La CNIL a prononcé une sanction exemplaire contre Intersport pour des pratiques de publicité ciblée jugées contraires au Règlement général sur la protection des données (RGPD). En cause : la transmission, pendant plusieurs années, des données personnelles de millions de clients à Facebook sans base légale valable.
À la suite de contrôles menés en février 2023, la CNIL a établi qu’Intersport transmettait, depuis 2018, les adresses e-mail et numéros de téléphone des membres de son programme de fidélité à un réseau social afin d’activer des campagnes de publicité ciblée. Cette pratique concernait plus de 10,5 millions de personnes en Europe, dont de nombreux clients français.
L’enseigne estimait disposer du consentement de ses clients, recueilli lors de l’inscription au programme de fidélité. Mais la CNIL a considéré ce consentement comme ni libre, ni spécifique, ni éclairé. Les utilisateurs n’étaient pas clairement informés de la transmission de leurs données à un tiers à des fins de ciblage publicitaire, ni de la finalité réelle des traitements opérés.
Le régulateur a également pointé des défaillances majeures dans l’information fournie aux utilisateurs : politiques de confidentialité imprécises, mentions obligatoires manquantes (durée de conservation, bases légales), références obsolètes à des mécanismes de transfert de données vers les États-Unis, et absence de clarté sur l’existence même de la publicité ciblée.
Au-delà de la publicité ciblée, la CNIL a relevé des manquements en matière de sécurité : règles de gestion des mots de passe insuffisantes, recours à un algorithme de hachage (SHA-256) jugé inadapté, et absence d’analyse d’impact sur la protection des données (AIPD) malgré l’ampleur du traitement.
L’autorité a aussi sanctionné la gestion des cookies : certains traceurs soumis au consentement étaient déposés avant tout choix de l’utilisateur et n’étaient pas supprimés en cas de refus, en violation de la loi Informatique et Libertés.
Résultat : 3,5 millions d’euros d’amende infligés à Intersport, à l’issue d’une procédure coordonnée avec les autorités de protection des données de 16 pays européens. Pour la CNIL, cette décision vise à rappeler l’exigence de transparence, de sécurité et de respect du consentement dans les pratiques de marketing digital.
À la suite de contrôles menés en février 2023, la CNIL a établi qu’Intersport transmettait, depuis 2018, les adresses e-mail et numéros de téléphone des membres de son programme de fidélité à un réseau social afin d’activer des campagnes de publicité ciblée. Cette pratique concernait plus de 10,5 millions de personnes en Europe, dont de nombreux clients français.
L’enseigne estimait disposer du consentement de ses clients, recueilli lors de l’inscription au programme de fidélité. Mais la CNIL a considéré ce consentement comme ni libre, ni spécifique, ni éclairé. Les utilisateurs n’étaient pas clairement informés de la transmission de leurs données à un tiers à des fins de ciblage publicitaire, ni de la finalité réelle des traitements opérés.
Le régulateur a également pointé des défaillances majeures dans l’information fournie aux utilisateurs : politiques de confidentialité imprécises, mentions obligatoires manquantes (durée de conservation, bases légales), références obsolètes à des mécanismes de transfert de données vers les États-Unis, et absence de clarté sur l’existence même de la publicité ciblée.
Au-delà de la publicité ciblée, la CNIL a relevé des manquements en matière de sécurité : règles de gestion des mots de passe insuffisantes, recours à un algorithme de hachage (SHA-256) jugé inadapté, et absence d’analyse d’impact sur la protection des données (AIPD) malgré l’ampleur du traitement.
L’autorité a aussi sanctionné la gestion des cookies : certains traceurs soumis au consentement étaient déposés avant tout choix de l’utilisateur et n’étaient pas supprimés en cas de refus, en violation de la loi Informatique et Libertés.
Résultat : 3,5 millions d’euros d’amende infligés à Intersport, à l’issue d’une procédure coordonnée avec les autorités de protection des données de 16 pays européens. Pour la CNIL, cette décision vise à rappeler l’exigence de transparence, de sécurité et de respect du consentement dans les pratiques de marketing digital.