La CNIL a récemment[1] prononcé une amende de 3,5 millions d’euros à l’encontre d’une société qui avait notamment transmis les données personnelles de membres de son programme de fidélité à un réseau social à des fins de publicité ciblée, sans consentement valable.
La pratique en cause : la transmission de données personnelles des membres du programme de fidélité d’une société à un réseau social à des fins de publicité
Une société, ayant des points de vente physique et une boutique en ligne, transmettait les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité à un réseau social. Le réseau social mettait alors en correspondance ces données avec celles des utilisateurs inscrits à son réseau pour identifier (1) les utilisateurs qui sont également membres du programme de fidélité de la société, mais aussi (2) les utilisateurs ayant un profil similaire. Des publicités ciblées étaient alors affichées, sur le réseau social, aux deux catégories d’utilisateurs identifiés afin de promouvoir les articles vendus par la société.
Le manquement reproché : l’absence de recueil d’un consentement conforme au RGPD pour une telle transmission
A la suite de plusieurs contrôles sur pièces et sur place, la CNIL a considéré que ces traitements étaient dépourvus de base légale, faute de consentement valable recueilli par la société.
Pour mémoire, un traitement de données personnelles n’est licite que s’il repose sur une base légale (article 6 du RGPD). Parmi ces bases légales figure le consentement de la personne concernée, consentement qui doit répondre à quatre caractéristiques : être libre, spécifique, éclairé et non équivoque.
En l’espèce, la société fondait justement la licéité des traitements réalisés sur la base du consentement.
Mais, la CNIL a considéré que le consentement n’était, en réalité, pas valablement recueilli.
En effet, la CNIL a notamment relevé que le formulaire d’adhésion au programme de fidélité ne comportait pas d’information sur la transmission de données au réseau social à des fins de publicité ciblée. Seules des informations sur l’adhésion au programme de fidélité et la réception de messages de prospection commerciale par SMS et/ou courriel étaient données.
Aussi, selon la CNIL, les conditions et politiques (dont la politique de protection des données) figurant sur le site internet de la société (1) ne sont pas accessibles aisément pour les personnes concernées et (2) ne contiennent pas d’informations claires sur la transmission des données en cause.
La CNIL en a conclu que « ce parcours » ne permet pas de recueillir « un consentement explicite et éclairé par un acte positif pour le traitement en cause ». Il en serait allé différemment, par exemple, en « présence d’une case à cocher sur le formulaire d’adhésion au programme de fidélité mentionnant clairement la finalité de ce traitement et offrant la possibilité aux personnes d’accepter ou non sa mise en œuvre ».
Par ailleurs, la CNIL a estimé que les traitements réalisés ne sauraient pas plus reposer sur le consentement recueilli par le réseau social lorsqu’un utilisateur crée son compte. A cet égard, la CNIL a souligné que tous les membres concernés du programme de fidélité de la société ne disposent pas nécessairement d’un compte sur le réseau social, outre le fait que le consentement recueilli sur le réseau porte sur l’affichage de publicités ciblées et non les traitements réalisés en amont (transmission de données par la société, mise en correspondance des données par le réseau social…). Aussi et surtout, la CNIL a précisé qu’il appartenait à la société, en tant que responsable de traitement, de recueillir le consentement des personnes concernées en amont de la réalisation des traitements et donc avant la transmission des données au réseau social.
Une sanction en demi-teinte : une amende lourde mais une publicité anonyme
La CNIL a prononcé une amende de 3,5 millions d’euros contre la société compte tenu de :
- La gravité des manquements constatés (à noter que la CNIL a constaté d’autres manquements notamment un manquement à l’obligation d’information et à l’obligation de sécurité, l’absence de réalisation d’une analyse d’’impact, le non-respect de la règlementation relative aux cookies…), dont deux portent sur des principes fondamentaux de la protection des données (la base légale et l’obligation d’information) ;
- Le nombre élevé de personnes concernées (plus de 10,5 millions).
Aussi, la CNIL a, de façon surprenante, décidé de rendre publique sa décision mais sans révéler le nom de la société concernée.
Cette dernière avait effectivement argué que la publicité « risque de fragiliser son équilibre commercial ainsi que la confiance de ses adhérents, sans pour autant apporter de bénéfice à l’intérêt général et tout en favorisant ses concurrents ».
Si la CNIL n’a pas repris cet argumentaire, elle a considéré que :
- La publicité ciblée sur les réseaux sociaux est une pratique de marché répandue, justifiant l’information des personnes concernées « sur les règles applicables en matière de consentement » ;
- « une publication de la décision sans que la société y soit nommément identifiée est suffisante ».
Cette position, pour le moins étonnante, risque fort d’être reprise par de nombreux acteurs pour contester la publication de leur nom lorsque la CNIL envisage de rendre publique une décision de sanction. A suivre…
[1] Délibération CNIL 30 décembre 2025 publiée le 22 janvier 2026