ce raisonnement, couplé à la délibération SAN-2024-007 actant la conformité des nouveaux formulaires, trace ainsi la frontière entre la pratique licite du data brokering — fondée sur un consentement explicite, éclairé et librement exprimé — et les pratiques qui violent l’article 6 du RGPD en instrumentalisant l’architecture des interfaces pour orienter les utilisateurs vers l’opt-in sans que leur choix reflète leurs préférences réelles.

POINTS ESSENTIELS

La délibération SAN-2023-025 du 29 décembre 2023 sanctionne la société TAGADAMEDIA — courtier en données dont l’activité consiste à organiser des jeux-concours en ligne aux fins de collecter des données de prospects et de les revendre à des partenaires annonceurs pour prospection commerciale — d’une amende administrative de 75 000 euros pour manquements aux articles 6 et 30 du RGPD, assortie d’une injonction de mettre en conformité ses formulaires de recueil du consentement sous astreinte de 1 000 euros par jour de retard ;

L’arrêt du Conseil d’État, chambres réunies, n° 492836 du 20 mai 2026 réforme partiellement cette décision en réduisant l’amende à 50 000 euros au motif que la formation restreinte, en substituant au grief de traitement déloyal (art. 5 RGPD) retenu dans le rapport du rapporteur un grief distinct fondé sur l’article 6 du RGPD pour la transmission de données sans consentement par voie postale et téléphonique, a méconnu le principe des droits de la défense — la société n’ayant pas été en mesure de formuler des observations sur ce fondement reformulé — tout en confirmant, par ailleurs, l’intégralité de la délibération L’invalidité du consentement recueilli via les trois générations de formulaires successivement utilisés (bouton unique « JE VALIDE » : double bouton « JE VALIDE/JE REFUSE », puis double bouton « J’ACCEPTE/ÉTAPE SUIVANTE »), en validant l’injonction de mise en conformité, en écartant le moyen tiré de la violation du principe de légalité des délits et des peines, et en accordant à la société la somme de 2 000 euros au titre de l’article L. 761-1 du code de justice administrative ;

La décision présente une portée structurante à plusieurs égards : elle confirme la transposabilité des critères jurisprudentiels développés en matière de cookies à l’ensemble des interfaces de recueil du consentement en ligne, y compris dans le secteur de la prospection commerciale ; elle consacre l’exigence de cohérence entre la base légale déclarée dans la politique de confidentialité et la pratique effective de transmission des données, de sorte que le responsable de traitement ayant déclaré le consentement comme fondement ne peut invoquer l’intérêt légitime a posteriori pour couvrir des transmissions réalisées sans opt-in ; elle fixe un standard élevé d’exigences de design pour les formulaires de collecte (boutons de taille, police, couleur et intitulé équivalents, texte d’information lisible, absence de hiérarchisation visuelle entre les options), confirmé positivement par la délibération SAN-2024-007 du 25 avril 2024 qui a acté la conformité des nouveaux formulaires mis en place par la société à la suite de l’injonction ; enfin, l’arrêt du Conseil d’État produit un enseignement procédural de premier ordre en rappelant que la formation restreinte ne peut pas substituer un grief autonome à celui figurant dans le rapport notifié, même s’il procède des mêmes faits, sans priver le responsable de traitement de ses droits de la défense.

COURTIER EN DONNÉES | SANCTION