23/01
Cette grande enseigne française revendait illégalement les données personnelles de clients et écope de 3,5 millions d’euros d’amende
Intersport lourdement sanctionné pour revente de données personnelles à des fins publicitaires.
La Commission nationale de l’informatique et des libertés (Cnil) a infligé une amende de 3,5 millions d’euros à Intersport pour avoir transmis les données personnelles de ses clients à un réseau social à des fins de ciblage publicitaire, sans leur consentement préalable. Au total, au moins 10,5 millions de personnes sont concernées à travers l’Europe.
La sanction, décidée le 30 décembre 2025 et rendue publique le 22 janvier 2026, visait initialement une entreprise dont le nom n’était pas mentionné. Celui-ci a toutefois rapidement été identifié par BFMTV. Selon la Cnil, les données des membres du programme de fidélité ont été partagées avec Facebook « à des fins de ciblage publicitaire », sans information claire ni accord explicite des utilisateurs.
Intersport estimait avoir recueilli le consentement de ses clients lors de leur inscription au programme, notamment lorsqu’ils acceptaient de recevoir des communications par SMS ou par e-mail. Une interprétation rejetée par la Cnil, qui juge que les documents mis à disposition ne permettaient pas d’« obtenir un consentement éclairé », en raison d’informations insuffisantes et d’un parcours d’accès jugé trop complexe.
Le régulateur pointe également une information « imprécise » ainsi que plusieurs manquements en matière de sécurité des données. Il est notamment reproché à l’enseigne de ne pas imposer des règles de complexité suffisantes pour les mots de passe et de ne pas garantir un stockage sécurisé des informations.
D’autres infractions concernent l’utilisation des cookies. La Cnil relève que onze traceurs soumis à consentement étaient déposés avant toute validation de l’internaute. Même en cas de refus, ces cookies n’étaient pas supprimés du navigateur, ce qui constitue une violation des règles applicables, notamment de l’article 82 de la loi Informatique et libertés.
La décision s’inscrit dans un cadre de coopération européenne, le programme de fidélité d’Intersport regroupant plus de 10,5 millions de membres répartis dans 16 pays. Si la Cnil a initialement choisi de ne pas nommer l’entreprise dans son communiqué, elle justifie ce choix par une pratique « répandue parmi les acteurs économiques », estimant qu’il n’était pas nécessaire d’identifier publiquement la société afin d’éviter de « fragiliser son équilibre commercial ».