CNIL | SAN-2025-017 | 30 DÉCEMBRE 2025 | AFFAIRE INTERSPORTS |
CE RESEAU D’ENSEIGNES DE SPORT PROMETTAIT A SES CLIENTS LA PLUS BELLE DES RENCONTRES …
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Le traitement litigieux : transmission de données d’adhérents à un réseau social
La délibération SAN-2025-017 du 30 décembre 2025 sanctionne une enseigne nationale de distribution d’articles de sport — désignée sous le nom d’INTERSPORTS dans la version publique de la délibération diffusée via le communiqué de la CNIL du 22 janvier 2026 — pour un ensemble de cinq manquements au RGPD et à la loi Informatique et Libertés, couvrant les axes fondamentaux de la conformité : base légale du traitement, obligation d’information, sécurité des données, analyse d’impact et gestion des cookies.
Le cœur de l’affaire repose sur une pratique mise en place depuis fin 2018 et poursuivie jusqu’en février 2024 : la transmission hebdomadaire au groupe Y (une grande plateforme de réseau social, désignée sous cette notation dans la délibération anonymisée) des adresses électroniques et/ou numéros de téléphone des membres du programme de fidélité de la société ayant accepté de recevoir de la prospection commerciale par SMS ou courrier électronique. Ces données étaient utilisées par le groupe Y pour identifier, parmi ses propres utilisateurs, ceux correspondant aux membres du programme de fidélité, puis pour construire des audiences « similaires » — c’est-à-dire des groupes d’utilisateurs présentant un profil analogue — à des fins de diffusion de publicités ciblées pour les produits vendus par la société. Plus de 10,5 millions de membres en France, ainsi que des centaines de milliers de membres dans 16 autres pays européens, ont été concernés par cette transmission de données sur une période de plus de cinq années.
II.
Les manquements à la base légale et à l’obligation d’information
La formation restreinte a retenu en premier lieu un manquement à l’article 6, paragraphe 1, a) du RGPD : le traitement de ciblage publicitaire sur le réseau social Z était dépourvu de base légale valable. La société invoquait le consentement recueilli lors de l’adhésion au programme de fidélité, lorsque les personnes acceptaient de recevoir de la prospection commerciale. La CNIL a écarté cet argument en relevant que le formulaire d’adhésion ne comportait aucune mention de la transmission des données à un réseau social, et que la politique de données personnelles accessible depuis le site web était soit muette sur ce point, soit trop vague pour fonder un consentement éclairé et spécifique. Le CEPD, dans ses lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux, avait clairement établi que le cibleur agit en tant que responsable du traitement dès lors qu’il détermine les finalités et les moyens du traitement, et que ce traitement requiert un consentement distinct et spécifique.
En deuxième lieu, la formation restreinte a retenu un manquement à l’article 13 du RGPD, l’information fournie aux personnes étant à la fois incomplète (absence de mention de la finalité de publicité ciblée et des durées de conservation au moment du contrôle) et inexacte (renvoi dans les documents d’information au Privacy Shield, invalidé par la CJUE depuis juillet 2020). Ces lacunes et erreurs caractérisent une défaillance persistante dans la mise à jour et le contenu de la documentation d’information de la société.
III.
Les manquements à la sécurité, à l’AIPD et aux obligations cookies
La formation restreinte a retenu un manquement à l’article 32 du RGPD portant sur deux volets distincts de la sécurité des authentifications. D’une part, les mots de passe des comptes utilisateurs ne présentaient qu’une entropie de 26 bits au moment du contrôle — très en deçà du seuil recommandé par la CNIL (50 bits minimum avec mécanisme de restriction d’accès, 80 bits sans) —, le seul critère de complexité imposé étant d’intégrer un chiffre dans un mot de passe de 8 caractères. D’autre part, les mots de passe étaient stockés hachés avec la fonction SHA-256 et un sel, alors que cette fonction, rapide à calculer, est documentée comme inadaptée au stockage sécurisé de mots de passe depuis plusieurs années : les recommandations de la CNIL, de l’ANSSI et le Guide RGPD du développeur prescrivent l’utilisation de fonctions de hachage lentes à calculer telles qu’Argon2, bcrypt ou scrypt, précisément pour rendre difficile les attaques par force brute ou par tables précalculées après compromission de la base de données.
La formation restreinte a par ailleurs retenu un manquement à l’article 35 du RGPD : la société n’avait pas réalisé d’analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en œuvre du traitement de ciblage publicitaire, alors que ce traitement impliquait un volume considérable de données (plus de 10,5 millions de personnes), un croisement de données entre une base clients et la base d’un réseau social mondial, et le recours à des algorithmes de profilage. Ces caractéristiques cumulatives imposaient sans ambiguïté la réalisation préalable d’une AIPD.
Enfin, la formation restreinte a retenu un manquement à l’article 82 de la loi Informatique et Libertés : lors du contrôle en ligne du 5 janvier 2023, onze cookies soumis à consentement étaient déposés sur le terminal de l’utilisateur avant même qu’il n’ait exprimé un choix. Par ailleurs, même lorsque l’utilisateur refusait les cookies non essentiels, ceux-ci continuaient à être lus — ce qui rendait le refus totalement inopérant et caractérisait une violation particulièrement grave du principe du consentement en matière de traceurs.
IV.
Les modalités de la décision
La société ayant procédé à des mises en conformité progressives sur l’ensemble des manquements au cours de l’instruction, la formation restreinte a considéré que le prononcé d’une injonction n’était plus nécessaire, les mesures adoptées en cours de procédure ne remettant cependant pas en cause la réalité des manquements pour les faits passés. La décision a été prise en coopération avec 16 autorités de contrôle européennes, aucune n’ayant formulé d’objection, ce qui lui confère une portée normative renforcée à l’échelle européenne s’agissant des pratiques de custom audiences. La délibération a été publiée sans identification nominale de la société, la formation restreinte estimant que la diffusion des règles applicables à une pratique sectorielle répandue pouvait être assurée sans désignation nominative.
Source primaire : Délibération SAN-2025-017 du 30 décembre 2025, publiée sur Légifrance le 22 janvier 2026 ; Communiqué CNIL du 22 janvier 2026.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats