Publicité ciblée : la CNIL frappe fort avec une sanction record contre Intersport

Génération NT / Actualités / Publicité ciblée : la CNIL frappe fort avec une sanction record contre Intersport

Publié le 23 janvier 2026 à 15:50 par Sirius

La CNIL a condamné Intersport à une amende de 3,5 millions d’euros pour avoir partagé les données personnelles des membres de son programme de fidélité avec Facebook depuis 2018. Cette pratique, concernant plus de 10,5 millions d'utilisateurs européens, a été jugée illégale en raison de l'absence de consentement valable et de multiples manquements au RGPD, notamment en matière de sécurité et de transparence.

La décision de la CNIL, bien que rendue publique sans nommer initialement les entreprises, a rapidement été élucidée : l'enseigne Intersport est au cœur de cette affaire. Depuis février 2018, l'entreprise transférait systématiquement les adresses électroniques et numéros de téléphone des adhérents de son programme de fidélité à Facebook. L'objectif était clair : utiliser ces informations pour créer des audiences personnalisées et diffuser de la publicité ciblée. Ce stratagème a concerné plus de 10,5 millions de personnes en France et dans 16 autres pays européens, déclenchant une coopération entre la CNIL et ses homologues. L'amende de 3,5 millions d'euros reflète la gravité des manquements et le volume massif de données personnelles traitées sans base légale solide.

Pourquoi le consentement des clients n'était-il pas valable ?

Le principal manquement retenu par la CNIL repose sur l'absence de base légale pour ce traitement de données. Intersport se défendait en invoquant le consentement recueilli lors de l'adhésion au programme de fidélité, lorsque les clients acceptaient de recevoir des communications promotionnelles. Cependant, l'autorité de contrôle a jugé ce consentement invalide. Aucune mention explicite n'était faite sur le formulaire d'inscription concernant la transmission des données à un réseau social à des fins publicitaires. Les utilisateurs n'étaient donc pas en mesure de donner un accord « libre, spécifique et éclairé » pour cette finalité précise, comme l'exige le règlement européen sur la protection des données (RGPD).

L'information, quand elle existait, était diluée dans les méandres du site web, au sein de politiques de confidentialité lacunaires ou trop imprécises. Le parcours pour accéder à ces documents était si complexe qu'il rendait la compréhension de la finalité réelle du traitement quasi impossible pour un utilisateur moyen. La CNIL a souligné qu'une simple case à cocher, mentionnant clairement la transmission des données pour la publicité ciblée, aurait pu valider le recueil du consentement des membres. En l'absence d'une telle transparence, l'ensemble du dispositif a été considéré comme illégal.

Quels autres manquements ont été identifiés par la CNIL ?

L'affaire ne s'arrête pas au seul problème de consentement. Les contrôles menés en janvier 2023 ont révélé une cascade de manquements. En matière de sécurité, les règles de gestion et la complexité des mots de passe des comptes clients ont été jugées insuffisantes. De plus, la CNIL a rappelé que la fonction de hachage SHA-256 utilisée pour le stockage des identifiants n'offrait plus un niveau de sécurité satisfaisant contre les attaques modernes. La sécurité des données était donc compromise à plusieurs niveaux.

Autre oubli majeur : l'entreprise n'avait réalisé aucune analyse d’impact sur la protection des données (AIPD) avant de déployer ce système. Une telle analyse est pourtant obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes, notamment lorsqu'ils impliquent un croisement de données à grande échelle. Enfin, la politique de confidentialité contenait des informations erronées, faisant référence au « Privacy Shield », un mécanisme de transfert de données vers les États-Unis qui n'est plus en vigueur. Cette accumulation d'imprécisions et d'oublis a démontré un manque de rigueur incompatible avec les exigences du RGPD.

La gestion des cookies était-elle également en infraction ?

Le dernier volet de la sanction concerne la gestion des cookies sur le site web de l'enseigne. Les enquêteurs de la CNIL ont constaté que onze traceurs publicitaires, soumis à consentement, étaient déposés sur le terminal de l'utilisateur avant même que celui-ci ait pu exprimer un choix. Cette pratique contrevient directement aux règles en vigueur qui imposent de recueillir l'accord de l'internaute avant tout dépôt ou lecture de cookie non essentiel.

Pire encore, même lorsque l'utilisateur manifestait son refus, les cookies déjà déposés n'étaient pas supprimés et continuaient de suivre sa navigation. Cette persistance des traceurs malgré un refus explicite constitue une violation caractérisée de l'article 82 de la loi Informatique et Libertés. Ce manquement, ajouté aux autres, a renforcé la décision de la CNIL de rendre sa délibération publique pour informer le plus grand nombre des règles applicables en matière de traceurs publicitaires.

Source : CNIL

Sirius

Journaliste GNT en direct d'Alpha Canis Majoris

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire