L’autorité nationale française de protection des données, la Commission Nationale de l’Informatique et des Libertés (CNIL), a infligé une amende de 3,5 millions d’euros à une entreprise française pour partage abusif de données utilisateurs et violation des règles sur le suivi des cookies, selon une décision réglementaire publiée fin décembre 2025. Cette sanction reflète des violations des obligations en vertu des lois françaises et européennes sur la protection des données concernant le consentement et la transparence dans le traitement des informations personnelles.
L’action de la CNIL découle d’une enquête qui a conclu que l’entreprise avait divulgué les données personnelles des membres à des tiers sans obtenir le consentement valable des personnes concernées. Le régulateur a identifié des défaillances dans la manière dont l’entreprise collectait, utilisait et partageait les informations de suivi liées à l’activité en ligne des utilisateurs, y compris les mécanismes de suivi basés sur les cookies souvent utilisés pour adapter la publicité et les services d’analyse numériques.
Selon la législation française, la mise en œuvre des cookies et technologies de suivi similaires nécessite un consentement clair, éclairé et librement donné des utilisateurs avant que ces technologies ne soient activées sur leurs appareils. Les cookies de suivi peuvent collecter des données sur le comportement d’un utilisateur à travers les sites web, et les régulateurs de l’UE ont souligné que le consentement doit être spécifique et sans ambiguïté pour chaque usage, conformément aux protections de la vie privée prévues par les normes européennes de protection des données, telles que le Règlement général sur la protection des données (RGPD) et les règles nationales connexes.
La CNIL a déterminé que les pratiques de l’entreprise ne respectaient pas ces exigences de consentement et que le partage des données dépassait ce qui avait été divulgué aux utilisateurs au moment de la collecte. Les récentes actions d’application de la CNIL, y compris des amendes très médiatisées contre les grandes plateformes pour violations de consentement liées aux cookies, signalent un renforcement du contrôle du respect des obligations de consentement et de transparence dans le suivi numérique et l’utilisation des données.
En vertu de cette amende, l’entreprise doit ajuster ses mécanismes de gestion des données et de consentement aux cookies afin de les aligner sur les exigences légales. Les agences de régulation de l’UE ont le pouvoir de faire respecter le respect des règles et d’imposer des sanctions lorsque les organisations n’obtiennent pas le consentement approprié ou ne fournissent pas d’informations claires sur la manière dont les données personnelles sont utilisées.
La pénalité financière reflète à la fois la nature des manquements au consentement et l’ampleur des données personnelles impliquées. La décision de la CNIL illustre l’application croissante de la réglementation en Europe concernant la vie privée des utilisateurs, la transparence des pratiques de données et le respect des règles établies pour le suivi des technologies et le partage des données.