CNIL | SAN-2025-017 | 30 DÉCEMBRE 2025 | AFFAIRE INTERSPORTS |
INTERSPORTS | MONTANT : 3,5 MILLIONS D’EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
LES MANQUEMENTS RETENUS PAR LA FORMATION RESTREINTE ET LES AXES DE DÉFENSE DE LA SOCIÉTÉ
A. MANQUEMENT À L’OBLIGATION DE LICÉITÉ DU TRAITEMENT (ARTICLE 6, §1, A DU RGPD) —
1. Les faits établis
Depuis fin 2018 et jusqu’en février 2024, la société INTERSPORTS transmettait hebdomadairement les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité ayant consenti à recevoir des messages de prospection commerciale par SMS et/ou courrier électronique au groupe Y, gestionnaire du réseau social Z, afin que celui-ci procède à la mise en correspondance de ces données avec celles de ses utilisateurs. Cette opération visait à afficher, sur le réseau social, des publicités pour les produits INTERSPORTS, d’une part aux utilisateurs du réseau déjà membres du programme de fidélité, et d’autre part aux utilisateurs présentant un profil similaire (audiences similaires). 10,5 millions de personnes ont ainsi vu leurs données transmises au groupe Y au cours de cette période, quand bien même seules 1,6 million d’entre elles ont effectivement été exposées à une publicité ciblée (taux de correspondance de l’ordre de 15 %).
La société fondait ce traitement sur le consentement des personnes concernées, recueilli à deux titres : lors de l’adhésion au programme de fidélité, à l’occasion de laquelle les personnes acceptaient de recevoir de la prospection commerciale ; et lors de l’inscription sur le réseau social Z, les utilisateurs ayant accepté les conditions générales d’utilisation de ce dernier.
2. L’appréciation de la formation restreinte
La formation restreinte a écarté l’ensemble des arguments de la société et considéré que le consentement n’était pas valablement recueilli, pour quatre raisons distinctes et cumulatives.
En premier lieu, s’agissant du formulaire d’adhésion au programme de fidélité, la formation restreinte relève que le formulaire présenté lors de la création d’un compte sur le site web contenait des cases à cocher portant sur la réception de messages de prospection commerciale par SMS et/ou courrier électronique, mais ne contenait aucune information sur la transmission des données au groupe Y à des fins de publicité ciblée sur le réseau social Z. Elle juge que :
« sur la base des seules mentions figurant sur le formulaire, il ne saurait être considéré que l’information fournie aux adhérents est suffisante pour assurer le caractère clair de leur consentement à la transmission de leurs données au réseau social Z à des fins de publicité ciblée. Si ces mentions font bien référence à des traitements de prospection électronique par SMS et/ou courrier électronique, qui visent à promouvoir des produits commercialisés par la société INTERSPORTS tout comme la publicité ciblée effectuée sur le réseau social Z, les messages publicitaires sont adressés selon des canaux distincts et dans des environnements différents. »
En deuxième lieu, la formation restreinte a examiné les documents accessibles depuis le site web (politique des données personnelles, conditions générales du programme de fidélité, conditions générales de vente sur internet). Elle a constaté que, si certains d’entre eux mentionnaient une « mise en correspondance des données des adhérents avec celles de la société Z », aucun document ne précisait la finalité de cette transmission — à savoir la réalisation de publicité ciblée sur le réseau social — ni la base légale correspondante. Ces informations étaient en outre dispersées dans des documents distincts, accessibles uniquement via plusieurs liens situés en pied de page, obligeant les personnes à prendre l’initiative de les consulter. La formation restreinte en conclut que :
« ce parcours ne permet pas vraiment aux personnes concernées de fournir un consentement explicite et clair par un acte positif pour le traitement en cause, comme aurait pu le permettre, par exemple, la présence d’une case à cocher sur le formulaire d’adhésion au programme de fidélité mentionnant clairement la finalité de ce traitement et offrant la possibilité aux personnes d’accepter ou non sa mise en œuvre. »
En troisième lieu, la formation restreinte écarte l’argument tiré du consentement donné par les utilisateurs du réseau social Z lors de leur inscription : d’une part, toutes les personnes dont les données étaient transmises ne détenaient pas nécessairement un compte sur ce réseau (taux de correspondance de seulement 15 %) ; d’autre part, le consentement recueilli par le groupe Y ne saurait suppléer celui qui devait être recueilli par la société INTERSPORTS en sa qualité de responsable de traitement, avant la transmission des données.
En quatrième lieu, la formation restreinte écarte l’argument tiré du hachage des données : seules les adresses électroniques étaient hachées (par la fonction SHA-256), les numéros de téléphone étant transmis en clair. Par ailleurs, le hachage constitue une bonne pratique de sécurité mais n’affecte pas la qualification du traitement en cause.
La formation restreinte retient ainsi formellement le manquement à l’article 6, §1, a du RGPD. Elle prend acte de la cessation spontanée du traitement en février 2024, rendant une injonction sans objet sur ce point, tout en précisant que le manquement demeure caractérisé pour le passé.
3. Tableau récapitulatif : jurisprudence et réglementation citées
| Référence | Nature | Extrait / Paragraphe correspondant |
|---|---|---|
| Art. 6, §1 RGPD | Disposition normative | Définition des bases légales de licéité — §26 |
| Art. 4, point 11 RGPD | Disposition normative | Définition du consentement : libre, spécifique, éclairé, univoque — §27 |
| Considérant 32 RGPD | Disposition normative | Acte positif clair ; exclusion du consentement par silence, cases pré-cochées ou inactivité — §28 |
| CJUE, gr. ch., 1er oct. 2019, Planet49 GmbH, C-673/17 | Jurisprudence CJUE | La manifestation de volonté doit être spécifique et ne saurait être déduite d’une manifestation ayant un objet distinct — §§29, 31 |
| Lignes directrices 05/2020 CEPD sur le consentement | Soft law CEPD | Consentement distinct par finalité ; information spécifique accompagnant chaque demande — §30 |
| CJUE, 11 nov. 2020, Orange România SA, C-61/19 | Jurisprudence CJUE | Information sous forme compréhensible, permettant à la personne de déterminer les conséquences de son consentement — §31 |
| Lignes directrices 08/2020 CEPD sur le ciblage | Soft law CEPD | Le cibleur déterminant finalités et moyens agit en qualité de responsable de traitement — §19 |
B. MANQUEMENT À L’OBLIGATION D’INFORMATION (ARTICLES 12 ET 13 DU RGPD) —
1. Les faits établis
La rapporteure a relevé trois séries d’insuffisances dans les informations fournies par la société au moment des opérations de contrôle :
—-Absence de correspondance entre finalités et bases légales : la politique des données personnelles listait les bases légales du RGPD dans un premier paragraphe et les finalités des traitements dans un second, sans établir de correspondance explicite entre les deux. La formation restreinte juge cette présentation impropre à permettre aux personnes de comprendre la nature et la licéité de chaque traitement ;
—-Omission de la finalité de publicité ciblée sur le réseau social Z : ni la politique des données personnelles, ni les conditions générales du programme de fidélité, ni les conditions générales de vente ne mentionnaient la finalité exacte de la transmission des données au groupe Y. La seule mention d’une « mise en correspondance des données des adhérents avec celles de la société Z » était insuffisante, en l’absence de toute précision sur la finalité publicitaire et la base légale correspondante ;
—-Information erronée sur les transferts internationaux : la politique des données personnelles en vigueur au moment du contrôle renvoyait au bouclier de protection des données (Privacy Shield), pourtant invalidé par la Cour de justice de l’Union européenne depuis l’arrêt Schrems II du 16 juillet 2020 (CJUE, grande chambre, C-311/18).
2. La défense de la société
La société a reconnu que sa politique de 2023 aurait pu être plus claire mais a soutenu qu’elle contenait les informations requises. Elle a produit, dans ses secondes observations de septembre 2025, une nouvelle politique des données personnelles comprenant un tableau présentant les finalités associées à leurs bases légales. Elle a également mis à jour, le 20 juin 2025, les informations relatives aux transferts internationaux en supprimant toute référence au Privacy Shield et en mentionnant le Data Privacy Framework (décision d’adéquation de la Commission européenne du 10 juillet 2023). Elle a enfin modifié, en septembre 2025, les conditions générales du programme de fidélité pour y mentionner une durée de conservation des données de deux ans.
3. L’appréciation de la formation restreinte
La formation restreinte a pris acte de ces mises en conformité intervenues en cours de procédure mais retient néanmoins le manquement pour les pratiques passées, constatées lors des contrôles. Elle relève notamment que la nouvelle politique de septembre 2025 présente désormais, en son article 4, un tableau clair liant finalités et bases légales, permettant aux utilisateurs d’être correctement informés. Elle prend acte également de la mise à jour des transferts internationaux mais souligne que l’information erronée relative au Privacy Shield subsistait depuis juillet 2020 jusqu’à la correction de juin 2025, soit cinq ans après l’invalidation de ce mécanisme.
| Référence | Nature | Extrait / Paragraphe correspondant |
|---|---|---|
| Art. 13 RGPD | Disposition normative | Liste des informations devant être fournies lors de la collecte directe — §56 |
| Art. 12 RGPD | Disposition normative | Obligation de forme : information compréhensible, accessible et claire — §56 |
| CJUE, gr. ch., 16 juill. 2020, Schrems II, C-311/18 | Jurisprudence CJUE | Invalidation du Privacy Shield — §57, §65 |
| Décision adéquation CE, 10 juill. 2023 (Data Privacy Framework) | Décision de la Commission UE | Niveau de protection substantiellement équivalent pour les transferts UE-États-Unis — §66 |
MANQUEMENT À L’OBLIGATION D’ASSURER LA SÉCURITÉ DES DONNÉES (ARTICLE 32 DU RGPD) —
1. Les faits établis
La délégation de contrôle a constaté deux insuffisances en matière de sécurité des comptes utilisateurs :
—-Les règles de complexité des mots de passe exigées lors de la création d’un compte ou du programme de fidélité étaient insuffisamment robustes ;
—-Les mots de passe des comptes utilisateurs étaient stockés au moyen de la fonction de hachage SHA-256, dont la formation restreinte rappelle qu’elle ne constitue pas un mécanisme de stockage sécurisé des mots de passe — cette fonction, conçue pour la rapidité, ne présente pas les caractéristiques nécessaires à la protection contre les attaques par force brute ou par dictionnaire, contrairement à des algorithmes dédiés tels que bcrypt, scrypt ou Argon2.
Ces manquements concernent l’ensemble des clients et adhérents au programme de fidélité, les règles de complexité et les modalités de stockage étant identiques pour tous.
2. La défense de la société
La société a indiqué avoir pris des mesures correctives en cours de procédure, sans en justifier le détail au jour de la séance.
3. L’appréciation de la formation restreinte
La formation restreinte considère que ces manquements portent sur des obligations élémentaires en matière de sécurité, et que leur portée est particulièrement large dès lors qu’ils affectent uniformément l’ensemble de la base de données clients et adhérents.
| Référence | Nature | Extrait / Paragraphe correspondant |
|---|---|---|
| Art. 32 RGPD | Disposition normative | Obligation de mesures techniques et organisationnelles appropriées — §§ 138 |
| État de l’art CNIL (recommandations mots de passe) | Doctrine CNIL | SHA-256 impropre au stockage sécurisé des mots de passe — §§ implicites dans le raisonnement de la formation restreinte |
MANQUEMENT À L’OBLIGATION DE RÉALISER UNE ANALYSE D’IMPACT (ARTICLE 35 DU RGPD) —
1. Les faits établis
La société n’avait pas réalisé d’analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en œuvre du traitement de publicité ciblée sur le réseau social Z, alors même que ce traitement présentait les caractéristiques imposant une telle analyse : volume important de données personnelles (10,5 millions de personnes), croisement de données provenant de sources distinctes (programme de fidélité et réseau social), finalité de profilage et de ciblage publicitaire.
2. La défense de la société
La société n’a pas contesté l’absence d’AIPD mais a soutenu que les manquements ne présentaient aucun caractère de gravité et que les personnes concernées n’avaient subi aucun préjudice direct.
3. L’appréciation de la formation restreinte
La formation restreinte rappelle que l’AIPD est une exigence préalable à la mise en œuvre d’un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Elle considère que le traitement de ciblage publicitaire mis en œuvre par INTERSPORTS remplissait les critères déclenchant cette obligation, notamment en raison du volume des données concernées et du croisement opéré avec les données d’un réseau social tiers.
| Référence | Nature | Extrait / Paragraphe correspondant |
|---|---|---|
| Art. 35 RGPD | Disposition normative | Obligation d’AIPD préalable pour les traitements à risque élevé — §9, §§ relatifs au manquement |
| Lignes directrices WP248 (G29/CEPD) sur les AIPD | Soft law CEPD | Critères déclencheurs de l’obligation d’AIPD — implicitement cités |
E. MANQUEMENT AUX OBLIGATIONS EN MATIÈRE DE COOKIES ET TRACEURS (ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS) —
1. Les faits établis
Le contrôle en ligne du 5 janvier 2023 a révélé que, lors de la visite du site web INTERSPORTS, onze cookies soumis à consentement étaient déposés sur le terminal de l’utilisateur avant même qu’il n’ait exprimé un choix. De plus, lorsque l’utilisateur refusait le dépôt de ces cookies, ils n’étaient pas supprimés et continuaient à être lus, en violation des règles applicables.
2. La défense de la société
La société a mis en avant les mesures correctives déployées en cours de procédure.
3. L’appréciation de la formation restreinte
La formation restreinte considère que ce manquement constitue une atteinte substantielle au droit au respect de la vie privée des personnes concernées. Elle retient que le dépôt de cookies sans consentement préalable et la persistance de ces cookies malgré le refus de l’utilisateur caractérisent une violation grave des droits des personnes.
| Référence | Nature | Extrait / Paragraphe correspondant |
|---|---|---|
| Art. 82 loi Informatique et Libertés | Disposition normative française | Obligation de consentement préalable au dépôt de cookies soumis à consentement — §§ 139 |
LA DÉTERMINATION DE LA SANCTION
A. CRITÈRES D’APPRÉCIATION (ARTICLE 83 DU RGPD)
1. Gravité et durée des manquements
La formation restreinte souligne que deux des manquements retenus — le défaut de base légale (article 6) et l’insuffisance de l’information (article 13) — portent sur des principes fondamentaux du RGPD relevant de l’article 83, §5, susceptibles d’une amende maximale de 20 000 000 euros ou 4 % du chiffre d’affaires annuel mondial. Elle insiste sur :
—-le nombre particulièrement élevé de personnes concernées : plus de 10,5 millions, dont les données ont été effectivement transmises au groupe Y ;
—-la durée des violations : la société transmettait les données de façon hebdomadaire depuis fin 2018, soit plus de cinq années, jusqu’en février 2024 ;
—-la pratique répandue du recours à la publicité ciblée sur les réseaux sociaux, qui rendait d’autant plus nécessaire une information claire et un consentement spécifique.
2. Négligence caractérisée
« Le nombre de manquements constatés révèle une particulière négligence de la part de la société. Plus particulièrement, concernant le manquement à l’article 6, §1, a du RGPD, la formation restreinte considère que la société aurait dû, compte tenu du caractère massif du traitement en cause, faire preuve d’une vigilance accrue. »
3. Circonstances atténuantes partielles
La formation restreinte prend acte de la cessation spontanée du traitement en février 2024, avant même la notification du rapport de sanction, qu’elle met au crédit de la société — tout en relevant que cette cessation est intervenue après le contrôle de la CNIL, qui avait selon les propres déclarations de la société « soulevé de nombreuses interrogations ». Elle prend acte également des mesures de mise en conformité déployées en cours de procédure.
4. Situation financière
La société a invoqué une dégradation de sa situation économique en 2024 et la faible marge caractéristique de son secteur d’activité. La formation restreinte en tient compte, relevant que le chiffre d’affaires réalisé en 2023 et en 2024, ainsi que les résultats nets correspondants, ont guidé le calibrage du montant de l’amende.
B. LE DISPOSITIF DE LA DÉLIBÉRATION
La formation restreinte de la CNIL, après en avoir délibéré, décide :
— de prononcer à l’encontre de la société INTERSPORTS une amende administrative d’un montant de trois millions cinq cent mille (3 500 000) euros pour l’ensemble des manquements constatés, qui se décompose comme suit :
○ deux millions cinq cent mille (2 500 000) euros au regard des manquements constitués aux articles 6, §1, a, 13, 32 et 35 du règlement UE 2016/679 ;
○ un million (1 000 000) euros au regard du manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
— de ne pas prononcer d’injonction, compte tenu de la mise en conformité de la société à l’égard de l’ensemble des manquements relevés ;
— de rendre publique sa délibération, sans que la société y soit nommément identifiée, la formation restreinte ayant estimé qu’il était important d’informer le public des règles applicables en matière de publicité ciblée sur les réseaux sociaux, sans qu’il soit utile de nommer la société concernée.
POINTS ESSENTIELS
La délibération SAN-2025-017 du 30 décembre 2025 sanctionne la société INTERSPORTS d’une amende administrative de 3 500 000 euros — décomposée en 2 500 000 euros au titre des manquements aux articles 6, 13, 32 et 35 du RGPD et en 1 000 000 euros au titre du manquement à l’article 82 de la loi Informatique et Libertés — pour avoir, depuis fin 2018 jusqu’en février 2024, transmis hebdomadairement à un réseau social les adresses électroniques et/ou numéros de téléphone de plus de 10,5 millions de membres de son programme de fidélité à des fins de ciblage publicitaire, sans que leur consentement à cette finalité spécifique ait été valablement recueilli, le formulaire d’adhésion au programme de fidélité ne contenant aucune information sur cette transmission et les documents de renvoi accessibles en pied de page étant jugés trop parcellaires et trop peu accessibles pour constituer la base d’un consentement clair et spécifique au sens de l’article 4, §11, et du considérant 32 du RGPD.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats