Vie des affaires
RGPD
Transmettre des données personnelles à un réseau social pour créer des publicités ciblées peut coûter cher !
La Commission nationale de l’informatique et des libertés (CNIL) rappelle que le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés doivent être respectées lorsqu'une société dispose de données personnelles de ses clients via leur adhésion à un programme de fidélité.
Des données personnelles transmises pour créer des publicités ciblées
À la suite de contrôles réalisés par la CNIL, celle-ci a constaté qu'une société transmettait à un réseau social des adresses électroniques et/ou des numéros de téléphone des membres d'un programme de fidélité qu'elle proposait. Ces données permettaient de créer des publicités ciblées visant à promouvoir des articles vendus par la société.
Une addition de manquements au RGPD
L'absence de base légale - La CNIL a considéré que la transmission de données personnelles des clients de la société, adhérant à un programme de fidélité, servait à la création de publicités ciblées n'ayant aucune base légale (art. 6 du RGPD). La commission souligne que le consentement des personnes concernées n'était pas valablement recueilli car rien ne mentionnait la transmission des informations personnelles à un réseau social ni d'ailleurs l'objectif de création de publicités ciblées sur cette plateforme. Le consentement des clients ne pouvait dès lors être considéré comme "éclairé".
L'absence d'information des personnes concernées - Il a été constaté que l'information que le site web fournissait aux clients dont les données personnelles étaient collectées restait trop imprécise voire incomplète (par exemple, quant à la finalité du traitement des publicités ciblées ou à la durée de conservation des données des clients concernés) (art. 12 et 13 du RGPD).
L'absence de sécurisation des données - La CNIL a relevé que les mots de passe des comptes d'utilisateurs n'étaient pas suffisamment forts et que, dès lors, la société manquait à son obligation d'assurer la sécurité des données récoltées (art. 32 du RGPD).
L'absence d'analyse d'impact - Au regard du volume important de données personnelles concernées et du croisement de données, la société aurait dû réaliser une analyse d'impact sur la protection des données au préalable (art. 35 du RGPD).
L'absence de consentement au dépôt de cookies - Enfin, la CNIL a constaté que le consentement des utilisateurs n'était pas demandé avant le dépôt de cookies facultatifs sur leurs terminaux (art. 82 du RGPD).
Une amende de 3,5 millions d'euros et la publicité de la délibération
Les manquements de la société, ayant concerné les données des utilisateurs résidents de plusieurs États à travers toute l'Europe, la décision de la CNIL a été adoptée en coopération avec ses 16 homologues européens.
Par ailleurs, le montant de l'amende (s'élevant à 3,5 M d'€) a été justifié par le nombre élevé de personnes concernées par ces manquements (10,5 millions) mais aussi le fait que ceux-ci touchent des principes fondamentaux du RGPD.
Enfin, la CNIL a jugé qu'il convenait d'informer les usagers sur les règles applicables, ce qui justifiait dès lors la publicité de la délibération.
Communiqué de la CNIL du 22 janvier 2026 : "Transmission de données à un réseau social à des fins publicitaires : la CNIL prononce une sanction de 3,5 millions d'euros".
