Données de fidélité détournées, information défaillante et sécurité insuffisante, la CNIL inflige une lourde sanction financière pour rappeler les règles encadrant la publicité ciblée sur les réseaux sociaux.
En janvier 2023, la CNIL a mené plusieurs contrôles auprès d’une société utilisant les données de son programme de fidélité à des fins de publicité ciblée sur un réseau social. Depuis février 2018, les adresses électroniques et numéros de téléphone de plus de 10,5 millions de personnes avaient été transmis afin d’afficher des publicités personnalisées. À l’issue de l’enquête, la formation restreinte de la CNIL a prononcé une amende de 3,5 millions d’euros pour plusieurs manquements au RGPD et à la loi Informatique et Libertés. La décision, adoptée en coopération avec 16 autorités européennes, met en lumière les risques juridiques et cyber liés à l’exploitation des données marketing à grande échelle.
Une exploitation massive des données de fidélité
Les contrôles réalisés par la CNIL ont mis en évidence une pratique installée dans la durée. Depuis février 2018, la société concernée transmettait les coordonnées électroniques des membres de son programme de fidélité à un réseau social. Ces informations permettaient d’afficher des publicités ciblées visant à promouvoir les produits vendus par l’entreprise. Le traitement portait sur un volume très important de données, concernant plus de 10,5 millions de personnes.
À l’issue de l’enquête, la formation restreinte, organe chargé des sanctions, a estimé que plusieurs obligations essentielles n’étaient pas respectées. Elle a prononcé une amende de 3,5 millions d’euros, un montant justifié par la gravité des manquements et l’ampleur du public concerné. La décision a été prise en coopération avec 16 homologues européens, les données de résidents de ces pays étant impliquées.
La CNIL a également choisi de rendre publique sa délibération. Elle a considéré que la publicité ciblée sur les réseaux sociaux étant largement répandue, il était nécessaire de rappeler les règles applicables. L’autorité a toutefois estimé qu’il n’était pas utile de nommer la société, privilégiant une démarche pédagogique plutôt qu’exemplaire sur le plan réputationnel.
Consentement et information, des fondements fragilisés
Le premier manquement concerne l’absence de base légale au sens de l’article 6 du RGPD. La société invoquait le consentement recueilli lors de l’adhésion au programme de fidélité, lorsque les clients acceptaient de recevoir de la prospection par SMS ou par courrier électronique. Pour la CNIL, cet argument ne tient pas.
Le formulaire d’adhésion ne mentionnait pas la transmission des données à un réseau social à des fins de publicité ciblée. Les documents accessibles depuis le site web, notamment la politique de protection des données, étaient soit silencieux sur cette transmission, soit insuffisamment clairs quant à sa finalité. Le parcours d’accès à l’information était jugé complexe, empêchant toute compréhension réelle du traitement. Dans ces conditions, le consentement ne pouvait être ni explicite ni éclairé, contrairement aux exigences du RGPD.
L’autorité a également relevé un manquement aux obligations d’information prévues aux articles 12 et 13 du règlement. Les finalités des traitements n’étaient pas clairement associées à leurs bases légales. Certaines informations manquaient, comme la finalité précise de la publicité ciblée ou la durée de conservation des données. D’autres étaient erronées, notamment les mentions relatives aux transferts internationaux, encore fondées sur le Privacy Shield, pourtant invalidé.
Failles de sécurité et gouvernance défaillante
Au-delà des aspects juridiques, la CNIL a pointé des insuffisances techniques. Les règles de complexité des mots de passe des comptes utilisateurs ont été jugées trop faibles. L’autorité a rappelé que l’utilisation de la fonction de hachage SHA-256 ne garantit pas, à elle seule, un stockage sécurisé des mots de passe, exposant les comptes à des risques accrus en cas de compromission.
Un autre manquement majeur concerne l’absence d’analyse d’impact relative à la protection des données. Aucun AIPD n’avait été réalisée avant la mise en œuvre du ciblage publicitaire. Or, le traitement combinait un volume élevé de données et des opérations de croisement, susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes. Une analyse préalable aurait dû être conduite.
L’AIPD est un outil clé de conformité RGPD, à la fois juridique, organisationnel et technique, indispensable pour sécuriser les traitements de données à risque élevé. Il comprend la description détaillée du traitement et de ses finalités ; Analyse de la nécessité et de la proportionnalité ; Évaluation des risques pour les personnes et des Mesures prévues pour réduire ces risques (sécurité, gouvernance, procédures). Testez notre outil en ligne GRATUIT qui vous explique l’AIPD.
Enfin, la CNIL a relevé des violations des règles encadrant les cookies. Lors de la visite du site, onze cookies soumis à consentement étaient déposés avant tout choix de l’utilisateur. Même en cas de refus explicite, ces traceurs n’étaient ni supprimés ni désactivés, continuant à être lus en violation de la loi Informatique et Libertés.
Cette décision illustre une réalité du renseignement cyber, la conformité juridique, la sécurité technique et la transparence constituent un tout indissociable face aux usages intensifs des données personnelles.
CNIL, Transmission de données à un réseau social à des fins publicitaires, 2026 : https://www.cnil.fr/fr/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction