Publicité sur les réseaux sociaux : la CNIL sanctionne la transmission et la combinaison de données à des fins de ciblage sans information et consentement valables

Délibération de la CNIL n° SAN-2025-017 du 30 décembre 2025

Par une délibération du 30 décembre 2025, rendue publique le 22 janvier 2026, la formation restreinte de la CNIL a prononcé une sanction administrative de 3,5 millions d’euros à l’encontre d’une société exploitant un programme de fidélité, en raison de plusieurs manquements aux exigences du RGPD. La décision s’attache à des pratiques largement répandues?: la transmission et la combinaison de données personnelles avec celles d’un réseau social pour du ciblage publicitaire, réalisées en l’espèce sans consentement valable et sans information adéquate des personnes concernées.

Une mécanique de ciblage publicitaire fondée sur l’exploitation des données de fidélité

La société sanctionnée transmettait, de manière régulière depuis plusieurs années, les adresses électroniques et/ou numéros de téléphone de membres de son programme de fidélité à un réseau social, afin de permettre la mise en correspondance de ces données avec les comptes des utilisateurs de la plateforme (matching).

Cette opération poursuivait un double objectif : afficher des publicités ciblées auprès des clients déjà identifiés comme membres du programme de fidélité, mais également toucher des utilisateurs du réseau social présentant des profils « similaires » (mécanismes dits de lookalike audiences).

Il s’agit d’une pratique publicitaire largement répandue, ce qui explique que la CNIL, bien qu’ayant retiré le nom de la société sanctionnée, a jugé nécessaire de rendre sa décision publique.?

La CNIL rappelle que, conformément aux lignes directrices du CEPD sur le ciblage des utilisateurs de médias sociaux, l’entité qui décide de transmettre activement des données à un réseau social à des fins publicitaires détermine les finalités et les moyens essentiels du traitement. Elle doit donc être regardée comme responsable du traitement de publicité ciblée affichée sur le réseau social.

La CNIL ne se prononce pas, dans cette décision, sur le rôle exact joué par la plateforme de réseau social. Il ressort de la décision que la société la présentait comme un simple sous?traitant pour la transmission et la mise en correspondance des données, et comme coresponsable uniquement pour l’affichage des publicités ciblées.

Il n’est toutefois pas exclu qu’une situation de coresponsabilité aurait pu être reconnue par la CNIL pour la phase initiale de mise en correspondance, au regard de l’implication active de la plateforme dans les moyens essentiels du traitement, notamment la réalisation des opérations de combinaison et d’identification de profils similaires au sein de ses propres bases.

L’absence de consentement valable

S’agissant de la base légale, la société soutenait que les traitements reposaient sur le consentement des personnes concernées, recueilli lors de leur adhésion au programme de fidélité lorsqu’elles acceptaient de recevoir des messages de prospection commerciale par voie électronique ou par SMS.

La CNIL écarte cette analyse. Elle relève en particulier que :

  • Aucune mention explicite ne figurait, au stade du formulaire d’adhésion, sur la transmission des données à un réseau social ni sur leur utilisation à des fins de publicité ciblée sur une plateforme tierce.

  • Les documents accessibles via des liens secondaires (politique de confidentialité, conditions générales du programme) soit ne mentionnaient pas cette transmission, soit le faisaient en des termes trop généraux pour permettre aux personnes de comprendre la finalité exacte du traitement.

  • Le parcours d’accès à l’information était particulièrement complexe, ce qui faisait obstacle à un consentement réellement éclairé.

La décision précise également que le consentement fourni sur la plateforme sociale concerne les opérations réalisées sur cette plateforme et ne se substitue pas au consentement requis auprès de l’annonceur pour la transmission préalable des données.?

Dans ces conditions, la CNIL considère que le consentement invoqué ne pouvait être ni spécifique ni éclairé, au sens de l’article 4.11 du RGPD et de la jurisprudence constante de la CJUE.

Le simple fait d’accepter de recevoir des offres commerciales ne saurait, à lui seul, valoir accord pour la combinaison de données issues d’un programme de fidélité avec celles d’un réseau social, dans un écosystème publicitaire distinct.

L’argument tiré de la pseudonymisation par « hashage » préalable des données transmises est également rejeté : la CNIL rappelle que le hachage ne dispense pas d’une base légale ni d’une information adéquate. La décision relève en outre que les numéros de téléphone étaient transmis en clair. Ainsi, les exigences relatives à la base légale et à l’information restaient pleinement applicables.

Le défaut d’information claire et accessible des personnes concernées

Au-delà de l’absence de base légale, la formation restreinte retient un manquement autonome à l’obligation d’information, prévue aux articles 12 et 13 du RGPD.

L’information délivrée aux membres du programme de fidélité ne leur permettait pas d’identifier clairement :

  • L’existence d’une transmission de leurs données à un réseau social, ainsi que la coresponsabilité de celui-ci pour l’affichage des publicités.

  • Les finalités précises poursuivies (ciblage publicitaire et constitution d’audiences similaires).

  • Les conséquences concrètes de cette transmission sur l’affichage de publicités personnalisées.

La CNIL insiste sur le fait qu’une information fragmentée, dispersée dans plusieurs documents et formulée de manière imprécise, ne satisfait pas à l’exigence de transparence posée par le RGPD, en particulier lorsque les traitements en cause sont susceptibles d’avoir un impact significatif sur la vie privée des personnes.

La CNIL relève en outre qu’au moment du contrôle (janvier?2023), les bases légales des traitements n’étaient pas données par finalité, les durées de conservation dans le cadre du programme de fidélité n’étaient pas indiquées et les mentions relatives aux transferts internationaux renvoyaient encore au Privacy Shield (caduc), avant une mise à jour vers le Data Privacy Framework au 20?juin?2025.

Manquements complémentaires : sécurité et analyse d’impact

La décision ne se limite pas aux seuls enjeux de consentement et de transparence. La CNIL relève également :

  • Sécurité : Un manquement à l’article 32 du RGPD en raison de mesures de sécurité insuffisantes entourant l’accès aux comptes clients du site, qui donnaient accès à un volume important de données personnelles (identité, coordonnées, date de naissance, données de fidélité). Lors du contrôle en ligne, il a été constaté que la politique de mots de passe autorisait des mots de passe composés de huit caractères avec la seule obligation d’intégrer un chiffre, ce qui conduisait à un niveau d’entropie très inférieur aux recommandations de la CNIL et de l’ANSSI (environ 26 bits, au lieu du minimum de 50 bits préconisé). Dans un contexte de traitements portant sur plus de dix millions de personnes, la formation restreinte estime que ces exigences étaient manifestement insuffisantes pour prévenir les risques d’accès non autorisé.

La CNIL relève en outre que les mots de passe étaient stockés au moyen de la fonction de hachage SHA-256, certes accompagnée d’un sel, mais non adaptée au stockage sécurisé des mots de passe en raison de sa rapidité d’exécution. Elle rappelle que l’état de l’art impose le recours à des fonctions de hachage lentes et spécifiquement conçues à cet effet (telles qu’Argon2 ou bcrypt), afin de limiter l’efficacité des attaques par force brute ou par dictionnaire en cas de compromission. Si la société s’est mise en conformité en cours de procédure, ces insuffisances caractérisent, pour la période contrôlée, un manquement à l’obligation d’assurer un niveau de sécurité adapté aux risques.

  • AIPD : Un manquement à l’obligation de réaliser une analyse d’impact relative à la protection des données (AIPD), alors même que les opérations de ciblage publicitaire reposaient sur des traitements à grande échelle, impliquant la combinaison de données issues de sources différentes et concernant plusieurs millions de personnes (environ 10,5 millions en l’espèce).

Cookies et traceurs : une sanction autonome d’un million d’euros

Indépendamment des traitements de publicité ciblée sur le réseau social, la CNIL sanctionne la société pour des manquements aux règles applicables aux cookies et traceurs, sur le fondement de l’article 82 de la loi Informatique et Libertés.

À l’issue du contrôle en ligne du 5 janvier 2023, la formation restreinte constate le dépôt de plusieurs cookies soumis à consentement avant tout recueil effectif de celui-ci, ainsi que la poursuite de la lecture de certains traceurs malgré un refus exprimé par l’utilisateur.
Ces pratiques justifient selon la CNIL le prononcé d’une amende spécifique d’un montant de 1 million d’euros, distincte de celle infligée au titre des manquements au RGPD.

Une décision de rappel des règles applicables au ciblage publicitaire

En rendant publique cette décision, la CNIL a souhaité adresser un rappel clair aux acteurs économiques recourant à la publicité ciblée sur les réseaux sociaux, qui constitue une pratique très répandue. La décision illustre notamment que les données recueillies dans le cadre de programmes de fidélité ne peuvent être mobilisées pour des stratégies de ciblage diversifiées sans consentements distincts, explicites et correctement informés des personnes concernées.