CONSEIL D'ETAT | Ch. Réunies n° 492836 | 20 mai 2026 | Affaire TAGADAMEDIA | SAN-2023-025-SHORT

---

---

I.

 

Un opérateur de jeux-concours au cœur de l’écosystème du data brokering

La société TAGADAMEDIA est une société par actions simplifiée au capital de 100 000 euros, sise à Paris, créée en 2015 et comptant six salariés au moment des contrôles. Son activité consiste, d’une part, à organiser des jeux-concours et des tests de produits sur les sites internet qu’elle gère et, d’autre part, à transmettre, contre rémunération, à ses partenaires commerciaux les données à caractère personnel des participants — noms, prénoms, adresses postale et électronique, numéros de téléphone — à des fins de prospection commerciale par ces partenaires. La société a par ailleurs racheté en 2016 la société […], qui diffuse des newsletters incluant des messages commerciaux pour le compte de clients annonceurs, les listes de destinataires étant alimentées par les données collectées par les sites TAGADAMEDIA.

Ce modèle économique, qualifiable de courtage de données ou data brokering, est précisément celui que la CNIL avait identifié comme priorité de contrôle dans le cadre de sa thématique annuelle 2022 consacrée à la prospection commerciale. La singularité du dossier TAGADAMEDIA tient à ce que la société avait elle-même déclaré, dans sa politique de protection des données accessible via ses sites web, que « le fondement légal du traitement » consistant à transmettre les données de prospects à des fins de prospection « par courrier électronique, y compris à caractère politique ou syndical, par courrier électronique, par SMS/MMS, par courrier postal ou par télémarketing » était le consentement. Cette déclaration volontaire de fondement a constitué le pivot de l’ensemble de l’analyse de la formation restreinte : ne pouvant plus se réfugier derrière une base légale alternative, la société était tenue de démontrer la validité du consentement effectivement recueilli. C’est sur ce terrain qu’elle a failli.

---

---

II.

 

La triple génération de formulaires invalides : une architecture systématiquement orientée vers l’opt-in

La formation restreinte a procédé à une analyse méticuleuse de trois générations successives de formulaires de recueil du consentement, en s’appuyant sur un cadre normatif tripartite : l’article 4, paragraphe 11, du RGPD (« toute manifestation de volonté, libre, spécifique, éclairée et univoque ») ; la jurisprudence Planet49 GmbH de la CJUE (C-673/17 du 1er octobre 2019, « seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence », §54) ; et, plus remarquablement, les critères de design issus de la recommandation CNIL n° 2020-092 du 17 septembre 2020 sur les cookies, expressément transposés à la prospection commerciale au § 30 de la délibération : « les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement ».

Le formulaire à bouton unique « JE VALIDE » (2015-2022) présentait un seul bouton vert avec flèche, mis en valeur par sa taille et sa couleur, dont l’intitulé évoquait davantage la conclusion du parcours utilisateur qu’une transmission de données à des partenaires, tandis que l’option de refus consistait en un simple lien hypertexte noyé dans un texte en caractères nettement inférieurs (§ 40). Le formulaire à deux boutons « JE VALIDE / JE REFUSE » (2017-2023) corrigeait partiellement l’asymétrie visuelle mais maintenait un bouton de refus en police inférieure et, surtout, ne faisait « aucune mention des conséquences d’un clic sur le bouton “JE REFUSE” » (§ 43) — vice rédhibitoire puisque l’utilisateur aurait pu croire que refuser empêchait de participer au jeu. Le troisième formulaire « J’ACCEPTE / ÉTAPE SUIVANTE », présenté en cours de procédure, réalisait enfin l’équivalence visuelle des deux boutons mais leur séquençage sémantique laissait « penser qu’il existe un séquençage entre ces deux boutons, le premier constituant un préalable au second » (§ 48), induisant ainsi en erreur l’utilisateur sur l’ordre de navigation.

La conclusion de la formation restreinte est d’une portée normative majeure : « Les formulaires n’éclairent pas suffisamment les personnes concernées sur le fait qu’elles consentent à la transmission de leurs données à des fins de prospection commerciale, dans un contexte où l’objet même de ces sites web est d’offrir une perspective de gains ne pouvant laisser supposer l’objectif de collecte pérenne de ces données à de telles fins » (§ 49). Le Conseil d’État a, au § 11 de son arrêt du 20 mai 2026, expressément validé cette analyse : « c’est sans erreur d’appréciation que la formation restreinte a retenu que ces formulaires ne permettaient pas un consentement libre, spécifique, éclairé et univoque des utilisateurs au sens des dispositions de l’article 6 du RGPD, dès lors que le bouton “je valide” était mis en valeur et que des ambiguïtés demeuraient sur les conséquences liées au fait d’actionner l’autre bouton ».

---

---

III.

 

La censure procédurale du Conseil d’État : la formation restreinte ne peut pas substituer un grief à celui instruit

Si la CNIL a obtenu gain de cause sur les formulaires, elle a en revanche subi une censure partielle sur la seconde branche du manquement article 6, qui concernait la transmission de données postales et téléphoniques à des partenaires y compris pour les prospects n’ayant pas consenti. La rapporteure avait qualifié cette pratique de « traitement déloyal » constitutif d’un manquement à l’article 5, paragraphe 1, a) du RGPD. La formation restreinte avait, sans soumettre cette requalification à un nouveau débat contradictoire, retenu un manquement distinct fondé sur l’article 6, au motif que « dès lors qu’un prospect ne consent pas à la transmission de ses données aux partenaires de la société, celle-ci n’est pas autorisée à les transmettre, y compris à des fins de réalisation d’opérations techniques et de qualification » (§ 61).

Le Conseil d’État a annulé cette partie de la délibération pour violation caractérisée des droits de la défense, en des termes d’une grande clarté au § 8 de son arrêt : « En ne retenant pas ce grief mais en lui substituant un grief distinct, fondé sur les mêmes faits mais tiré de la méconnaissance par la société de l’obligation, prévue par les dispositions précitées de l’article 6 du règlement, de recueillir le consentement des personnes concernées préalablement à toute transmission de leurs données à caractère personnel, alors que ce grief n’avait pas été retenu par le rapport communiqué à la société et qu’elle n’avait donc pas pu formuler d’observations en réponse sur ce point, la formation restreinte a méconnu le principe des droits de la défense ». Cette règle s’ancre dans l’article 16 de la Déclaration des droits de l’homme et du citoyen de 1789, qui « implique notamment qu’aucune sanction ayant le caractère d’une punition ne puisse être infligée à une personne sans que celle-ci ait été mise à même de présenter ses observations sur les faits qui lui sont reprochés » (§ 6 de l’arrêt). Il est notable que cette censure porte sur la procédure et non sur le fond : le Conseil d’État ne dit pas que la pratique était licite, mais que la CNIL n’avait pas le droit de la sanctionner sur un fondement non instruit.

---

---

IV.

 

Le manquement à l’article 30 et la question du registre mutualisé sans identification du responsable

La formation restreinte a également retenu un manquement à l’article 30 du RGPD, relatif au registre des activités de traitement. Le constat est factuel et précis : TAGADAMEDIA tenait un registre en commun avec sa filiale rachetée, mais ce registre « ne distingue pas quelle société agit en qualité de responsable de traitement pour l’activité en question », ni pour les activités de ressources humaines ni pour les activités de prospection (§§ 70-71). La formation restreinte a rejeté l’argument de la société selon lequel le registre utilisait le « modèle simplifié proposé par la CNIL » et que les décisions sanctionnant ce manquement concernaient généralement des « faits plus graves » (§§ 68-69) : « même si ce manquement est de faible gravité, le prononcé d’une amende apparaît justifié » (§ 87), eu égard notamment « au regard du nombre de données traitées et de son activité ». Ce manquement n’a pas été contesté devant le Conseil d’État ; il est devenu définitif.

La portée de ce constat est instructive : le fait de mutualiser la tenue d’un registre entre plusieurs entités juridiques d’un même groupe n’est pas, en lui-même, interdit. Ce qui est exigé, c’est que le registre permette d’identifier avec précision, pour chaque traitement, laquelle des entités agit en qualité de responsable. Cette exigence n’est pas accessoire : elle conditionne l’exercice effectif des droits des personnes concernées, la responsabilité en cas de violation de données, et la détermination de l’entité sanctionnable en cas de manquement.

---

---

V.

 

Le troisième grief écarté et la clôture de l’injonction

La rapporteure avait également relevé l’existence d’un compte administrateur de base de données partagé entre deux personnes, estimant que « pour être efficace, un mot de passe doit demeurer secret et individuel » (§ 75). La formation restreinte a écarté ce grief : « la connexion au VPN au moyen de clés d’authentification individuelles constitue une bonne pratique et qu’elle permet, au regard du nombre restreint de personnes accédant au compte d’administration et de leur qualité, d’imputer les accès et actions effectuées au sein de la base de données par un compte administrateur partagé en cas de nécessité » (§ 78). Ce raisonnement illustre une approche proportionnée et contextualisée de l’obligation de sécurité au sens de l’article 32 du RGPD : le niveau d’exigence tient compte de la taille et de la structure de l’organisme.

L’injonction de mise en conformité des formulaires a quant à elle été clôturée par la délibération SAN-2024-007 du 25 avril 2024. TAGADAMEDIA avait produit trois nouveaux formulaires, tous fondés sur des boutons de taille, police et couleur identiques, avec des intitulés explicites — « Je participe et j’accepte de recevoir les offres des partenaires » / « Je participe et je refuse de recevoir les offres des partenaires » — et un texte d’information de taille de police « quasiment identique » à celle des boutons. La formation restreinte a constaté que « l’aperçu global de l’interface et l’intitulé des boutons ne mettent pas particulièrement en valeur l’option permettant d’accepter » (§ 10 de SAN-2024-007) et a décidé de « ne pas liquider l’astreinte ». Ces trois formulaires validés constituent désormais, par l’effet combiné de la délibération de clôture et de l’arrêt du Conseil d’État, un standard de référence opposable à l’ensemble des acteurs de la collecte de données par jeux-concours et formulaires en ligne.

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2023-025 du 29 décembre 2023 sanctionne la société TAGADAMEDIA — courtier en données dont l’activité consiste à organiser des jeux-concours en ligne aux fins de collecter des données de prospects et de les revendre à des partenaires annonceurs pour prospection commerciale — d’une amende administrative de 75 000 euros pour manquements aux articles 6 et 30 du RGPD, assortie d’une injonction de mettre en conformité ses formulaires de recueil du consentement sous astreinte de 1 000 euros par jour de retard ;

L’arrêt du Conseil d’État, chambres réunies, n° 492836 du 20 mai 2026 réforme partiellement cette décision en réduisant l’amende à 50 000 euros au motif que la formation restreinte, en substituant au grief de traitement déloyal (art. 5 RGPD) retenu dans le rapport du rapporteur un grief distinct fondé sur l’article 6 du RGPD pour la transmission de données sans consentement par voie postale et téléphonique, a méconnu le principe des droits de la défense — la société n’ayant pas été en mesure de formuler des observations sur ce fondement reformulé — tout en confirmant, par ailleurs, l’intégralité de la délibération L’invalidité du consentement recueilli via les trois générations de formulaires successivement utilisés (bouton unique « JE VALIDE » : double bouton « JE VALIDE/JE REFUSE », puis double bouton « J’ACCEPTE/ÉTAPE SUIVANTE »), en validant l’injonction de mise en conformité, en écartant le moyen tiré de la violation du principe de légalité des délits et des peines, et en accordant à la société la somme de 2 000 euros au titre de l’article L. 761-1 du code de justice administrative ;

La décision présente une portée structurante à plusieurs égards : elle confirme la transposabilité des critères jurisprudentiels développés en matière de cookies à l’ensemble des interfaces de recueil du consentement en ligne, y compris dans le secteur de la prospection commerciale ; elle consacre l’exigence de cohérence entre la base légale déclarée dans la politique de confidentialité et la pratique effective de transmission des données, de sorte que le responsable de traitement ayant déclaré le consentement comme fondement ne peut invoquer l’intérêt légitime a posteriori pour couvrir des transmissions réalisées sans opt-in ; elle fixe un standard élevé d’exigences de design pour les formulaires de collecte (boutons de taille, police, couleur et intitulé équivalents, texte d’information lisible, absence de hiérarchisation visuelle entre les options), confirmé positivement par la délibération SAN-2024-007 du 25 avril 2024 qui a acté la conformité des nouveaux formulaires mis en place par la société à la suite de l’injonction ; enfin, l’arrêt du Conseil d’État produit un enseignement procédural de premier ordre en rappelant que la formation restreinte ne peut pas substituer un grief autonome à celui figurant dans le rapport notifié, même s’il procède des mêmes faits, sans priver le responsable de traitement de ses droits de la défense.

---

COURTIER EN DONNÉES | SANCTION