26 | janvier | 2026 | DATA SECURITY BREACH

Données de fidélité détournées, information défaillante et sécurité insuffisante, la CNIL inflige une lourde sanction financière pour rappeler les règles encadrant la publicité ciblée sur les réseaux sociaux.

En janvier 2023, la CNIL a mené plusieurs contrôles auprès d’une société utilisant les données de son programme de fidélité à des fins de publicité ciblée sur un réseau social. Depuis février 2018, les adresses électroniques et numéros de téléphone de plus de 10,5 millions de personnes avaient été transmis afin d’afficher des publicités personnalisées. À l’issue de l’enquête, la formation restreinte de la CNIL a prononcé une amende de 3,5 millions d’euros pour plusieurs manquements au RGPD et à la loi Informatique et Libertés. La décision, adoptée en coopération avec 16 autorités européennes, met en lumière les risques juridiques et cyber liés à l’exploitation des données marketing à grande échelle.

Une exploitation massive des données de fidélité

Les contrôles réalisés par la CNIL ont mis en évidence une pratique installée dans la durée. Depuis février 2018, la société concernée transmettait les coordonnées électroniques des membres de son programme de fidélité à un réseau social. Ces informations permettaient d’afficher des publicités ciblées visant à promouvoir les produits vendus par l’entreprise. Le traitement portait sur un volume très important de données, concernant plus de 10,5 millions de personnes.

À l’issue de l’enquête, la formation restreinte, organe chargé des sanctions, a estimé que plusieurs obligations essentielles n’étaient pas respectées. Elle a prononcé une amende de 3,5 millions d’euros, un montant justifié par la gravité des manquements et l’ampleur du public concerné. La décision a été prise en coopération avec 16 homologues européens, les données de résidents de ces pays étant impliquées.

La CNIL a également choisi de rendre publique sa délibération. Elle a considéré que la publicité ciblée sur les réseaux sociaux étant largement répandue, il était nécessaire de rappeler les règles applicables. L’autorité a toutefois estimé qu’il n’était pas utile de nommer la société, privilégiant une démarche pédagogique plutôt qu’exemplaire sur le plan réputationnel.

Consentement et information, des fondements fragilisés

Le premier manquement concerne l’absence de base légale au sens de l’article 6 du RGPD. La société invoquait le consentement recueilli lors de l’adhésion au programme de fidélité, lorsque les clients acceptaient de recevoir de la prospection par SMS ou par courrier électronique. Pour la CNIL, cet argument ne tient pas.

Le formulaire d’adhésion ne mentionnait pas la transmission des données à un réseau social à des fins de publicité ciblée. Les documents accessibles depuis le site web, notamment la politique de protection des données, étaient soit silencieux sur cette transmission, soit insuffisamment clairs quant à sa finalité. Le parcours d’accès à l’information était jugé complexe, empêchant toute compréhension réelle du traitement. Dans ces conditions, le consentement ne pouvait être ni explicite ni éclairé, contrairement aux exigences du RGPD.

L’autorité a également relevé un manquement aux obligations d’information prévues aux articles 12 et 13 du règlement. Les finalités des traitements n’étaient pas clairement associées à leurs bases légales. Certaines informations manquaient, comme la finalité précise de la publicité ciblée ou la durée de conservation des données. D’autres étaient erronées, notamment les mentions relatives aux transferts internationaux, encore fondées sur le Privacy Shield, pourtant invalidé.

Failles de sécurité et gouvernance défaillante

Au-delà des aspects juridiques, la CNIL a pointé des insuffisances techniques. Les règles de complexité des mots de passe des comptes utilisateurs ont été jugées trop faibles. L’autorité a rappelé que l’utilisation de la fonction de hachage SHA-256 ne garantit pas, à elle seule, un stockage sécurisé des mots de passe, exposant les comptes à des risques accrus en cas de compromission.

Un autre manquement majeur concerne l’absence d’analyse d’impact relative à la protection des données. Aucun AIPD n’avait été réalisée avant la mise en œuvre du ciblage publicitaire. Or, le traitement combinait un volume élevé de données et des opérations de croisement, susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes. Une analyse préalable aurait dû être conduite.

L’AIPD est un outil clé de conformité RGPD, à la fois juridique, organisationnel et technique, indispensable pour sécuriser les traitements de données à risque élevé. Il comprend la description détaillée du traitement et de ses finalités ; Analyse de la nécessité et de la proportionnalité ; Évaluation des risques pour les personnes et des Mesures prévues pour réduire ces risques (sécurité, gouvernance, procédures). Testez notre outil en ligne GRATUIT qui vous explique l’AIPD.

Enfin, la CNIL a relevé des violations des règles encadrant les cookies. Lors de la visite du site, onze cookies soumis à consentement étaient déposés avant tout choix de l’utilisateur. Même en cas de refus explicite, ces traceurs n’étaient ni supprimés ni désactivés, continuant à être lus en violation de la loi Informatique et Libertés.

Cette décision illustre une réalité du renseignement cyber, la conformité juridique, la sécurité technique et la transparence constituent un tout indissociable face aux usages intensifs des données personnelles.

CNIL, Transmission de données à un réseau social à des fins publicitaires, 2026 : https://www.cnil.fr/fr/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction

Face à l’intensification des cybermenaces, décideurs publics et privés d’Auvergne-Rhône-Alpes sont invités à deux journées pour évaluer leurs risques, tester leur maturité et préparer des réponses opérationnelles.

Les Journées de la Cyber 2026 se tiendront les jeudi 5 et vendredi 6 mars 2026 au Campus Région du numérique. Cinquième édition d’un événement devenu une référence en Auvergne-Rhône-Alpes, elles réuniront décideurs, cadres, acteurs de la transformation numérique et professionnels de la cybersécurité. Portée par Digital League, le Clusir, l’ADIRA, l’ENE, Minalogic et le Campus Région du numérique, cette rencontre vise à aider les organisations à comprendre les enjeux cyber, mesurer leur niveau de maturité et se préparer à l’action. Conférences, ateliers, tables rondes et temps de networking structureront deux journées centrées sur les risques numériques, les cyberattaques et les réponses concrètes à mettre en œuvre.

Un rendez-vous régional face à la pression cyber

En Auvergne-Rhône-Alpes comme ailleurs, la cybersécurité s’impose désormais au sommet des priorités stratégiques. Les Journées de la Cyber 2026 s’adressent explicitement aux décideurs, dirigeants et cadres du secteur public et privé, confrontés à une exposition croissante aux risques numériques. L’événement, organisé sur deux journées consécutives, se positionne comme un espace de prise de recul et d’évaluation. Il ne s’agit pas seulement de sensibiliser, mais de permettre aux participants de mesurer concrètement leur maturité cyber, d’identifier leurs fragilités et de comprendre les menaces qui pèsent sur leurs organisations.

La cinquième édition confirme l’ancrage régional de ce rendez-vous. Soutenu par un écosystème d’acteurs institutionnels et économiques reconnus, il reflète la structuration progressive d’une communauté cyber locale. Le choix du Campus Région du numérique comme lieu d’accueil souligne cette volonté de lier transformation numérique et sécurité des systèmes d’information. Dans un contexte où les cyberattaques, notamment les ransomwares, touchent indistinctement collectivités, hôpitaux, PME et grands groupes, la question n’est plus théorique. Elle devient opérationnelle et immédiate.

SERVICE DE VEILLE ZATAZ

Alerte piratage : savoir si vos données personnelles ont fuité.

Découvrir la veille

À partir de 0,06 € / jour

Activation rapide • Alertes prioritaires • Veille web, dark web et réseaux sociaux

Sans prestataire extérieur • 100 % souverain

Des formats pour passer de la prise de conscience à l’action

Le programme annoncé repose sur une alternance de formats destinés à favoriser l’échange et le retour d’expérience. Keynotes, plénières et tables rondes doivent apporter une vision d’ensemble des enjeux cyber, tandis que les ateliers thématiques visent un niveau plus opérationnel. L’objectif affiché est clair : permettre aux participants de poser leurs questions, confronter leurs pratiques et repartir avec des pistes concrètes.

Les organisateurs mettent en avant des témoignages et des échanges autour des bonnes pratiques et des solutions existantes en matière de cybersécurité. Cette approche collective traduit une réalité du terrain. La défense numérique ne repose plus uniquement sur des outils, mais sur des choix de gouvernance, des arbitrages budgétaires et une compréhension partagée des risques. Les temps de networking, déjeuners et cocktail de fin de journée inclus, participent de cette logique de mise en relation entre décideurs et experts.

En filigrane, les Journées de la Cyber 2026 interrogent la capacité des organisations à passer d’un discours sur la transition numérique à une maîtrise réelle de leurs risques. Cybersécurité, cyberattaques, gestion des risques et menaces comme les ransomwares constituent le socle des discussions. Pour les décideurs régionaux, l’enjeu dépasse l’événement lui-même. Il s’agit de transformer la prise de conscience en action durable, dans un environnement numérique devenu un terrain d’affrontement permanent.

La cybersécurité s’affirme ici comme un levier de souveraineté organisationnelle et de résilience face aux menaces informationnelles.

Journées de la Cyber, Journées de la Cyber 2026, 2025 : https://www.journees-cyber.com/

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube

Google News

Autres

S’abonner à la NewsLetter ZATAZ

DATA SECURITY BREACH

Archives quotidiennes :

La CNIL sanctionne une publicité ciblée sans consentement valable