La Commission nationale de l'informatique et des libertés (CNIL) a frappé fort en prononçant une sanction de 3,5 millions d'euros à l'encontre d'une entreprise qu'elle désigne sous le nom de « Signe X ». Même si l'autorité administrative est restée anonyme dans sa délibération officielle, l'identité de l'entreprise a été confirmée : il s'agit d'Intersport.
Au cœur de cette sanction se trouve l’utilisation illicite des données personnelles des membres du programme de fidélité. La CNIL reproche à Intersport d'avoir transmis les numéros de téléphone et adresses email de ses clients à un réseau social (qui n'est pas publiquement nommé mais il s'agit de Facebook) à des fins de ciblage publicitaire, sans avoir obtenu au préalable un consentement valable.
Une pratique illégale touchant 10,5 millions de clients
L'ampleur de la manœuvre est importante : près de 10,5 millions de personnes réparties dans 16 pays différents sont concernées par ce transfert d'informations. Concrètement, ces données ont été utilisées pour afficher des messages publicitaires personnalisés faisant la promotion des articles de la marque de sport directement sur le fil d'actualité des utilisateurs ciblés sur Facebook.
Le litige porte sur l'interprétation du formulaire d'adhésion. Lors de l'audience, Intersport a tenté de se justifier en affirmant que l'approbation du programme de fidélité couvrait ces pratiques. Une défense rejetée par le régulateur : selon la CNIL, le document autorisait uniquement l'envoi de SMS et emails promotionnels par la marque elle-même, mais n'autorisait en aucun cas la transmission de données individuelles à un tiers comme un réseau social.
Intersport conteste la revente mais en prend note
Face à la polémique, Intersport a réagi au Figaro en confirmant être la cible de la procédure tout en nuançant la gravité des faits. L'entreprise prétend ne pas avoir « jamais revendu les données personnelles de ses clients » et précise qu’aucune donnée sensible n’est impliquée. Elle explique avoir eu recours à un service de publicité proposé par le réseau social, un dispositif technique désormais remis en cause par l'autorité de contrôle.
La marque a d'abord tenté d'éviter de rendre publique cette décision, arguant que cela risquait de fragiliser son équilibre commercial et la confiance de ses adhérents. Si la CNIL a le pouvoir d'anonymiser ses sanctions, elle a choisi ici de rendre publique la décision, même si le nom est resté discret dans la décision avant d'être révélé par la presse et confirmé par l'intéressé.
En parlant d'Intersport, c'est l'occasion de rappeler que la marque a été piratée en 2022 puis en 2024. La cyberattaque de 2022 concernait des données personnelles de salariés. Celle de 2024 a touché tout le monde avec 52 Go d’informations au total.
