Le gendarme des données personnelles vient d’épingler une nouvelle entreprise. La Commission nationale de l’informatique et des libertés (Cnil) a infligé une sanction de 3,5 millions d’euros à Intersport, a confirmé ce vendredi l’enseigne d’équipement sportif, pour avoir transmis à leur insu des données de clients à un réseau social à des fins publicitaires.

Dans une délibération publiée ce jeudi qui ne mentionnait pas le nom d’Intersport, la Cnil affirme qu’entre 2018 et 2024, l’entreprise a transmis à un réseau social les adresses électroniques ou les numéros de téléphone de certains clients de son programme de fidélité qui avaient consenti à recevoir des messages de prospection commerciale. Le réseau social en question, non nommé par la Cnil, a ensuite pu recouper ces données avec celles de sa base de données pour afficher des publicités personnalisées aux personnes concernées.

Aucun consentement des clients

L’organisme chargé de veiller à la protection des données personnelles a considéré que le consentement de ces personnes n’était pas valablement recueilli car les clients n’avaient pas été informés que leurs données seraient transmises au réseau social.

La Cnil a recensé d’autres manquements au RGPD - règlement européen sur les données personnelles - comme des cookies déposés à l’insu de l’utilisateur ou des règles de complexité de mots de passe pas assez robustes ; autant de manquements dont la « gravité », selon la Cnil, justifie le montant de la sanction.

Intersport assure n’avoir « jamais revendu les données personnelles de ses clients » et avoir « utilisé par le passé l’un des services publicitaires proposés par un réseau sans céder de données. » « Aucune donnée sensible n’est concernée par cette procédure », affirme l’enseigne, qui rappelle que seuls les e-mails et les numéros de téléphone étaient concernés.