Une amende de 3,5 millions d’euros pour transmission de données clients à des fins publicitaires

Temps de lecture estimé : 7 minutes

Le 30 décembre 2025, la Commission nationale de l’informatique et des libertés (CNIL) a rendu publique une décision qui fait réfléchir toutes les entreprises exploitant des données personnelles dans leurs stratégies marketing.

Sans nommer l’entreprise concernée, l’autorité française a infligé une amende de 3,5 millions d’euros pour transmission de données clients à un réseau social à des fins publicitaires sans respecter les règles du Règlement général sur la protection des données (RGPD) et de la loi Informatique et Libertés.

Ce cas, rare par son ampleur et sa visibilité, est un signal adressé aux acteurs économiques : même si l’utilisation des données à des fins de ciblage publicitaire est une pratique répandue, elle n’est pas une zone de non-droit.

L’exemplarité de la sanction invite à faire le point sur ce que la loi impose, ce que la CNIL attend et comment les entreprises doivent organiser leurs traitements pour être en conformité.

Une transmission de données pointée du doigt

L’autorité a constaté qu’une société transmettait depuis 2018 les adresses email et numéros de téléphone des membres de son programme de fidélité à un réseau social.

L’objectif déclaré était d’activer des campagnes de publicité ciblée. Or, plusieurs obligations clés n’avaient pas été respectées :

• absence de base juridique valable pour la transmission de données ;
• information des personnes concernées insuffisante ou complexe à comprendre ;
• absence d’analyse de l’impact sur la protection des données pour un traitement à fort volume ;
• règles de sécurité des données jugées insuffisantes ;
• non-respect des règles applicables aux cookies et autres traceurs.

Chaque point met en lumière des obligations que tout responsable de traitement doit maîtriser lorsqu’il manipule des données personnelles.

Licéité des traitements et consentement explicite

Au cœur de l’affaire se trouvait l’absence d’une base juridique claire pour la transmission des données au réseau social. La société mise en cause s’appuyait sur le consentement donné lors de l’adhésion au programme de fidélité pour recevoir de la prospection par SMS ou email.

Mais cette approbation ne portait pas expressément sur le partage avec des tiers pour des opérations publicitaires sur un réseau social.

C’est une erreur fréquente : assimiler un accord général à un consentement éclairé et spécifique est insuffisant dans le contexte du RGPD. Pour être valable, le consentement doit être :

• libre, c’est-à-dire sans condition ni pression ;
• explicite, via une action claire et non précochée ;
• éclairé, avec une information compréhensible sur les finalités précises du traitement.

Pour les entreprises, cela signifie que les fenêtres de consentement, les formulaires d’inscription et les politiques de données doivent clairement détailler si les données seront partagées avec des plateformes externes et dans quel but.

L’information des personnes

La transparence n’est pas une option. Le RGPD impose des obligations d’information strictes, renforcées par la jurisprudence de la CNIL et des autorités européennes.

Il ne suffit pas de renvoyer à un document long et dense auquel peu d’internautes accèdent : l’information doit être facilement accessible, compréhensible et adaptée au traitement en question.

Dans l’affaire sanctionnée, l’autorité a relevé que les mentions existantes ne liaient pas explicitement les finalités et les bases légales, et que certaines informations étaient erronées (par exemple, en mentionnant un cadre juridique obsolète).

Pour les entreprises, l’exercice consiste à faire dialoguer contenu réglementaire, langage simple et parcours utilisateur fluide.

Analyser les effets des traitements

L’analyse d’impact relative à la protection des données (AIPD) est un outil essentiel pour les traitements qui peuvent présenter un risque élevé pour les droits et libertés des personnes.

Cela concerne notamment les opérations impliquant de grands volumes de données, des croisements d’informations ou des traitements sensibles.

Réaliser une AIPD n’est pas uniquement une obligation formelle : c’est un exercice qui permet d’anticiper les risques, documenter les mesures prises et, si nécessaire, ajuster les pratiques avant le lancement d’un projet marketing impliquant des données étendues.

Sécurité des données

Sécuriser l’accès aux données, les protéger contre les accès non autorisés et utiliser des techniques de stockage robustes ne sont pas des options mais des obligations légales.

Dans la décision du 30 décembre 2025, la CNIL a pointé des règles de complexité des mots de passe insuffisantes et des méthodes de hachage jugées inadaptées.

Les entreprises doivent mettre en place des mesures techniques et organisationnelles appropriées : chiffrement des données, gestion fine des accès, mises à jour régulières et procédures internes de revue des pratiques.

Cookies, traceurs et publicité personnalisée

L’affaire rappelle aussi que les cookies et autres traceurs sont soumis à des règles strictes. Les traceurs non essentiels, comme ceux utilisés pour le ciblage publicitaire, ne peuvent être déposés qu’après recueil du consentement préalable, conformément à la directive ePrivacy transposée dans le droit français.

Des sanctions récentes, comme celle infligée à Google pour le dépôt de cookies et la présentation d’annonces sans consentement valable, montrent que la CNIL reste vigilante sur ce point.

Bonnes pratiques pour les entreprises

Pour réduire les risques juridiques et opérationnels, voici plusieurs recommandations pour les responsables de traitement :

• Cartographier les traitements : identifier quelles données sont collectées, pourquoi, comment elles sont utilisées et avec qui elles sont partagées.
• Clarifier les finalités : détailler explicitement chaque objectif de traitement dans les politiques de confidentialité et les interfaces de consentement.
• Obtenir des consentements spécifiques : éviter les formulations vagues et proposer des choix granulaires aux utilisateurs.
• Mettre en place des mesures de sécurité solides : gestion des mots de passe, chiffrement et contrôle des accès.
• Réaliser une AIPD lorsque nécessaire : documenter les risques et les mesures d’atténuation avant de lancer un traitement.
• Former les équipes : sensibiliser les services marketing et techniques aux obligations du RGPD.

Une vigilance renforcée en Europe

L’action de la CNIL s’inscrit dans un mouvement plus large de l’Union européenne visant à renforcer la protection des données personnelles. Les sanctions peuvent atteindre jusqu’à 4 % du chiffre d’affaires mondial annuel ou 20 millions d’euros pour les violations les plus graves, avec des sanctions pénales possibles dans certains cas.

Pour les entreprises établies en France ou ciblant des résidents européens, cela signifie que le cadre juridique n’est pas un horizon lointain mais une réalité immédiate à intégrer dans toute stratégie comportant un traitement de données personnelles.