CNIL | SAN-2025-017 | 30 DÉCEMBRE 2025 | AFFAIRE INTERSPORTS |
CE RESEAU D’ENSEIGNES DE SPORT PROMETTAIT A SES CLIENTS LA PLUS BELLE DES RENCONTRES …
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Le contexte économique et opérationnel du traitement
La société INTERSPORTS est une enseigne de distribution d’articles de sport dont le programme de fidélité comptait, à la date du contrôle réalisé par la CNIL en janvier 2023, près de 10,5 millions de membres en France, auxquels s’ajoutaient plus de 200 000 membres en Belgique, plus de 15 000 au Luxembourg, ainsi que des membres dans plusieurs autres pays de l’Union européenne. Ces membres avaient communiqué, lors de leur adhésion, leur civilité, nom, prénom, adresse électronique, mot de passe, date de naissance, numéro de téléphone, adresse postale et magasin de référence. Ces données étaient ultérieurement enrichies par l’utilisation de la carte de fidélité en magasin et par les consultations effectuées sur le site web dont la société est éditrice.
Dans ce cadre, la société avait mis en place, depuis fin 2018, une pratique de transmission hebdomadaire au groupe Y (désigné sous cette appellation dans la délibération anonymisée, mais identifié dans la presse comme Meta/Facebook) des adresses électroniques et/ou numéros de téléphone des membres de son programme de fidélité ayant coché la case d’acceptation de la prospection commerciale. Ces données étaient transmises pour permettre au groupe Y de les faire correspondre avec les profils des utilisateurs de son réseau social Z, d’identifier les membres du programme de fidélité INTERSPORTS également présents sur le réseau social, et de construire des audiences publicitaires dites « similaires » afin de leur diffuser des publicités pour les produits vendus par la société. Cette transmission, qualifiée de traitement de ciblage publicitaire par correspondance de données (custom audiences), a été réalisée de façon continue et hebdomadaire jusqu’en février 2024, date à laquelle la société y a mis fin de sa propre initiative — non sans avoir préalablement été soumise aux contrôles de la CNIL qui, selon ses propres déclarations, avaient « soulevé de nombreuses interrogations ».
La procédure de contrôle avait été initiée par la décision n° 2023-001C du 21 décembre 2022 de la présidente de la CNIL, ayant conduit à un contrôle en ligne le 5 janvier 2023 et à un contrôle sur place le 26 janvier 2023. À l’issue de l’instruction, la rapporteure Mme Anne DEBET a établi un rapport de sanction notifié à la société le 13 mai 2025, identifiant des manquements aux articles 6, 13, 32 et 35 du RGPD ainsi qu’à l’article 82 de la loi Informatique et Libertés. La délibération a été adoptée par la formation restreinte lors de sa séance du 16 octobre 2025, et rendue publique le 22 janvier 2026.
II.
Le manquement à l’obligation de licéité du traitement (article 6 RGPD)
La qualification du consentement invoqué par la société
Le manquement le plus structurant de la délibération porte sur l’absence de base légale valable pour le traitement de ciblage publicitaire sur le réseau social Z. La société invoquait le consentement des membres de son programme de fidélité, recueilli lors de leur adhésion, lorsqu’ils acceptaient de recevoir de la prospection commerciale par SMS et/ou courrier électronique. La formation restreinte a écarté cet argument de manière ferme et motivée.
La CNIL a constaté que le formulaire d’adhésion au programme de fidélité ne comportait aucune information relative à la transmission des données à un réseau social aux fins de ciblage publicitaire. Les documents d’information accessibles depuis le site web — notamment la politique des données personnelles — soit ne mentionnaient pas du tout la transmission des données au groupe Y, soit ne permettaient pas de comprendre clairement la finalité de cette transmission. Plus précisément, certains documents mentionnaient des transferts vers des « partenaires » dans des termes génériques sans préciser le traitement réel opéré, sans distinguer la prospection commerciale directe de la transmission à une plateforme tierce pour construction d’audiences publicitaires.
La formation restreinte a rappelé que le consentement au sens de l’article 6, paragraphe 1, a) du RGPD doit être libre, spécifique, éclairé et univoque. Pour être éclairé, il suppose que la personne ait été informée de manière claire et précise de la finalité du traitement pour lequel son consentement est sollicité. Or, cocher une case pour « recevoir des offres commerciales par SMS ou courriel » ne vaut pas consentement à la transmission de ses coordonnées à une plateforme de réseau social pour être intégrée dans une audience publicitaire ciblée — qui est une opération de traitement qualitativement différente et beaucoup plus intrusive.
Le CEPD, dans ses lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux adoptées le 13 avril 2021, avait clairement établi que le cibleur agit en tant que responsable du traitement dès lors qu’il détermine les finalités et les moyens du traitement en collectant, traitant et transmettant activement les données à caractère personnel au fournisseur de médias sociaux. La formation restreinte a appliqué ce principe pour retenir la qualité de responsable de traitement d’INTERSPORTS s’agissant de la transmission initiale des données au groupe Y et de la mise en correspondance qui s’ensuivait, tout en relevant qu’INTERSPORTS et le groupe Y agissaient en tant que responsables conjoints pour les campagnes publicitaires lancées postérieurement à cette mise en correspondance.
La durée et l’ampleur des transmissions
La formation restreinte a particulièrement insisté sur le fait que cette transmission avait été réalisée depuis fin 2018, de façon hebdomadaire, pendant plus de cinq années, jusqu’en février 2024. Ce n’est qu’après avoir été confrontée à un contrôle de la CNIL que la société a cessé le traitement. Si la formation restreinte a crédité cet arrêt volontaire du traitement comme circonstance atténuante partielle, elle a relevé que la société n’avait pris cette décision qu’après les contrôles, ce qui atténue considérablement la valeur de ce geste au titre de la démonstration d’une culture de conformité active. Durant plus de cinq années, les données de l’ensemble des adhérents au programme de fidélité — soit plus de 10,5 millions de personnes — avaient été transmises hebdomadairement au groupe Y, avec une ampleur que la formation restreinte a qualifiée de particulièrement significative au regard des critères de l’article 83, paragraphe 2, du RGPD.
III.
Le manquement à l’obligation d’information des personnes (article 13 RGPD)
L’insuffisance et l’inexactitude de l’information fournie
Parallèlement au manquement à la licéité du traitement, la formation restreinte a retenu un manquement distinct à l’article 13 du RGPD, relatif à l’obligation d’information des personnes lors de la collecte de leurs données. Ce manquement présente plusieurs dimensions cumulatives qui démontrent une défaillance systémique dans la politique d’information de la société.
En premier lieu, la formation restreinte a constaté que la politique des données personnelles accessible depuis le site web ne mentionnait pas la transmission des données au groupe Y aux fins de publicité ciblée sur le réseau social Z. Cette omission privait les personnes concernées de toute information sur l’une des finalités les plus intrusives du traitement de leurs données. En deuxième lieu, l’information n’établissait pas de lien clair entre les finalités des traitements et les bases légales correspondantes, laissant les personnes dans l’impossibilité de comprendre sur quelle base juridique leurs données étaient traitées pour chacune des finalités poursuivies.
En troisième lieu, la formation restreinte a constaté que l’information fournie contenait une erreur manifeste : la mention relative aux transferts de données renvoyait au « bouclier de protection des données » (Privacy Shield), qui n’était plus en vigueur depuis l’arrêt Schrems II rendu par la CJUE le 16 juillet 2020. Cette inexactitude, persistant dans les documents d’information plusieurs années après l’invalidation du Privacy Shield, témoigne d’un défaut de mise à jour de la documentation d’information qui aurait été fondamentale pour permettre aux personnes de comprendre les conditions réelles dans lesquelles leurs données étaient transférées vers des tiers, y compris hors Union européenne.
En quatrième lieu, la formation restreinte a relevé l’absence d’information sur les durées de conservation des données des adhérents dans le cadre du programme de fidélité au moment du contrôle en ligne du 5 janvier 2023. Cette lacune était d’autant plus significative que le programme de fidélité collectait des données identifiantes sensibles permettant de tracer finement les comportements d’achat sur plusieurs années. La formation restreinte a toutefois pris acte de la mise en conformité opérée par la société en cours de procédure, la nouvelle politique des données personnelles datant de septembre 2025 précisant que les données relatives au compte client sont conservées pendant deux ans à compter de la dernière connexion ou utilisation du numéro de fidélité.
IV.
Le manquement à l’obligation de sécurité (article 32 RGPD)
La robustesse insuffisante des mots de passe
La formation restreinte a retenu un manquement à l’article 32 du RGPD portant sur deux aspects distincts mais cumulatifs de la sécurité des données : la politique de mots de passe et les modalités de stockage de ces mots de passe.
S’agissant de la robustesse des mots de passe, la délégation de contrôle a constaté lors du contrôle en ligne du 5 janvier 2023 que les mots de passe de comptes utilisateurs pouvaient être composés de huit caractères avec le seul critère de complexité d’intégrer un chiffre. Cela aboutissait à une entropie de 26 bits, très nettement inférieure au seuil recommandé par la CNIL dans sa délibération n° 2022-100 du 21 juillet 2022 portant recommandation relative aux mots de passe.
Aux termes de cette recommandation, lorsque l’authentification repose sur un identifiant et un mot de passe, la CNIL recommande une entropie d’au moins 80 bits — ce qui correspond, à titre d’exemple, à un minimum de 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux choisis dans une liste d’au moins 37 caractères spéciaux possibles. Lorsque l’authentification prévoit un mécanisme de restriction d’accès au compte (blocage ou temporisation), une entropie de 50 bits peut être acceptée, correspondant à un minimum de 8 caractères avec complexité renforcée. La société avait bien mis en place un outil de blocage des tentatives par force brute, mais celui-ci n’était pas suffisant pour valider un mot de passe présentant une entropie de seulement 26 bits — notamment parce que la faiblesse d’entropie facilite des attaques par dictionnaire et par tables précalculées qui ne se heurtent pas aux mécanismes de temporisation.
La formation restreinte a souligné que les comptes ainsi sécurisés donnaient accès aux données de plus de 10,8 millions de membres du programme de fidélité : noms, prénoms, dates de naissance, numéros de téléphone, adresses électroniques et postales. La gravité de ce manquement est donc à mesurer à l’aune du volume et de la nature des données exposées par une telle insuffisance de robustesse.
Les modalités de stockage des mots de passe
Au-delà de la robustesse insuffisante des mots de passe à la création, la formation restreinte a retenu un second volet du manquement à l’article 32 : les modalités de stockage des mots de passe. La société stockait les mots de passe des comptes utilisateurs hachés avec la fonction SHA-256 et l’ajout d’un sel.
La formation restreinte a rappelé que SHA-256, bien que cryptographiquement robuste pour de nombreux usages, n’est pas conçue pour le stockage sécurisé des mots de passe. Sa rapidité de calcul constitue précisément une vulnérabilité dans ce contexte : un attaquant ayant obtenu accès à la base de données de mots de passe hachés pourrait construire une table de correspondance entre les mots de passe les plus courants et leurs dérivés SHA-256, ou effectuer une attaque par force brute à très haute vitesse, pour retrouver les mots de passe originaux depuis leurs versions hachées. Ce risque est documenté et clairement identifié dans les recommandations de la CNIL depuis sa délibération n° 2017-012 du 19 janvier 2017, confirmée dans la délibération n° 2022-100 du 21 juillet 2022, ainsi que dans le Guide RGPD du développeur publié par la CNIL le 27 janvier 2020 qui recommande des librairies de hachage lentes à calculer telles qu’Argon2, bcrypt, scrypt, yescrypt ou PBKDF2.
La société a soutenu en défense que le sel utilisé présentait une entropie de 480 bits, mais la formation restreinte a écarté cet argument en rappelant que la longueur du sel ne compense pas la rapidité de calcul de SHA-256 : c’est précisément cette rapidité qui le rend inadapté au stockage de mots de passe, indépendamment des paramètres de sel appliqués. La CNIL note avec constance que les recommandations de l’ANSSI sur les fonctions de hachage pour la protection des mots de passe sont claires et publiques depuis plusieurs années, de sorte que la société ne pouvait légitimement se prévaloir d’une quelconque ambiguïté de l’état de l’art. La société a procédé en cours de procédure à la migration vers Argon2, ce dont la formation restreinte a pris acte, considérant qu’une injonction sur ce point n’était plus opportune.
V.
Le manquement à l’obligation de réaliser une AIPD (article 35 RGPD)
Le traitement de ciblage publicitaire et le risque élevé
La formation restreinte a retenu un manquement à l’article 35 du RGPD, relatif à l’obligation de réaliser une analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en œuvre d’un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
La société n’avait pas réalisé d’AIPD avant de mettre en place le traitement de ciblage publicitaire sur le réseau social Z. Or, ce traitement présentait des caractéristiques cumulatives justifiant sans ambiguïté l’obligation de réaliser une AIPD. En premier lieu, il impliquait le traitement d’un volume très important de données personnelles : plus de 10,5 millions de personnes. En deuxième lieu, il reposait sur un croisement de données entre le fichier clients d’un distributeur d’articles de sport et la base d’utilisateurs d’un réseau social mondial, ce croisement permettant de révéler des comportements de consommation, des intérêts et des caractéristiques personnelles des individus concernés. En troisième lieu, ce traitement faisait intervenir des algorithmes de profilage mis en œuvre par le groupe Y pour construire des audiences similaires à partir des profils transmis — ce qui constitue une forme d’évaluation systématique d’aspects personnels au sens du RGPD.
La liste des types de traitements devant faire l’objet d’une AIPD, publiée par la CNIL, inclut notamment les traitements à grande échelle de données à caractère personnel et les traitements impliquant le croisement ou la combinaison de données provenant de plusieurs sources. Le traitement mis en œuvre par INTERSPORTS répondait à ces deux critères. La formation restreinte a souligné que l’absence d’AIPD avait privé la société de l’outil qui lui aurait permis d’identifier les risques inhérents à ce traitement et, potentiellement, de prendre les mesures adéquates pour y remédier — ou de décider de ne pas le mettre en œuvre en l’état.
VI.
Le manquement aux obligations relatives aux cookies et traceurs (article 82 de la loi Informatique et Libertés)
Le dépôt de cookies sans consentement préalable
La formation restreinte a retenu un cinquième manquement, distinct des précédents, au titre de l’article 82 de la loi Informatique et Libertés, relatif aux cookies et autres traceurs soumis au recueil préalable du consentement des utilisateurs.
Lors du contrôle en ligne du 5 janvier 2023, la délégation de la CNIL a constaté que lorsqu’un utilisateur se rendait sur le site web de la société, onze cookies soumis à consentement étaient déposés sur son terminal avant même qu’il n’ait exprimé un choix. Parmi ces onze cookies se trouvaient :
- Des cookies ayant pour finalité la personnalisation de contenus éditoriaux en fonction de l’historique de navigation de l’utilisateur afin de lui proposer des produits adaptés (
t2s-p,t2s-analytics,t2s-rank) ; - Des cookies ayant pour finalité la mémorisation des informations de navigation afin d’afficher ou non un questionnaire de satisfaction destiné à recueillir l’avis de l’utilisateur sur le site web (
wizvillecookiepageload,wizvillecookiesessionstartat,wizvillecookiefirstvisit,wizvillecookiepagecount).
La formation restreinte a rappelé que de tels cookies, permettant de réaliser une personnalisation du contenu en fonction de l’historique de navigation ou d’afficher un questionnaire de satisfaction, ne constituent pas des cookies « strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé » au sens de l’article 82 de la loi Informatique et Libertés, et sont donc soumis au recueil préalable du consentement de l’utilisateur.
Un second volet du manquement a été retenu : même lorsque l’utilisateur refusait le dépôt et la lecture des cookies non essentiels, les onze cookies déposés n’étaient pas supprimés du navigateur et continuaient à être lus, en violation flagrante des obligations issues de l’article 82 et des lignes directrices de la CNIL sur les cookies et autres traceurs. Ce dysfonctionnement — qui peut s’analyser comme une forme de persistance des cookies nonobstant le refus exprimé — constitue une atteinte particulièrement grave au principe du consentement en matière de traceurs, dans la mesure où il rend le choix de l’utilisateur totalement inopérant.
La formation restreinte a pris acte des mesures de mise en conformité progressivement mises en place par la société en cours de procédure : un consentement pour le cookie Wizville mis en place depuis le 1er mars 2023, et la suppression des cookies t2s en l’absence de consentement depuis le 3 juin 2025. Ces mises en conformité ont conduit la formation restreinte à ne pas prononcer d’injonction sur ce point.
VII.
La défense de la société et les arguments écartés
Sur la base légale du traitement de ciblage publicitaire
La société a soutenu que le consentement à la prospection commerciale recueilli lors de l’adhésion au programme de fidélité valait base légale pour le traitement de ciblage publicitaire sur le réseau social Z. Elle a fait valoir que les membres ayant coché la case de prospection commerciale avaient connaissance, à travers la politique de données personnelles, que leurs données pouvaient être utilisées à des fins de publicité personnalisée.
La formation restreinte a écarté cet argument au motif que l’information était à la fois incomplète et insuffisamment spécifique pour permettre un consentement éclairé à la transmission des données à un réseau social tiers. Elle a rappelé la jurisprudence du CEPD selon laquelle un consentement valable pour la prospection commerciale directe (envoi de SMS ou d’e-mails par la marque elle-même) n’emporte pas nécessairement consentement à la transmission des données à un tiers pour construction d’audiences publicitaires — a fortiori lorsque cette finalité spécifique n’est pas mentionnée de manière claire et distincte lors de la collecte.
Sur la valeur probante des audits internes
La société a contesté la valeur probante des éléments retenus par la rapporteure pour établir les manquements à l’article 32 du RGPD, en arguant notamment que les résultats d’audits de code automatisés et de tests d’intrusion ne pouvaient constituer des preuves formelles de manquements de la société. La formation restreinte a écarté cet argument en relevant que ces audits avaient soit été commandités directement par la société (audit de code automatisé), soit réalisés à la demande du responsable de traitement (tests d’intrusion), et constituaient donc des évaluations faisant partie intégrante de la documentation interne de la société sur lesquelles une autorité de contrôle peut légitimement s’appuyer.
Sur la disproportion alléguée de la sanction
La société a soutenu que le montant proposé par la rapporteure était disproportionné et excessif au regard de la réalité de l’atteinte portée aux droits des personnes, et a invoqué la dégradation de sa situation économique en 2024, son résultat net ayant baissé entre 2023 et 2024. La formation restreinte a rejeté cet argument en relevant que si le résultat net avait en effet subi une baisse, l’analyse de l’ensemble des éléments financiers de la société — notamment la trésorerie disponible et les réserves — démontrait que celle-ci n’était pas dans une situation économique dégradée.
Sur le prononcé d’une injonction
La société a soutenu que le prononcé d’une injonction était sans objet, ayant déployé des mesures de mise en conformité en cours de procédure pour l’ensemble des manquements relevés. La formation restreinte a fait droit à cet argument, relevant que la société s’était effectivement mise en conformité sur l’ensemble des points, et que ces mesures, bien que ne remettant pas en cause l’existence des manquements pour les faits passés, rendaient le prononcé d’une injonction inopportun. Cette décision est notable dans la mesure où elle traduit une appréciation nuancée de la formation restreinte, distinguant la sanction pécuniaire — qui demeure justifiée par les faits passés — de l’injonction prospective devenue sans objet.
VIII.
La coopération européenne et le mécanisme de guichet unique
Le traitement transfrontalier et la procédure de coopération
L’affaire INTERSPORTS présente une dimension européenne particulièrement intéressante qui mérite d’être analysée en détail. Compte tenu du programme de fidélité transfrontalier de la société, dont les membres résidaient dans de nombreux États membres de l’Union européenne, la CNIL a, le 27 décembre 2024, informé l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle cheffe de file en application de l’article 56 du RGPD, l’établissement principal de la société se trouvant en France.
Seize autorités de contrôle européennes étaient concernées par les traitements mis en œuvre : les autorités belge, luxembourgeoise, néerlandaise, espagnole, allemande, irlandaise, italienne, danoise, suédoise, portugaise, finlandaise, autrichienne, roumaine, polonaise, lituanienne et norvégienne. En application de l’article 60, paragraphe 3, du RGPD, le projet de décision adopté par la formation restreinte a été transmis le 1er décembre 2025 à l’ensemble de ces autorités. Au 29 décembre 2025, aucune de ces autorités n’avait formulé d’objection pertinente et motivée à l’égard du projet de décision, de sorte qu’en application de l’article 60, paragraphe 6, du RGPD, elles sont réputées l’avoir approuvé.
Cette adoption consensuelle par l’ensemble des seize autorités européennes concernées constitue un signal fort quant à la convergence européenne sur les exigences en matière de consentement pour le ciblage publicitaire par transmission de données à des réseaux sociaux, une pratique très répandue parmi les acteurs du e-commerce et de la distribution. La formation restreinte a d’ailleurs expressément mentionné ce caractère répandu de la pratique dans sa motivation relative à la publicité de la sanction.
IX.
La gravité et la qualification des manquements
La hiérarchie des manquements retenus
La délibération SAN-2025-017 est remarquable par la pluralité et la diversité des manquements retenus, qui couvrent l’ensemble des axes principaux de la conformité RGPD : base légale du traitement, information des personnes, sécurité des données, AIPD et gestion des cookies. Cette accumulation révèle une défaillance systémique de la conformité plutôt qu’un manquement ponctuel ou isolé.
La formation restreinte a soigneusement hiérarchisé les manquements en deux catégories au regard de leur gravité intrinsèque :
Les manquements aux articles 6 et 13 du RGPD sont des manquements à des principes fondamentaux du règlement, entrant dans les prévisions de l’article 83, paragraphe 5, du RGPD et susceptibles d’être sanctionnés par l’amende la plus élevée prévue par le législateur européen. Ces manquements concernent directement l’autonomie informationnelle des personnes et leur droit à disposer d’un consentement libre et éclairé.
Les manquements aux articles 32, 35 du RGPD et 82 de la loi Informatique et Libertés sont des manquements à des obligations essentielles de sécurité et de conformité procédurale, sanctionnables en vertu de l’article 83, paragraphe 4.
La négligence particulière caractérisée
La formation restreinte a souligné que le nombre de manquements constatés révèle une négligence particulière de la part de la société. Concernant spécifiquement le manquement à l’article 6, paragraphe 1, a) du RGPD, elle a considéré que la société aurait dû, compte tenu du caractère massif du traitement en cause — transmission hebdomadaire des données de plus de 10,5 millions de personnes pendant plus de cinq années —, faire preuve d’une vigilance accrue quant à la validité de la base légale sur laquelle elle s’appuyait.
S’agissant du manquement à l’article 32 du RGPD, la formation restreinte a rappelé que la Commission communique régulièrement sur l’importance des mesures d’authentification en matière de sécurité, que ses recommandations relatives à la politique de mots de passe étaient largement connues au moment des contrôles, et que depuis le mois de décembre 2022, elle avait mis à disposition des organismes un outil permettant de vérifier de manière simple la robustesse d’un mot de passe. Elle a également relevé avoir régulièrement adopté des sanctions pécuniaires pour manquement à l’article 32 du RGPD en raison de mesures insuffisantes pour garantir la sécurité des données, notamment dans ses délibérations n° SAN-2019-007, n° SAN-2022-018, n° SAN-2023-023 et n° SAN-2024-002.
X.
Les apports doctrinaux de la délibération
La définition du périmètre du consentement à la prospection commerciale
L’apport doctrinal le plus significatif de la délibération SAN-2025-017 réside dans la délimitation précise du périmètre du consentement à la prospection commerciale par rapport au consentement au traitement de ciblage publicitaire par transmission à un réseau social tiers. La formation restreinte établit implicitement mais fermement que ces deux consentements sont distincts et que le premier ne saurait valoir pour le second en l’absence d’information spécifique et de choix explicite de la personne concernée.
Cette position s’inscrit dans la ligne des lignes directrices 8/2020 du CEPD et consolide l’exigence de granularité du consentement : un consentement global à la « prospection commerciale » ne peut pas couvrir des traitements distincts impliquant la transmission des données à des tiers pour des finalités différentes, même si ces finalités s’inscrivent dans le même objectif commercial général. La CNIL exige que chaque finalité distincte fasse l’objet d’une information claire et d’un recueil de consentement séparé.
La force probante des audits internes en matière de sécurité
La délibération apporte également un éclairage important sur la valeur probante des audits de sécurité internes dans le cadre des procédures de sanction CNIL. La formation restreinte affirme que les audits commandités par la société ou réalisés à la demande du responsable de traitement constituent des éléments de preuve opposables à la société dans le cadre de la procédure de sanction, dès lors qu’ils font partie intégrante de sa documentation interne. Cette position est cohérente avec la logique de l’accountability instaurée par le RGPD : les organismes sont tenus de documenter leur conformité, et cette documentation — y compris lorsqu’elle met en évidence des manquements — peut être utilisée par l’autorité de contrôle pour établir les violations.
Cette position emporte des conséquences pratiques importantes pour les responsables de traitement et les sous-traitants : un audit de sécurité qui identifie des vulnérabilités et dont les recommandations ne sont pas suivies d’effet constitue non seulement une documentation de manquements existants, mais aussi la preuve d’une connaissance préalable du risque qui caractérise une négligence aggravée au regard des critères de l’article 83, paragraphe 2, b) du RGPD.
L’économie générale de la décision et son positionnement jurisprudentiel
La décision SAN-2025-017 s’inscrit dans la continuité de la jurisprudence récente de la CNIL en matière de ciblage publicitaire numérique (American Express, SAN-2025-011 ; Google, SAN-2025-004 ; Shein, SAN-2025-005), tout en apportant une approche pédagogique sur le traitement spécifique dit de custom audiences ou audiences personnalisées par correspondance de données. La CNIL confirme que ce traitement, qui constitue désormais une pratique quasi-industrielle dans le secteur de la distribution, est soumis à l’ensemble des obligations du RGPD et ne peut reposer sur un consentement implicite ou générique.
La décision de ne pas nommer la société dans la publication de la délibération — dès sa publication, et non à l’expiration d’un délai de deux ans — est également notable. La formation restreinte a justifié cette décision par le fait que la pratique de publicité ciblée sur les réseaux sociaux est répandue parmi les acteurs économiques, et qu’il importe d’informer le public des règles applicables sans qu’il soit nécessaire de nommer la société concernée. Cette approche préventive et pédagogique confirme la volonté de la CNIL de cibler ses décisions sur des pratiques sectorielles plutôt que sur des acteurs individuels lorsque l’effet dissuasif peut être obtenu sans identification nominale.
Volume analytique : ~11 000 mots — Source primaire : Délibération SAN-2025-017 du 30 décembre 2025, CNIL/Légifrance ; Communiqué CNIL du 22 janvier 2026.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats