La transmission de données à des fins publicitaires : la CNIL rappelle les limites réglementaires

Publié par le dans | Consulté 5 Fois

par Laure MONTIGNEAUX, étudiante du Master 2 Droit des communications électroniques

Le 30 décembre 2025, la CNIL a sanctionné à hauteur de 3,5 millions une société pour transfert non consenti des données personnelles des utilisateurs à un réseau social à des fins de publicité ciblée. Dans cette décision, l’autorité rappelle l’importance du respect des obligations du RGPD concernant la licéité du traitement et l’information des personnes concernées.  

Source : site de la Cnil

La transmission des données personnelles à des fins de publicité ciblée :

La société mettait en œuvre une pratique de transmission des données personnelles de ses clients vers un groupe qui gérait un réseau social tiers dans un but commercial et marketing. Toutefois, la CNIL rappelle que l’usage des données personnelles à des fins de publicité ciblée demeure soumis au RGPD y compris lorsque la licéité du traitement est basée sur le consentement. En l’espèce, la société se basait sur le consentement recueilli lors de l’adhésion des utilisateurs au programme de fidélité, qui comportait uniquement comme mention la prospection commerciale par SMS ou par courrier électronique. Or, au regard d’une interprétation stricte de cette base légale, la transmission de ces données ne pouvait être fondée sur le même consentement car elle avait une finalité distincte, celle de la publicité ciblée. De plus, l’absence d’informations claires sur la transmission des données à des fins publicitaires vers le réseau social privait les utilisateurs d’un consentement éclairé. Ainsi, à travers le constat de ce manquement, la CNIL confirme sa volonté de limiter l’utilisation des données personnelles à des finalités différentes de celles initialement acceptées par les utilisateurs.

L’absence de validité du consentement donné en méconnaissance des finalités de traitement :

Cette décision met en avant l’importance du droit à l’information prévu au sein de l’article 13 du RGPD, qui incombe au responsable de traitement, notamment lorsque les données personnelles sont exploitées à des fins publicitaires. En effet, le traitement des données personnelles étant basé sur le consentement, ce dernier devra être donné par l’utilisateur en ayant eu pleinement connaissance de toutes les informations nécessaires, notamment concernant les finalités poursuivies. En l’espèce, la CNIL rappelle le nécessaire recueil du consentement pour chaque finalité poursuivie. A ce titre, la formation restreinte de la CNIL relève que les documents comportant les informations, mis à la disposition des utilisateurs étaient incomplets et dispersés. La politique des données personnelles comportait uniquement une liste de bases légales et de finalités ce qui ne permettait pas une compréhension effective du traitement des données personnelles. Ainsi, la CNIL constate que cette imprécision constitue un manquement à l’obligation de transparence de la société rendant le consentement vicié.

De plus, s’agissant de la publicité ciblée diffusée sur le réseau social, la formation restreinte constate que les documents informatifs ne précisaient jamais la finalité de la transmission des données personnelles. Ainsi, les personnes concernées ne pouvaient pas consentir en ayant pleinement conscience de l’exploitation de leurs données.  

Le respect des principes fondamentaux du RGPD :

Par cette sanction, l’autorité rappelle que la monétisation des données personnelles ne peut être faite sans le consentement des personnes concernées lorsque l’exploitation de ces dernières n’est pas nécessaire au fonctionnement de la société. A ce titre, l’utilisation et le dépôt de cookies qui sont à des fins de profilage ne peuvent être déposés sans l’accord préalable de l’utilisateur. Chacun doit avoir pleinement conscience de l’usage qui est fait de ses données.

Par cette décision, la CNIL souligne que les manquements aux principes fondamentaux de la protection des données, que sont la licéité du traitement et l’information des personnes ne peuvent être admis, même dans un cadre publicitaire et marketing. De tels manquements sont susceptibles de sanctions élevées prévues à l’article 83 du RGPD.

Enfin, par cette sanction rendue publique, la CNIL souhaite prévenir tout acteur économique qui souhaiterait avoir recours à la publicité ciblée qu’il est nécessaire de se conformer aux obligations imposées par le RGPD.  

Sources :