CNIL | SAN-2025-017 | 30 décembre 2025 | Affaire INTERSPORTS | SAN-2025-017-ESSENTIELS

1. Un traitement massif de ciblage publicitaire sans consentement valable pendant cinq ans

Depuis fin 2018 et jusqu’en février 2024, la société transmettait hebdomadairement au groupe Y — une grande plateforme de réseau social — les adresses électroniques et/ou numéros de téléphone des membres de son programme de fidélité ayant accepté la prospection commerciale, afin de permettre la construction d’audiences publicitaires ciblées dites custom audiences. Ce traitement a concerné plus de 10,5 millions de membres en France et plusieurs centaines de milliers dans 16 autres États membres de l’Union européenne. La formation restreinte a jugé que le consentement à la prospection commerciale recueilli lors de l’adhésion au programme de fidélité ne pouvait pas valoir base légale pour ce traitement distinct, dès lors que le formulaire d’adhésion ne comportait aucune information sur la transmission des données à un réseau social tiers, et que la politique de données personnelles était soit silencieuse, soit trop générique pour permettre un consentement spécifique et éclairé. La CNIL a ainsi établi que le consentement au sens de l’article 6, paragraphe 1, a) du RGPD requiert une information claire sur chaque finalité distincte, et qu’une case à cocher pour « recevoir des offres commerciales » ne saurait couvrir le traitement de ciblage publicitaire par transmission à une plateforme tierce — une distinction fondamentale pour toute entreprise recourant aux outils de custom audiences proposés par les réseaux sociaux.

2. Une information lacunaire, imprécise et partiellement erronée sur les traitements

Outre le défaut de base légale, la formation restreinte a retenu un manquement autonome à l’article 13 du RGPD, caractérisé par plusieurs insuffisances cumulatives de l’information fournie aux personnes. La politique de données personnelles accessible depuis le site web ne mentionnait pas la transmission des données au groupe Y pour les besoins de la publicité ciblée, ne liait pas les finalités aux bases légales correspondantes, et comportait une inexactitude grave : elle renvoyait au Privacy Shield pour les transferts de données vers des tiers, alors que ce mécanisme avait été invalidé par la CJUE dans l’arrêt Schrems II du 16 juillet 2020, soit plusieurs années avant le contrôle réalisé en janvier 2023. En outre, aucune information sur les durées de conservation des données des adhérents n’était accessible au moment du contrôle, privant les personnes d’une information essentielle pour exercer leurs droits. Ces manquements, pris ensemble, révèlent une documentation d’information figée, non mise à jour et insuffisamment précise au regard des exigences de transparence posées par l’article 13 du RGPD, qui impose que les personnes soient informées, dès la collecte, de l’ensemble des éléments leur permettant de comprendre l’étendue réelle du traitement de leurs données.

3. Des défaillances sécuritaires élémentaires sur les mots de passe, documentées et connues

La formation restreinte a retenu un double manquement à l’article 32 du RGPD relatif à la sécurité des authentifications. D’une part, la politique de mots de passe en vigueur au moment du contrôle n’assurait qu’une entropie de 26 bits — très inférieure au seuil de 50 bits recommandé par la CNIL lorsqu’un mécanisme de restriction d’accès est en place, et de 80 bits en l’absence d’un tel mécanisme — le seul critère de complexité imposé étant la présence d’un chiffre dans un mot de passe de 8 caractères. D’autre part, les mots de passe étaient stockés hachés via la fonction SHA-256 avec sel, une fonction mathématiquement robuste pour d’autres usages mais reconnue comme inadaptée au stockage des mots de passe en raison de sa rapidité d’exécution, qui facilite les attaques par force brute ou par tables précalculées. Ces deux insuffisances étaient documentées et condamnées par les recommandations de la CNIL depuis 2017 et 2022, ainsi que par l’ANSSI et le Guide RGPD du développeur de la CNIL qui préconise des fonctions de hachage lentes comme Argon2, bcrypt ou scrypt. La formation restreinte a expressément relevé que les recommandations étaient largement connues au moment des contrôles et que la CNIL avait déjà sanctionné à plusieurs reprises des organismes pour des manquements identiques, caractérisant ainsi une négligence aggravée.

4. L’absence d’analyse d’impact préalable pour un traitement de profilage massif

La formation restreinte a retenu un manquement à l’article 35 du RGPD, la société n’ayant pas réalisé d’analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en œuvre du traitement de ciblage publicitaire sur le réseau social. Ce traitement réunissait pourtant l’ensemble des critères déclencheurs d’une AIPD obligatoire : il portait sur un volume très élevé de données (plus de 10,5 millions de personnes), impliquait un croisement de données entre une base clients d’enseigne de sport et la base d’une plateforme de réseau social mondial, et faisait appel à des algorithmes de profilage mis en œuvre par le groupe Y pour construire des audiences similaires. L’absence d’AIPD est doublement problématique : elle prive la société de l’outil qui lui aurait permis d’identifier les risques inhérents au traitement et d’en évaluer la proportionnalité avant sa mise en œuvre, et elle caractérise une méconnaissance des obligations les plus fondamentales du RGPD en matière de traitements à haut risque. La CNIL rappelle que l’AIPD n’est pas une simple formalité documentaire : c’est un outil de gouvernance qui doit conduire à des décisions concrètes sur la conception et les limites des traitements envisagés.

5. Des cookies déposés sans consentement préalable et persistant après refus

La formation restreinte a retenu un manquement à l’article 82 de la loi Informatique et Libertés, constitué de deux volets distincts et cumulatifs portant sur les pratiques de la société en matière de cookies. Au moment du contrôle en ligne du 5 janvier 2023, onze cookies soumis à consentement préalable — dont des cookies de personnalisation de contenu éditorial et des cookies de mémorisation de navigation destinés à l’affichage de questionnaires de satisfaction — étaient automatiquement déposés sur le terminal de l’utilisateur dès sa visite sur le site web, avant même qu’il n’ait pu exprimer le moindre choix. Plus grave encore, lorsque l’utilisateur refusait le dépôt des cookies non essentiels, les onze cookies précédemment déposés n’étaient pas supprimés et continuaient à être lus, ce qui rendait le refus totalement inopérant et vidait de toute substance le droit au consentement que la loi Informatique et Libertés garantit aux utilisateurs. La CNIL souligne la gravité particulière de ce second volet : ne pas supprimer les cookies après refus constitue une atteinte délibérée et persistante au droit des personnes à maîtriser le traitement de leurs données de navigation, allant au-delà du simple dépôt préalable au consentement.

Source primaire : Délibération SAN-2025-017 du 30 décembre 2025, CNIL/Légifrance ; Communiqué CNIL du 22 janvier 2026.

POINTS ESSENTIELS