S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Pub, sécurité, cookies : 3,5 millions d’euros d’amende pour Intersport (oups, Société X)

Signez ici : X

Pub, sécurité, cookies : 3,5 millions d’euros d’amende pour Intersport (oups, Société X)

Flock

La CNIL condamne Intersport – pardon, une « société X » – à 3,5 millions d’euros d’amende pour des manquements au RGPD et à la loi Informatique et libertés. Le nom de l’entreprise n’est pas donné pour ne pas « fragiliser son équilibre commercial ainsi que la confiance de ses adhérents », mais la piste est relativement facile à remonter. On vous explique comment.

Le 23 janvier à 11h50

La CNIL, qui enchaine les amendes ces derniers temps, vient d’en annoncer une nouvelle : « une sanction de 3,5 millions d’euros à une société pour avoir transmis les données de membres de son programme de fidélité à un réseau social à des fins de ciblage publicitaire, sans consentement valable ».

Depuis février 2018, et pendant des années, « l’entreprise transmettait les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité à un réseau social. Ces données étaient utilisées afin d’afficher, sur ce réseau, des publicités ciblées visant à promouvoir les articles vendus par la société ».

Intersport : cachez ce nom que je ne saurais voir

De quelle entreprise parle-t-on et vers quel réseau social ? Ce n’est pas précisé car la formation restreinte de la CNIL a décidé de leur accorder l’anonymat. Alors que la raporteure proposait « que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication », la formation restreinte a décidé de suivre les demandes de l’entreprise condamnée sur ce point.

Pourquoi ? « Au motif notamment qu’une telle publicité risque de fragiliser son équilibre commercial ainsi que la confiance de ses adhérents, sans pour autant apporter de bénéfice à l’intérêt général et tout en favorisant ses concurrents ».

La formation restreinte enchaine avec un numéro d’équilibriste pour justifier sa décision. D’un côté, elle « considère que la publicité de la présente décision est justifiée au regard des manquements en cause et du nombre de personnes concernées » et qu’il est donc important « d’informer les personnes concernées sur les règles applicables en matière de consentement ». Mais de l’autre, elle « considère toutefois que, dans cette perspective, une publication de la décision sans que la société y soit nommément identifiée est suffisante ».

Dans sa longue délibération publiée sur Légifrance, le nom des entités est donc anonymisé… mais le texte contient suffisamment d'éléments pour remonter à la source : il s’agit d’Intersport pour la société qui a « transmis les données » et de Facebook (Meta) pour le « réseau social Z ».

Comment en sommes-nous arrivés à cette conclusion ? Avec un rapide « voyage dans le temps » et en lisant attentivement la décision de la CNIL. Vous embarquez avec nous ?

La CNIL en mode petit poucet…

Il reste 73% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (25)

votre avatar
SI une entreprise fait n'importe quoi avec mes données personnelles, alors oui, j'aime bien savoir, en tant que consommateur, à qui j'ai affaire. Si ça fait du tord à l'entreprise, et bien tant mieux, ça la fera réfléchir la prochaine fois. Du coup, les raisons données par la CNIL ne me semblent pas justifiées. À moins que la CNIL considère que les entreprises fautives rentreront dans le rang après la paiement de l'amende.
votre avatar
Ça va dans la logique des discours après une fuite. "Ne vous inquiétez pas, il n'y a pas de coordonnées bancaire"
En fait si je m'inquiète, et après je le vois que ces données sont utilisées, notamment par le spam. :censored:
votre avatar
c'est dans la logique du "secret des affaires".. lamentable
votre avatar
La CNIL prise au jeu de la réidentification de données anonymisées :pciwin:
votre avatar
La formation restreinte rappelle aussi que « la fonction de hachage SHA-256 ne permettait pas un stockage sécurisé des mots de passe ».
Je découvre ça.
Pourtant, sur le site de la CNIL, ils disent bien d'utiliser SHA-2, dont fait partie SHA-256 si je ne m'abuse...

Ils reprochent quoi à SHA-256 ?
C'est pas plutôt un manque de salage qui aurait posé problème ?
votre avatar
Disons que la fonction première de SHA-256 n'est pas de stocker des mots de passe, car il s'agit d'une fonction de hashage étudiée pour être notamment la plus rapide possible et donc permettre le plus grand nombre d'opération possible en une durée donnée. Celà facilite les opération de découverte en bruteforce et surtout on peut utiliser une table qui se sera chargée au préalable de traduire tous les mots de passe courants (quelques millions) en hash sha256, même pas besoin de bruteforce, on a juste à lire la table pour trouver un hash et le mot de passe qu lui correspond.

Donc oui si on ajoute un sel ça permet déjà de dégager la méthode de la table, mais le bruteforce reste possible pour la plupart des mots de passe courants, dès lors qu'on connait le sel. Ce sera juste plus long.

Bref, on utilise blake, bcrypt ou argon de nos jours, qui sont faits justement pour être très lents pour sortir un hash. Ce sont des fonctions faites pour le stockage des mots de passe.
votre avatar
OK, merci pour l'explication.
On utilise effectivement BCrypt de notre côté pour les mots de passe, mais je savais pas que SHA-256 était déconseillé pour ça. Avec ton explication, c'est limpide. 😉

:inpactitude:
votre avatar
Non, ils disent d'utiliser autre chose :
bcrypt, scrypt, Argon2 ou PBKDF2 pour stocker les mots de passe
votre avatar
Ben c'est exactement ces protocoles que j'ai recommandé dans mon message... (Blake n'est pas nommé mais c'est bien dommage).
votre avatar
histoire de rajouter des cas d'usage:
bcrypt est le plus ancien (et toujours pas cassé), utilisé a l'origine pour chiffrer les mots de passes des comptes sous linux ou les pages d'auth basic dans apache
scrypt j'ai pas vu passer de mémoire
Argon2 et PBKDF2 sont un peu plus récent et sont utilisés dans des trousseaux comme bitwarden ou keepass par exemple
votre avatar
est-ce que la CNIL peut s'auto_saisir pour que l'info ne soit pas diffusée ?
non je déconne.
votre avatar
Est-ce qu'Intersport a annoncé contester cette décision ? Peut-être que ce n'est pas public, vu qu'officiellement ils n'ont pas eu d'amende ?
l’entreprise transmettait les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité à un réseau social.
Pourquoi considérer que c'est mal pour un réseau social, et pas pour d'autres usages ? La CNIL me clôture toutes mes plaintes concernant le fait de donner mes données personnelles à des sites pour donner son avis, au motif que c'est un intérêt légitime. En quoi le réseau social ne le serait pas ?
votre avatar
Pour le transfert de données à Facebook, c'est l'absence de consentement valable qui est reproché, voir le paragraphe Les griefs de la CNIL à Intersport pour plus de détails.

Pour tes plaintes rejetées, l'intérêt légitime implique que tu aies le droit de s'opposer au traitement. Si cela est possible, la CNIL a raison, sinon, elle a tort et tu peux faire appel auprès du président de la CNIL (de mémoire).
Remarque : il faut aussi que cet intérêt légitime soit défini par le responsable de traitement (pas juste dire c'est l'intérêt légitime) et que ce soit réellement un intérêt légitime : c'est à la CNIL de le vérifier.
votre avatar
Le problème aujourd'hui c'est que la CNIL met des amendes mais aucun citoyen ne reçoit quoi que ce soit au titre du préjudice. Qu'on se le dise ce n'est pas la CNIL qui est lésée.

Ça devient un système rodé. La CNIL, pour exister, met des amendes. Elle n'incitera pas vraiment ces sociétés à changer leurs comportements. Ni par l'amende ou un suivi/contrôle.

Et de l'autre coté ces sociétés vont à la facilité. Pas la peine de prendre des gars sérieux. Ça coute plus cher que l'amende. Une petite ligne budgétaire pour ça et le tout est réglé.

A la décharge de la CNIL il n'y a pas de vrai volonté de mettre les moyens pour renforcer la CNIL et le paquet de lois qui va avec. Il me semble avoir entendu que la CNIL ne pouvait pas traiter plus de 100 dossiers/an. A confirmer.

C'est quoi le palmarès des fuites de donnée de 2025 ? Bref les dindons, c'est nous.
votre avatar
votre avatar
Le problème aujourd'hui c'est que la CNIL met des amendes mais aucun citoyen ne reçoit quoi que ce soit au titre du préjudice.
C'est pas son rôle. Si les personnes ayant subit un préjudice veulent réparation, elles doivent porter plainte pour l'obtenir.
votre avatar
Et concrètement comment fait le citoyen pour obtenir réparation??

J'ai fait la déclaration la pré plainte pour les fuites Viamedis/Almerys et pour celle pour France Travail.
Je n'ai eu aucun retour sur mes plaintes à ce jour.
Bizarement pour Free Mobile, cette pré plainte n'était plus disponible et ce dispositif n'a plus été proposé lors des mutilples fuite de 2025. Une trop bonne idée??

Es-ce que la CNIL signale dans la communication de sa décision que les utilisateurs victimes peuvent attaquer Freemobile en s'appuyant sur ses 2 délibérations ?? Non
A-t-on une estimation de l'indemnisation pécuniaire que cela apporterait?? Je n'ai pas souvenir d'un article de presse en parlant. Cela est connu que de rare initié et absolument pas du grand public.
Il faut être donc au courant, prendre le temps de déposer plainte en articulant correctement ses arguments.

Donc, nous avons un délit fréquent, mal sanctionné et donc peu couteux pour les entreprises qui ne respectent pas leur obligation.

Si tu as techniquement raison, le ressentit de TexMex est justifié: la CNIL, ses amendes et la Justice de manière large ne sont assez dissuasives pour les délits que sont les fuites de données.

[Aparté]
Je note que si le lien URL vers France Travail existe toujours avec la déclaration initiale, celui pour Viamedis/Almerys a disparu et ne se retrouve que via archive.org
[/Aparté]
votre avatar
A-t-on une estimation de l'indemnisation pécuniaire que cela apporterait??
À combien évalues-tu ton préjudice ?

Les dommages et intérêts se réclament dans le cadre d'une procédure au civil. La CNIL est une autorité administrative, elle n'est pas compétente dans ce domaine.
Donc, nous avons un délit fréquent
Non, nous avons des décisions administratives qui sanctionnent des manquements par des amendes. Les délits sont définis dans le code pénal et sanctionnés par un tribunal correctionnel, pas pas une autorité administrative.
Es-ce que la CNIL signale dans la communication de sa décision que les utilisateurs victimes peuvent attaquer Freemobile en s'appuyant sur ses 2 délibérations ?? Non
Elle le signale sur son portail de dépôt de plainte :

Ce que la CNIL ne peut pas faire
La CNIL ne peut pas :

(...)
Vous obtenir des dommages et intérêts et constater des préjudices subis.

Puis, tout en bas :

À SAVOIR


Votre plainte à la CNIL n’a pas valeur de dépôt de plainte pénale et n’en constitue pas un préalable. Si les faits sont susceptibles de relever d’une infraction pénale (par exemple si vous êtes victime d’une usurpation d’identité), vous pouvez déposer à tout moment une plainte pénale auprès du procureur de la République, des services de police ou de gendarmerie compétents (plus d’informations sur le site web service-public.fr).

Si votre plainte ne concerne pas que la protection des données, vous pouvez également vous rapprocher, selon votre cas, de :

l’inspection du travail ;
la répression des fraudes ;
le Défenseur des droits ;
internet-signalement.gouv.fr ;
cybermalveillance.gouv.fr ;
33700, la plateforme de lutte contre les spams vocaux et SMS ;
la Maison de la Justice et du Droit ;
une association de défense des consommateurs ;
l’agence d’information sur le logement (ANIL) ;
votre syndicat de salariés ;
une association d’aide aux victimes ;
un avocat.
votre avatar
C'est vrai t'as raison.

D'un autre coté il y a une sacré différence entre la publicité faite autour de la CNIL et l'état réel des choses.

On en revient à poser la question s'il faut avoir un avocat pour avoir justice. Est-ce que cela en vaut le cout/coup ?

https://bonjourlafuite.eu.org/

Je suis certains que la CNIL n'a pas pu traiter tout 2025

2025 est un bon cru et je pense qu'il devrait y avoir une instance CNIL renforcée capable de s'auto-saisir sur le plan juridique. Une fuite est déjà dangereuse mais avec le cru 2025 (et visiblement 2026 en prend le pas) c'est carrément nucléaire.

Aujourd'hui nous avons des boites avec un grand nombre de clients (ou des administration) qui se font fait voler les infos (et peut être plusieurs fois). Instagram, ByTel, L'URSSAF, FranceTravail, Centre National de la Fonction Publique Territoriale, etc. Ce n'est pas rien. Inimaginable il y a 5 ans.

Avec Macron qui veut nous imposer l'identité numérique pour les réseaux sociaux... On est clairement mal barrés si cela abouti. Il ne s'agit pas simplement de publicité, mais de tous les autres problèmes liés. Il y aura toujours un tordu pour s'en servir dans le monde réel.

S'il y a une possibilité qu'une ligne soit franchie, elle le sera. Et ça c'est un gros échec. Le problème c'est qu'on dira à ce moment là : 'A bah fallait bien que ça arrive'. C'est con.

Oui la CNIL ne fait pas le travail de justice comme tu le mentionnes. Bin ça veut dire qu'elle ne sert à pas grand chose pour les citoyens.

C'est comme les pervenches. J'avais un collègue qui avait fait son petit calcul d'ingé entre prix de l'amende pour stationnement, fréquence de passage des agents versus prix d'un parking dans le coin. Il préférait l'amende comme un petit loyer... ...

Tout ce que la CNIL prouve c'est :
- que les entreprises fautives se prennent une tape sur la main pour financer CNIL. C'est à se demander si c'est piloté par le MEDEF.
- que les sanctions ne sont tout simplement pas dissuasives.
votre avatar
C'est un peu le problème. Ça ressemble maintenant à une pervenche qui fait du chiffre pour le compte de l'état en claquant des amendes sur tout ce qui peut.

Je ne vois pas en quoi cela protège ou incite à la protection de mes données.
votre avatar
¯\_(ツ)_/¯
votre avatar
Je ne vois pas en quoi cela protège ou incite à la protection de mes données.
Cela ne protège de rien. Par contre, cela peut avoir un effet dissuasif et faire comprendre aux organismes en général que la sécurité des données, ce n'est pas rien, et que le coût de la sécurisation peut être inférieur au prix d'une amende.
votre avatar
C'est ce que je dénonce. Il n'y a pas d'effet dissuasif (l'autre commentaire). Autrement la situation ne serait pas ce qu'elle est.
votre avatar
j'ai l'impression que la CNIL s'est enfin un peu bougé le cul (il a fallu attendre 2025 pour ça). Donc à voir comment ça va se passer en 2026.
votre avatar
La rédaction de Next risque-t-elle quelque chose en révélant les noms de l'entreprise et du réseau social concernés ?

Pub, sécurité, cookies : 3,5 millions d’euros d’amende pour Intersport (oups, Société X)

  • Intersport : cachez ce nom que je ne saurais voir

  • La CNIL en mode petit poucet…

  • La Wayback Machine confirme et permet de combler les trous

  • Les griefs de la CNIL à Intersport

Fermer