La Cnil a sanctionné une société pour avoir transmis des données à un réseau social à des fins de ciblage publicitaire, entre autres.
La société est restée anonyme et s’évite ainsi un mauvais coup de pub. La Commission nationale de l'informatique et des libertés a indiqué avoir sanctionné une entreprise, qui a payé 3,5 millions d’euros d’amende. Il lui est reproché d’avoir transmis les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité à un réseau social afin que celui-ci affiche des publicités ciblées faisant la promotion d’articles vendus par la société.
Après contrôle, la Cnil a estimé que l’entreprise avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés. La Cnil a notamment estimé que la transmission des données était dépourvue de base légale.
Consentement pas éclairé
La société s’est défendue en indiquant que les personnes concernées avaient consenti au moment de leur adhésion au programme de fidélité. D’après la Cnil, le consentement n’était pas éclairé, car le formulaire d’adhésion ne faisait pas mention de la transmission des données à des fins publicitaires sur un réseau social. De plus, soit la transmission des données n’était pas mentionnée dans les documents accessibles, soit elle ne permettait pas de comprendre pleinement la finalité.
En outre, la CNIL a relevé que l’information, en plus d’être imprécise, était incomplète et ne mentionnait pas notamment la finalité du traitement de publicité ciblée et la durée de conservation des données. La Cnil a également constaté des règles de complexité des mots de passe des comptes utilisateurs insuffisamment robustes, ainsi qu’une fonction de hachage SHA-256 qui ne permet pas de stocker les mots de passe de manière sécurisée.
Des cookies déposés sans consentement
Il a également été reproché à la société de ne pas avoir réalisé d’analyse d’impact sur la protection des données (AIPD) avant de mettre en œuvre le traitement de publicité ciblée sur le réseau social. Or : « Un tel traitement était susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées et aurait donc dû donner lieu à la réalisation préalable d’une AIPD. »
Le dernier manquement relevé par la Cnil concerne les cookies. L’autorité a relevé que onze cookies soumis au consentement étaient déposés sur le terminal et n’étaient pas supprimés du navigateur lorsque l’utilisateur refusait leur dépôt. La Cnil a la main lourde en ce mois de janvier. Le 13 janvier 2026, l’autorité a rendu deux décisions à l'encontre des sociétés FREE MOBILE et FREE, et a prononcé des amendes de respectivement 27 et 15 millions d'euros, à la suite de manquements liés à la protection des données personnelles de leurs utilisateurs.
