De nationale gegevensbeschermingsautoriteit van Frankrijk, de Commission Nationale de l’Informatique et des Libertés (CNIL), heeft een boete van €3,5 miljoen opgelegd aan een Frans bedrijf wegens het onrechtmatig delen van gebruikersgegevens en het overtreden van regels voor het volgen van cookies, volgens een regelgevend besluit van eind december 2025. De sanctie weerspiegelt schendingen van verplichtingen onder Franse en Europese gegevensbeschermingswetten met betrekking tot toestemming en transparantie bij de verwerking van persoonsgegevens.
De actie van de CNIL is het gevolg van een onderzoek waaruit bleek dat het bedrijf de persoonlijke gegevens van leden aan derden heeft verstrekt zonder geldige toestemming van de betrokken personen te verkrijgen. De toezichthouder identificeerde fouten in hoe het bedrijf trackinginformatie verzamelde, gebruikte en deelde die gekoppeld was aan de online activiteit van gebruikers, waaronder cookie-gebaseerde trackingmechanismen die vaak worden gebruikt om digitale advertentie- en analysediensten op maat te maken.
Volgens de Franse wet vereist de implementatie van cookies en vergelijkbare trackingtechnologieën duidelijke, geïnformeerde en vrijelijk gegeven toestemming van gebruikers voordat deze technologieën op hun apparaten worden geactiveerd. Tracking cookies kunnen gegevens verzamelen over het gedrag van een gebruiker op verschillende websites, en toezichthouders in de EU hebben benadrukt dat toestemming specifiek en ondubbelzinnig moet zijn voor elk doel, in overeenstemming met privacybescherming onder EU-normen zoals de Algemene Verordening Gegevensbescherming (AVG) en gerelateerde nationale regels.
De CNIL stelde vast dat de praktijken van het bedrijf niet voldeden aan deze toestemmingsvereisten en dat het delen van gegevens verder ging dan wat bij de verzameling aan gebruikers was bekendgemaakt. Recente handhavingsmaatregelen van de CNIL, waaronder spraakmakende boetes tegen grote platforms wegens cookie-gerelateerde toestemmingsschendingen, wijzen op een verscherpte controle op naleving van toestemming en transparantieverplichtingen bij digitale tracking en datagebruik.
Volgens de opgelegde boete moet het bedrijf zijn gegevensverwerking en cookie-toestemmingsmechanismen aanpassen aan de wettelijke vereisten. Regelgevende instanties in de EU hebben de bevoegdheid om naleving af te dwingen en sancties op te leggen wanneer organisaties geen juiste toestemming verkrijgen of geen duidelijke informatie geven over het gebruik van persoonsgegevens.
De financiële boete weerspiegelt zowel de aard van de toestemmingsfouten als de omvang van de betrokken persoonsgegevens. De beslissing van het CNIL illustreert de groeiende handhaving van regelgeving in Europa rond gebruikersprivacy, transparante gegevenspraktijken en naleving van vastgestelde regels voor het volgen van technologieën en gegevensdeling.