CNIL | SAN-2025-017 | 30 DÉCEMBRE 2025 | AFFAIRE INTERSPORTS |
INTERSPORTS | MONTANT : 3,5 MILLIONS D’EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
FAQ — RESPONSABLES DE TRAITEMENT
PARTIE 1 – CONSENTEMENT ET BASES LÉGALES POUR LA PUBLICITÉ CIBLÉE
Q1. PUIS-JE UTILISER L’INTÉRÊT LÉGITIME COMME BASE LÉGALE POUR TRANSMETTRE LES COORDONNÉES DE MES CLIENTS À UN RÉSEAU SOCIAL (META, TIKTOK, LINKEDIN) AUX FINS DE PUBLICITÉ CIBLÉE ?
NON, catégoriquement.
Qualification juridique : La transmission de données personnelles à un réseau social aux fins de publicité ciblée (custom audience, lookalike audience) nécessite impérativement le consentement de la personne concernée
Corpus normatif :
—-Article 6, §1, sous a) du RGPD (consentement)
—-Article 7 du RGPD (conditions du consentement)
—-Lignes directrices du CEPD sur le consentement (WP 259 rev.01)
Justification :
—-L’intérêt légitime (article 6, §1, sous f) ne peut être invoqué que si le traitement est raisonnablement attendu par la personne et ne porte pas une atteinte excessive à ses droits
—-Or, la transmission à un tiers (réseau social) implique :
—-Un croisement de données entre les bases du responsable de traitement et du réseau social
—-Un suivi comportemental sur le réseau social
—-Un niveau d’intrusion élevé dans la vie privée
—-Ces caractéristiques excluent le recours à l’intérêt légitime
Conséquence pratique :
Toute transmission en cours fondée sur l’intérêt légitime doit être immédiatement suspendue et remplacée par un dispositif de recueil du consentement conforme
Q2. PUIS-JE RECUEILLIR UN CONSENTEMENT GLOBAL POUR “RECEVOIR DES OFFRES COMMERCIALES” COUVRANT À LA FOIS MES PROPRES ENVOIS (E-MAILS/SMS) ET LA PUBLICITÉ CIBLÉE SUR RÉSEAU SOCIAL ?
NON, un consentement granulaire est obligatoire.
Qualification juridique : Le consentement doit être distinct pour chaque finalité substantiellement différente (considérant 43 du RGPD)
Principe de granularité :
—-La prospection commerciale directe (e-mails/SMS envoyés par le responsable de traitement) et la publicité ciblée sur réseau social (transmission à un tiers) constituent deux finalités distinctes
—-Ces finalités diffèrent par :
—-Le destinataire des données (responsable de traitement vs réseau social)
—-Le canal de communication (e-mail/SMS vs fil d’actualité du réseau social)
—-Le niveau d’intrusion (communication directe vs suivi comportemental)
—-Les modalités d’opposition (lien de désinscription vs paramètres du compte réseau social)
Exigence technique :
Une case à cocher distincte doit être prévue pour chaque finalité
Modèle conforme :
☐ Je souhaite recevoir par e-mail et SMS les offres commerciales
d'[ENSEIGNE]
☐ J'accepte qu'[ENSEIGNE] transmette mon adresse e-mail et mon
numéro de téléphone au réseau social META afin de me proposer
des publicités ciblées sur mon compte META
Modèle NON conforme (sanctionné dans INTERSPORTS) :
☐ Je souhaite recevoir les offres commerciales d'[ENSEIGNE]
[Sans mention de la transmission au réseau social]
Q3. COMBIEN DE FINALITÉS DISTINCTES DOIS-JE IDENTIFIER DANS MON DISPOSITIF DE PUBLICITÉ CIBLÉE ?
Au minimum 2 à 3 finalités distinctes selon les cas.
Cartographie des finalités distinctes :
Finalité 1 : Prospection commerciale directe
—-Base légale : Consentement (si prospect) ou Intérêt légitime (si client pour produits/services similaires, sous réserve opposition)
—-Destinataire : Le responsable de traitement lui-même
—-Canal : E-mail, SMS, courrier postal, appel téléphonique
Finalité 2 : Publicité ciblée sur site web du responsable de traitement
—-Base légale : Consentement (via cookies publicitaires)
—-Destinataire : Régies publicitaires, partenaires
—-Canal : Bannières publicitaires sur le site web
Finalité 3 : Publicité ciblée sur réseau social (custom audience)
—-Base légale : Consentement distinct et spécifique
—-Destinataire : Réseau social (META, TikTok, LinkedIn, etc.)
—-Canal : Fil d’actualité du réseau social, stories, suggestions
Finalité 4 (optionnelle) : Partage avec partenaires commerciaux
—-Base légale : Consentement distinct et spécifique
—-Destinataire : Partenaires identifiés nommément
—-Canal : Variable selon les partenaires
Critère d’appréciation CNIL :
Deux finalités sont distinctes si elles diffèrent significativement par leur destinataire, leur canal, leur niveau d’intrusion ou leurs modalités d’opposition
Q4. SI J’AI DÉJÀ COLLECTÉ DES CONSENTEMENTS “GLOBAUX” AUPRÈS DE MES CLIENTS EXISTANTS, QUE DOIS-JE FAIRE ?
Campagne de recueil rétroactif du consentement obligatoire.
Procédure recommandée :
Étape 1 : Suspension immédiate (J0)
—-Suspendre toute transmission de données aux réseaux sociaux fondée sur des consentements non conformes
—-Documenter cette suspension (décision, date, périmètre)
Étape 2 : Communication transparente (J+7 à J+30)
—-Adresser un e-mail à l’ensemble des clients/membres concernés
—-Contenu de l’e-mail :
—-Explication claire des pratiques passées
—-Information sur l’arrêt de ces pratiques
—-Invitation à consentir de nouveau de manière granulaire
—-Lien vers un formulaire de gestion des préférences
Modèle de communication :
Objet : Mise à jour de vos préférences marketing
Cher(e) client(e),
Nous souhaitons vous informer que nous avons procédé à une mise à jour
de nos pratiques en matière de publicité ciblée afin de vous garantir
un contrôle plus fin sur l'utilisation de vos données personnelles.
Par le passé, lorsque vous avez accepté de recevoir nos offres
commerciales, nous transmettions également vos coordonnées au réseau
social META pour vous proposer des publicités ciblées.
Nous avons cessé cette pratique et souhaitons recueillir votre accord
de manière plus transparente.
[Bouton : Gérer mes préférences]
Vous pouvez désormais choisir séparément :
☐ Recevoir nos offres par e-mail et SMS
☐ Voir nos publicités sur META
Si vous ne modifiez pas vos préférences, nous ne transmettrons plus
vos données à META.
Étape 3 : Traitement des non-répondants (J+30)
—-Les personnes n’ayant pas répondu sont présumées refuser la transmission à META
—-Leurs coordonnées doivent être supprimées des audiences transmises au réseau social
—-Elles peuvent continuer à recevoir de la prospection directe si elles y avaient consenti initialement
Délai recommandé : Maximum 3 mois entre la suspension et la finalisation de la campagne de recueil rétroactif
Q5. LE CONSENTEMENT POUR LA PUBLICITÉ CIBLÉE DOIT-IL ÊTRE RENOUVELÉ PÉRIODIQUEMENT ?
OUI, le consentement doit être régulièrement réexaminé et, le cas échéant, renouvelé.
Durée de validité du consentement :
Le RGPD ne fixe pas de durée maximale de validité du consentement, mais impose qu’il reste libre, spécifique, éclairé et univoque tout au long de son utilisation
Critères de caducité du consentement :
1. Inactivité prolongée de la personne
—-Si une personne n’a pas ouvert d’e-mail depuis 24 mois ou n’a pas effectué d’achat depuis 36 mois, son consentement devrait être réexaminé
—-Recommandation CNIL : e-mail de réactivation proposant de confirmer le consentement
—-Absence de réponse = suppression de la base marketing
2. Évolution substantielle des finalités ou destinataires
—-Ajout d’un nouveau réseau social (par exemple, ajout de TikTok alors que seul META était initialement mentionné) = nouveau consentement requis
—-Modification significative des modalités de ciblage = information et possibilité de retrait
3. Changement de l’environnement juridique ou technique
—-Invalidation d’un mécanisme de transfert (exemple : Privacy Shield en 2020)
—-Évolution jurisprudentielle modifiant l’interprétation des bases légales
Recommandation pratique :
—-Revue annuelle de la base de consentements
—-Campagne de réactivation tous les 24 mois pour les personnes inactives
—-Documentation de ces revues dans le registre des traitements
PARTIE 2 – INFORMATION DES PERSONNES CONCERNÉES
Q6. OÙ DOIS-JE MENTIONNER LA TRANSMISSION DE DONNÉES AU RÉSEAU SOCIAL : DANS LA POLITIQUE DE CONFIDENTIALITÉ OU SUR LE FORMULAIRE LUI-MÊME ?
SUR LE FORMULAIRE LUI-MÊME, à proximité immédiate de la case à cocher.
Principe de transparence renforcée :
L’article 13 du RGPD impose que l’information soit fournie au moment de la collecte
Information minimale sur le formulaire (à proximité de la case à cocher) :
☐ J'accepte qu'[ENSEIGNE] transmette mon adresse e-mail et mon
numéro de téléphone au réseau social META afin de me proposer
des publicités ciblées sur mon compte META.
Ces données seront traitées conformément à la politique de
confidentialité de META disponible sur [lien].
Information complémentaire dans la politique de confidentialité :
—-Description détaillée du mécanisme technique (hashing, matching)
—-Durée de conservation des données transmises
—-Modalités d’exercice des droits
—-Coordonnées du DPO de META
—-Mécanismes de transfert de données (clauses contractuelles types)
Ce qui est INSUFFISANT (pratique sanctionnée dans INTERSPORTS) :
—-Mentionner uniquement dans la politique de confidentialité, accessible par un lien, sans information sur le formulaire
—-Utiliser une formulation générique type « partage avec nos partenaires » sans identifier nommément le réseau social
Critère d’appréciation CNIL :
L’utilisateur doit pouvoir comprendre immédiatement, sans devoir consulter d’autres documents, qu’il consent à une transmission à un tiers identifié (réseau social)
Q7. COMMENT PRÉSENTER DE MANIÈRE CLAIRE LA CORRESPONDANCE ENTRE FINALITÉS ET BASES LÉGALES DANS MA POLITIQUE DE CONFIDENTIALITÉ ?
Utiliser un tableau structuré avec trois colonnes : Finalité / Base légale / Destinataires.
Modèle de présentation conforme :
| Finalité | Base légale | Destinataires | Durée de conservation |
|---|---|---|---|
| Gestion du compte client et du programme de fidélité | Exécution du contrat (article 6.1.b RGPD) | [ENSEIGNE], prestataires de paiement | Durée de la relation contractuelle + 3 ans |
| Prospection commerciale par e-mail et SMS | Consentement (article 6.1.a RGPD) | [ENSEIGNE] | Jusqu’au retrait du consentement ou inactivité > 3 ans |
| Publicité ciblée sur réseau social META | Consentement (article 6.1.a RGPD) | META Platforms Ireland Limited | Jusqu’au retrait du consentement |
| Analyse de la navigation sur le site web | Consentement (article 6.1.a RGPD) + article 82 LIL | [ENSEIGNE], Google Analytics | 13 mois |
| Prévention de la fraude | Intérêt légitime (article 6.1.f RGPD) | [ENSEIGNE], prestataires de détection de fraude | 5 ans |
Éléments obligatoires pour chaque finalité :
1. Désignation claire de la finalité
—-Formulation précise et compréhensible
—-Éviter les formulations génériques (« amélioration de nos services »)
2. Identification de la base légale
—-Mention explicite de l’article du RGPD (6.1.a, 6.1.b, 6.1.f, etc.)
—-Justification si intérêt légitime invoqué
3. Liste exhaustive des destinataires
—-Identification nommément des tiers (pas uniquement « partenaires commerciaux »)
—-Mention des catégories de sous-traitants (hébergeurs, prestataires de paiement, etc.)
4. Durée de conservation
—-Durée précise ou critères objectifs de détermination
—-Mention des durées d’archivage intermédiaire le cas échéant
Ce qui est INSUFFISANT (pratique sanctionnée dans INTERSPORTS) :
—-Énumérer les finalités sans indiquer la base légale pour chacune
—-Indiquer globalement « les traitements reposent sur le consentement ou l’intérêt légitime » sans préciser lequel s’applique à quelle finalité
Q8. À QUELLE FRÉQUENCE DOIS-JE METTRE À JOUR MA POLITIQUE DE CONFIDENTIALITÉ ?
Revue annuelle obligatoire + mise à jour immédiate en cas d’événement déclencheur.
Calendrier de mise à jour :
Revue annuelle systématique (date fixe, par exemple 1er janvier)
—-Vérification de l’exactitude de toutes les informations
—-Mise à jour des références juridiques
—-Ajout des nouvelles finalités déployées dans l’année
—-Suppression des finalités abandonnées
Mise à jour immédiate en cas de :
1. Évolution jurisprudentielle majeure
—-Invalidation du Privacy Shield (juillet 2020) → mise à jour immédiate pour mentionner les clauses contractuelles types
—-Arrêt Schrems II → mise à jour sous 1 mois maximum
—-Délibérations de sanction CNIL créant une nouvelle interprétation → mise à jour sous 3 mois maximum
2. Évolution de l’organisation ou des traitements
—-Ajout d’un nouveau destinataire (nouveau réseau social, nouveau partenaire) → mise à jour avant la première transmission
—-Modification substantielle d’un traitement existant → mise à jour avant déploiement
—-Changement d’hébergeur ou de prestataire critique → mise à jour sous 1 mois
3. Changement réglementaire
—-Adoption d’un nouveau règlement ou d’une nouvelle loi → mise à jour dans les 6 mois suivant l’entrée en vigueur
—-Adoption de nouvelles lignes directrices du CEPD → revue et mise à jour si nécessaire sous 6 mois
Traçabilité des mises à jour :
Tenir un historique des versions de la politique de confidentialité comportant :
—-Date de chaque version
—-Nature des modifications apportées
—-Justification de la mise à jour (évolution jurisprudentielle, ajout de finalité, etc.)
—-Modalités d’information des personnes concernées (e-mail d’information, pop-up, etc.)
Sanction du défaut de mise à jour :
Mantien pendant plusieurs années d’une référence obsolète (Privacy Shield) après invalidation = manquement à l’article 13 du RGPD
Q9. DOIS-JE INFORMER INDIVIDUELLEMENT MES CLIENTS LORSQUE JE METS À JOUR MA POLITIQUE DE CONFIDENTIALITÉ ?
OUI, si la mise à jour concerne des modifications substantielles affectant leurs droits.
Critères de détermination :
Information individuelle OBLIGATOIRE en cas de :
—-Ajout d’un nouveau destinataire tiers (nouveau réseau social, nouveau partenaire commercial)
—-Ajout d’une nouvelle finalité de traitement substantielle (par exemple, début du profilage comportemental)
—-Modification de la base légale invoquée (passage du consentement à l’intérêt légitime ou inversement)
—-Transfert hors UE nouvellement mis en place
—-Modification significative de la durée de conservation
Modalités d’information :
—-E-mail adressé à l’ensemble des personnes concernées
—-Pop-up sur le site web lors de la première connexion après la mise à jour
—-Notification dans l’application mobile
Contenu de l’information :
—-Nature précise des modifications apportées
—-Date d’entrée en vigueur
—-Droits dont disposent les personnes (opposition, retrait du consentement, etc.)
—-Lien vers la nouvelle version de la politique de confidentialité avec surlignage des modifications
Information collective SUFFISANTE en cas de :
—-Corrections d’erreurs matérielles (faute de frappe, lien obsolète)
—-Mises à jour purement cosmétiques (reformulation sans changement de fond)
—-Ajout d’informations complémentaires n’affectant pas les traitements existants
—-Mise à jour des coordonnées du DPO ou du responsable de traitement
Modalités :
—-Mention sur la page d’accueil du site web
—-Bandeau informatif « Notre politique de confidentialité a été mise à jour le [date] »
PARTIE 3 – SÉCURITÉ DES MOTS DE PASSE
Q10. PUIS-JE ENCORE UTILISER SHA-256 POUR STOCKER LES MOTS DE PASSE DE MES UTILISATEURS ?
NON, absolument pas. SHA-256 est formellement interdit pour le stockage des mots de passe.
Qualification juridique : L’utilisation de SHA-256 pour stocker des mots de passe constitue un manquement à l’article 32 du RGPD (sécurité du traitement)
Corpus normatif :
—-Recommandation CNIL n° 2022-100 du 21 juillet 2022 relative aux mots de passe : « les fonctions cryptographiques de type MD5, SHA-1, SHA-256 ou SHA-512 ne doivent pas être utilisées seules pour stocker des mots de passe »
—-Guide ANSSI sur les mots de passe (octobre 2021)
Justification technique :
—-SHA-256 est une fonction de hachage cryptographique conçue pour être rapide à calculer
—-Cette rapidité facilite les attaques par force brute : un attaquant ayant compromis la base de données peut tester des milliards de mots de passe par seconde
—-Même avec un sel (salt), SHA-256 reste inadapté au stockage de mots de passe
Fonctions OBLIGATOIRES :
Utiliser exclusivement des fonctions de dérivation de clés (key derivation functions) :
1. Argon2 (recommandé en priorité)
—-Vainqueur de la compétition Password Hashing Competition (2015)
—-Résistant aux attaques par GPU et ASIC
—-Trois variantes : Argon2d, Argon2i, Argon2id (recommandé)
—-Paramètres recommandés : temps = 2, mémoire = 64 MB, parallélisme = 4
2. bcrypt
—-Standard éprouvé, largement utilisé
—-Particulièrement adapté aux applications web
—-Paramètre : cost factor = 12 minimum (idéalement 14)
3. scrypt
—-Alternative robuste
—-Paramètres recommandés : N=2^17, r=8, p=1
4. PBKDF2 (moins recommandé)
—-Standard NIST, mais considéré comme moins robuste que les trois précédents
—-Si utilisé : PBKDF2-SHA256 avec minimum 310 000 itérations ou PBKDF2-SHA512 avec minimum 120 000 itérations
Plan de migration urgent :
Phase 1 : Audit (Semaine 1)
—-Identifier tous les systèmes utilisant SHA-256, MD5 ou SHA-1
—-Quantifier le nombre de comptes concernés
—-Évaluer l’impact d’une migration
Phase 2 : Choix technique (Semaine 2)
—-Sélectionner la fonction de dérivation (recommandation : Argon2id ou bcrypt)
—-Adapter l’architecture applicative
—-Développer le module de migration
Phase 3 : Migration progressive (Semaine 3 à 12)
—-Ne PAS réinitialiser les mots de passe de tous les utilisateurs (impact UX désastreux)
—-Mettre en place un système de double hachage temporaire :
—-Lors de la prochaine connexion réussie d’un utilisateur, le mot de passe est rehash avec la nouvelle fonction
—-L’ancien hash SHA-256 est conservé en base jusqu’à la migration complète
—-Au bout de 6 mois, forcer la réinitialisation pour les comptes n’ayant pas été migrés
Phase 4 : Purge (Semaine 13)
—-Supprimer définitivement les anciens hashs SHA-256
—-Documenter la migration dans le registre des traitements
Délai maximum toléré : 3 mois entre identification du manquement et finalisation de la migration
Q11. QUELLES RÈGLES DE COMPLEXITÉ DOIS-JE IMPOSER POUR LES MOTS DE PASSE ?
Trois options conformes, selon la recommandation CNIL du 21 juillet 2022.
OPTION 1 (recommandée) : Mot de passe de 12 caractères minimum
—-Contenant majuscules, minuscules, chiffres ET caractères spéciaux
—-Liste des caractères spéciaux acceptés : au minimum 37 caractères différents
—-Exemples valides : M0tDePa$$e!2024, Sp0rt&V!talité#
—-Exemples invalides : MotDePasse (pas de chiffre ni caractère spécial), Mdp!2024 (trop court)
OPTION 2 : Mot de passe de 14 caractères minimum
—-Contenant majuscules, minuscules ET chiffres
—-Pas de caractère spécial obligatoire
—-Exemples valides : MotDePasse2024Fr, SportVitalite99
—-Exemples invalides : motdepasse2024 (pas de majuscules), MOTDEPASSE (pas de minuscules ni chiffres)
OPTION 3 : Phrase de passe de 7 mots minimum
—-Basée sur des mots de la langue française
—-Séparateur quelconque (espaces, tirets, points, etc.)
—-Exemples valides : Le chat mange la souris verte aujourd'hui, Sport-Vitalité-Santé-Bien-Être-Performance-Endurance
—-Avantage : meilleure mémorisation par les utilisateurs
OPTION 4 (déconseillée) : Mot de passe de 8 caractères avec 3 catégories + mesures complémentaires
Si impossibilité technique d’imposer les options 1, 2 ou 3, un mot de passe de 8 caractères minimum avec 3 catégories de caractères (majuscules, minuscules, chiffres, caractères spéciaux) peut être accepté À CONDITION de mettre en place AU MOINS UNE des mesures complémentaires suivantes :
—-Blocage du compte après 10 tentatives infructueuses maximum
—-Temporisation progressive après chaque échec (1s, 2s, 4s, 8s, etc.)
—-Captcha après 3 tentatives infructueuses
—-Authentification multi-facteurs (MFA) obligatoire
Ce qui est INSUFFISANT (pratique sanctionnée dans INTERSPORTS) :
8 caractères avec 3 catégories sans aucune mesure complémentaire
Paramétrage technique recommandé :
// Exemple de validation côté serveur (Node.js)
function validatePassword(password) {
// Option 1 : 12 caractères, 4 catégories
const option1 = /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]{12,}$/;
// Option 2 : 14 caractères, 3 catégories
const option2 = /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)[A-Za-z\d]{14,}$/;
// Option 3 : phrase de passe (7 mots minimum, séparés par espaces)
const wordCount = password.split(/\s+/).length;
return option1.test(password) || option2.test(password) || wordCount >= 7;
}
Q12. DOIS-JE IMPOSER UN CHANGEMENT PÉRIODIQUE DES MOTS DE PASSE ?
NON, sauf compromission avérée ou suspectée.
Évolution de la doctrine CNIL et ANSSI :
Ancienne recommandation (avant 2021) :
—-Changement obligatoire tous les 90 jours ou 180 jours
Nouvelle recommandation (depuis 2021) :
—-Pas de changement périodique obligatoire en l’absence de compromission
—-Le changement périodique forcé incite les utilisateurs à choisir des mots de passe plus faibles (incrémentation, variations prévisibles)
Justification :
—-Les études de sécurité (NIST, ANSSI, NCSC britannique) démontrent que le changement périodique forcé réduit la sécurité plutôt que de l’améliorer
—-Les utilisateurs forcés à changer régulièrement utilisent des stratégies prévisibles : MotDePasse2024 → MotDePasse2025 → MotDePasse2026
Exceptions : changement OBLIGATOIRE en cas de :
1. Compromission avérée
—-Violation de données affectant les mots de passe
—-Compte compromis détecté (connexion depuis localisation inhabituelle, activité anormale)
—-→ Réinitialisation immédiate et forcée du mot de passe
2. Alerte de sécurité
—-Mot de passe identifié dans une base de mots de passe compromis (Have I Been Pwned, Troy Hunt)
—-→ Notification à l’utilisateur et invitation à changer
3. Départ d’un employé (pour comptes collaborateurs)
—-→ Désactivation du compte + changement des mots de passe partagés le cas échéant
Recommandations positives :
Au lieu du changement périodique, privilégier :
—-Authentification multi-facteurs (MFA) obligatoire pour les comptes sensibles
—-Détection des mots de passe compromis via des bases de données publiques
—-Surveillance des comportements anormaux (connexions depuis localisations inhabituelles, horaires atypiques)
—-Formation des utilisateurs aux bonnes pratiques de sécurité
PARTIE 4 – COOKIES ET TRACEURS
Q13. PUIS-JE DÉPOSER DES COOKIES AVANT D’AFFICHER LE BANDEAU DE CONSENTEMENT ?
NON, strictement interdit. Tout dépôt de cookie avant consentement est illégal.
Qualification juridique : Violation de l’article 82 de la loi Informatique et Libertés (transposition de l’article 5.3 de la directive ePrivacy)
Corpus normatif :
—-Article 82 de la loi Informatique et Libertés : le consentement doit être recueilli avant toute opération d’accès ou d’inscription
—-Lignes directrices CNIL du 17 septembre 2020 (délibération n° 2020-091)
—-CJUE, arrêt Planet49 (C-673/17, 1er octobre 2019) : « le consentement doit être donné *avant ledit stockage »*** (point 62)
Chronologie stricte obligatoire :
Séquence LÉGALE :
- Arrivée de l’utilisateur sur le site
- Affichage immédiat du bandeau de consentement (avant tout dépôt de cookie)
- Dépôt uniquement des cookies exemptés (strictement nécessaires)
- Attente du choix de l’utilisateur (acceptation ou refus)
- Si acceptation : dépôt des cookies consentis
- Si refus : aucun dépôt de cookie non essentiel
Séquence ILLÉGALE (pratique sanctionnée dans INTERSPORTS) :
- Arrivée de l’utilisateur sur le site
- Dépôt immédiat de cookies publicitaires
- Affichage du bandeau de consentement
- → VIOLATION : les cookies étaient déjà déposés avant le consentement
Cookies exemptés du consentement (pouvant être déposés avant affichage du bandeau) :
1. Cookies strictement nécessaires (article 82, alinéa 3 LIL) :
—-Cookie de session (maintien de la connexion pendant la navigation)
—-Cookie de panier d’achat (conservation des articles)
—-Cookie de sécurité (protection CSRF)
—-Cookie d’équilibrage de charge (load balancing)
—-Cookie de personnalisation de l’interface (langue, contraste, accessibilité)
2. Cookies de mesure d’audience sous conditions strictes :
—-Mesure réalisée exclusivement pour le compte de l’éditeur
—-Finalité limitée à la seule mesure d’audience
—-Pas de recoupement avec d’autres traitements
—-Pas de transfert à des tiers
—-→ Exemple : Matomo configuré en mode exempté
Cookies SOUMIS à consentement (ne pouvant être déposés qu’après acceptation) :
—-Cookies publicitaires (ad-tech, retargeting)
—-Cookies de réseaux sociaux (boutons de partage, pixels de suivi)
—-Cookies de mesure d’audience par des tiers (Google Analytics, Adobe Analytics, etc.)
Test de conformité pratique :
Ouvrir le site en navigation privée avec les outils de développement du navigateur :
- Onglet Application (Chrome) ou Stockage (Firefox)
- Observer les cookies avant d’interagir avec le bandeau
- Résultat attendu : uniquement les cookies exemptés
- Résultat non conforme : présence de cookies publicitaires ou tiers
Fréquence des tests : Mensuelle minimum
Q14. SI UN UTILISATEUR REFUSE LES COOKIES, QUE DOIS-JE FAIRE DES COOKIES QUI ÉTAIENT ÉVENTUELLEMENT DÉJÀ DÉPOSÉS (EN CAS D’ERREUR TECHNIQUE) ?
Suppression IMMÉDIATE et AUTOMATIQUE de tous les cookies refusés.
Principe d’effectivité du refus :
Le refus doit avoir exactement le même effet qu’une absence de dépôt initial
Séquence technique obligatoire après un refus :
Étape 1 : Suppression côté client
// Exemple de code JavaScript
function deleteAllNonEssentialCookies() {
const nonEssentialCookies = ['_ga', '_gid', 'fr', 'ads_prefs', etc.];
nonEssentialCookies.forEach(cookieName => {
document.cookie = cookieName + '=; expires=Thu, 01 Jan 1970 00:00:00 UTC; path=/;';
// Si cookie sur sous-domaine :
document.cookie = cookieName + '=; expires=Thu, 01 Jan 1970 00:00:00 UTC; path=/; domain=.example.com;';
});
}
Étape 2 : Blocage des scripts tiers
—-Empêcher le chargement des scripts publicitaires et analytics
—-Configuration de la CMP (Consent Management Platform) pour bloquer les balises correspondantes
—-Exemple avec Google Tag Manager : ne déclencher les balises que si consentement donné
Étape 3 : Vérification de la suppression effective
—-Test automatisé vérifiant l’absence de cookies non essentiels après refus
—-Alertes en cas de détection de cookies persistants
Ce qui est ILLÉGAL (pratique sanctionnée dans INTERSPORTS) :
—-Cookies déposés avant le consentement et non supprimés après refus
—-Cookies continuant à être lus par les scripts tiers après un refus
—-→ Double violation : pré-dépôt + ineffectivité du refus
Particularité des cookies tiers :
Les scripts tiers (Google Analytics, Meta Pixel, etc.) peuvent tenter de lire des cookies même après leur suppression :
—-Blocage des requêtes HTTP vers les domaines tiers concernés
—-Configuration de la CMP pour empêcher le chargement des scripts
Critère d’appréciation CNIL :
Après un refus, aucune donnée ne doit être transmise aux régies publicitaires ou outils d’analyse par des tiers
Q15. LE BOUTON “REFUSER” DOIT-IL ÊTRE AUSSI VISIBLE ET ACCESSIBLE QUE LE BOUTON “ACCEPTER” ?
OUI, stricte égalité d’accès et de visibilité (principe de fair choice).
Principe de liberté du consentement :
Le consentement n’est libre (article 4.11 RGPD) que si l’utilisateur peut aussi facilement accepter que refuser
Exigences de présentation :
1. Visibilité équivalente
—-Les deux boutons doivent avoir la même taille
—-Les deux boutons doivent utiliser des couleurs de même intensité
—-Aucun bouton ne doit être visuellement mis en avant par rapport à l’autre
Modèle CONFORME :
╔════════════════════════════════════════╗
║ Ce site utilise des cookies ║
║ ║
║ [Plus d'informations] ║
║ ║
║ ┌──────────┐ ┌──────────┐ ║
║ │ Accepter │ │ Refuser │ ║
║ └──────────┘ └──────────┘ ║
╚════════════════════════════════════════╝
Modèles NON CONFORMES :
Modèle 1 : Bouton “Accepter” visuellement dominant
╔════════════════════════════════════════╗
║ ┌────────────────────┐ [Refuser] ║
║ │ ACCEPTER TOUT │ ║
║ └────────────────────┘ ║
╚════════════════════════════════════════╝
→ Illégal : le bouton “Accepter” est beaucoup plus visible
Modèle 2 : Refus nécessitant des clics supplémentaires
╔════════════════════════════════════════╗
║ ┌──────────┐ [Personnaliser] ║
║ │ Accepter │ ║
║ └──────────┘ ║
║ ║
║ (Puis dans "Personnaliser" : possibilité║
║ de tout refuser) ║
╚════════════════════════════════════════╝
→ Illégal : le refus nécessite davantage de clics que l’acceptation
2. Accessibilité équivalente
—-Même nombre de clics pour accepter et refuser (idéalement 1 clic pour chaque option)
—-Pas de navigation complexe pour accéder au refus
—-Lisibilité équivalente (taille de police, contraste)
3. Formulation neutre
—-Éviter les formulations culpabilisantes :
—-❌ « Accepter (recommandé) » vs « Refuser (déconseillé) »
—-❌ « Continuer avec une expérience optimale » vs « Continuer avec une expérience dégradée »
—-Privilégier des formulations factuelles :
—-✅ « Accepter » vs « Refuser »
—-✅ « Autoriser les cookies » vs « Refuser les cookies »
Recommandation CNIL :
Prévoir trois options de même visibilité :
- Accepter tout (1 clic)
- Refuser tout (1 clic)
- Personnaliser (accès aux choix granulaires par catégorie)
PARTIE 5 – ANALYSE D’IMPACT (AIPD) ET GOUVERNANCE
Q16. DOIS-JE RÉALISER UNE AIPD POUR MON PROGRAMME DE FIDÉLITÉ ET MES OPÉRATIONS DE PUBLICITÉ CIBLÉE ?
OUI, si vous combinez grande échelle + croisement de données.
Critères de déclenchement de l’AIPD (article 35 du RGPD) :
Une AIPD est obligatoire si le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés »
Application au cas INTERSPORTS :
La CNIL a considéré que l’opération de publicité ciblée sur réseau social nécessitait une AIPD car elle combinait :
—-Un volume important de personnes concernées (10,5 millions)
—-Un croisement de données (données du programme de fidélité + données du réseau social)
Liste de critères du CEPD (WP 248 rev.01) :
Le CEPD a identifié 9 critères dont la présence de 2 ou plus justifie une AIPD :
- Évaluation ou scoring (profilage, notation, prédiction)
- Décision automatisée avec effet juridique
- Surveillance systématique (suivi continu, observation)
- Données sensibles (article 9 RGPD) ou données hautement personnelles
- Traitement à grande échelle (>100 000 personnes indicativement)
- Croisement d’ensembles de données
- Personnes vulnérables (enfants, personnes âgées, salariés, patients)
- Usage innovant (nouvelles technologies, IA)
- Transfert hors UE
Cas nécessitant une AIPD dans le marketing digital :
| Traitement | Critères applicables | AIPD obligatoire ? |
|---|---|---|
| Programme de fidélité simple (sans profilage ni partage) | Grande échelle | NON (1 seul critère) |
| Programme de fidélité avec profilage comportemental | Grande échelle + Scoring | OUI (2 critères) |
| Publicité ciblée sur réseau social (custom audience) | Grande échelle + Croisement de données | OUI (2 critères) |
| Publicité ciblée + scoring + transfert hors UE | Grande échelle + Scoring + Transfert hors UE | OUI (3 critères) |
| Newsletter classique sans profilage | Grande échelle | NON (1 seul critère) |
Délai de réalisation : L’AIPD doit être réalisée AVANT la mise en œuvre du traitement
Conséquence de l’absence d’AIPD :
—-Manquement à l’article 35 du RGPD
—-Amende pouvant atteindre 10 millions d’euros ou 2% du CA mondial
Q17. DOIS-JE METTRE EN ŒUVRE TOUTES LES MESURES IDENTIFIÉES DANS MON AIPD, MÊME SI ELLES SONT COÛTEUSES ?
OUI, impérativement. Ne pas déployer les mesures = circonstance AGGRAVANTE.
Enseignement majeur de l’affaire FRANCE TRAVAIL (SAN-2026-003) :
« Réaliser une AIPD identifiant des risques puis ne pas mettre en œuvre les mesures constitue une *négligence grave » et constitue une *circonstance aggravante
Principe d’accountability (responsabilité) :
—-L’AIPD n’est pas un exercice formel destiné à satisfaire une obligation administrative
—-Elle doit donner lieu à un plan d’action effectif avec calendrier, budget et responsables désignés
—-Le responsable de traitement doit démontrer qu’il a mis en œuvre les mesures ou, à défaut, justifier pourquoi elles ne sont pas appropriées
Structure obligatoire du plan d’action post-AIPD :
Chaque AIPD doit comporter :
| Mesure recommandée | Responsable | Calendrier | Budget | Statut | Indicateur de suivi |
|---|---|---|---|---|---|
| Déploiement authentification multifacteurs | RSSI | T2 2026 | 50 K€ | En cours | % comptes migrés |
| Mise à jour politique de confidentialité | DPO | T1 2026 | 0 € | Réalisé | Date dernière version |
| Migration vers bcrypt | DSI | T3 2026 | 30 K€ | Planifié | % mots de passe migrés |
Cas où une mesure peut ne pas être déployée :
1. Mesure techniquement impossible
—-Justification technique documentée
—-Identification de mesures alternatives produisant un effet équivalent
2. Mesure manifestement disproportionnée
—-Analyse coût/bénéfice formalisée
—-Démonstration que le coût excède largement le risque résiduel
—-⚠️ Cette exception est d’interprétation stricte : le coût élevé ne suffit pas à lui seul
3. Mesure devenue obsolète
—-Évolution technologique ou réglementaire rendant la mesure inadaptée
—-Identification d’une mesure de substitution plus appropriée
Traçabilité obligatoire :
—-Registre de suivi des recommandations issues des AIPD
—-Revue trimestrielle par le DPO et la direction générale
—-Escalade formelle en cas de retard significatif dans la mise en œuvre de mesures critiques
Sanction du non-respect :
Amende fortement aggravée si l’organisme avait identifié les risques mais n’a pas agi
POINTS ESSENTIELS
La délibération SAN-2025-017 du 30 décembre 2025 sanctionne la société INTERSPORTS d’une amende administrative de 3 500 000 euros — décomposée en 2 500 000 euros au titre des manquements aux articles 6, 13, 32 et 35 du RGPD et en 1 000 000 euros au titre du manquement à l’article 82 de la loi Informatique et Libertés — pour avoir, depuis fin 2018 jusqu’en février 2024, transmis hebdomadairement à un réseau social les adresses électroniques et/ou numéros de téléphone de plus de 10,5 millions de membres de son programme de fidélité à des fins de ciblage publicitaire, sans que leur consentement à cette finalité spécifique ait été valablement recueilli, le formulaire d’adhésion au programme de fidélité ne contenant aucune information sur cette transmission et les documents de renvoi accessibles en pied de page étant jugés trop parcellaires et trop peu accessibles pour constituer la base d’un consentement clair et spécifique au sens de l’article 4, §11, et du considérant 32 du RGPD.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats