Intersport épinglé par la CNIL : vos données vendues à Facebook pour 33 centimes

Publié le et mis à jour le
 
C’est une nouvelle qui a fait grand bruit dans le milieu de la protection des données juste avant de basculer en 2026. La Commission nationale de l’informatique et des libertés a décidé de frapper fort en infligeant une amende de 3,5 millions d’euros à une enseigne que tout le monde connaît. Derrière le mystérieux nom de "Société X" utilisé au départ par le régulateur, les observateurs ont vite démasqué Intersport. Le géant de l’équipement sportif se voit reprocher d’avoir joué un peu trop librement avec les informations personnelles de ses clients fidèles pour alimenter la machine publicitaire de Meta.
La page Intersport France sur Facebook (Crédit : capture Facebook)
La page Intersport France sur Facebook (Crédit : capture Facebook)

Le jeu de cache-cache du régulateur


C’est une curiosité administrative qui a rapidement tourné au défi pour les internautes les plus curieux. Au moment de rendre sa décision publique, la CNIL avait pourtant pris soin de draper l’identité du condamné derrière un anonymat de façade, baptisant l’enseigne d’un très sobre et très mystérieux "Société X". Sur les pages officielles de Légifrance, aucune mention directe ne permettait d’identifier formellement le géant du sport.
La société employait, en 2021, 363 salariés et l’enseigne " X " comptait plus de […] magasins sur le territoire français. En 2022, la société a réalisé un chiffre d’affaires de […] d’euros, pour un résultat net de près de […] d’euros. En 2023, elle a réalisé un chiffre d’affaires de plus de […] d’euros, pour un résultat net de près de […] d’euros. En 2024, le chiffre d’affaires de la société s’est élevé à plus de […] d’euros, pour un résultat net de plus de […] d’euros.
Légifrance

Un secret de polichinelle rapidement éventé


Le 30 décembre dernier, quand la décision est tombée, l’anonymat était encore de mise sur les documents officiels, avec un « X » e lieu et place du nom de la société fautive. Mais dans le monde du droit numérique, les chiffres ne mentent jamais longtemps. En épluchant les données financières mentionnées dans la délibération de la CNIL, comme le nombre de salariés ou le chiffre d’affaires colossal grimpant jusqu’à près de 4 milliards d’euros, le doute n’était plus permis. Il s’agissait bel et bien d’Intersport.

Mais, ce qui devait être une sanction discrète s’est transformé en un véritable déballage public, prouvant qu’à l’ère du numérique, même les secrets les mieux gardés par les autorités ne résistent pas longtemps aux recoupements de la toile. L’enseigne elle-même a fini par confirmer qu’elle était bien la cible de cette procédure. On parle ici d’une entreprise qui pèse lourd dans le paysage français, avec des centaines de magasins et une base de données clients qui ferait rêver n’importe quel service marketing. Malheureusement pour elle, cette puissance de frappe commerciale s’est accompagnée d’une certaine légèreté dans le respect des règles du RGPD, ce fameux règlement européen qui encadre nos vies numériques.

Publicité

Le programme de fidélité qui en disait trop


Le cœur du problème réside dans le programme « La Team », dont font partie plus de dix millions de Français. Pour Intersport, le simple fait qu’un client s’inscrive à ce club suffisait pour considérer qu’il acceptait que ses informations soient partagées. C’est là que le bât blesse. L’entreprise a transmis des emails et des numéros de téléphone à un réseau social bien connu, qui n’est autre que Facebook / Meta, pour faire ce qu’on appelle du ciblage publicitaire. En gros, vos habitudes d’achat en magasin servaient à vous afficher des publicités ultra-personnalisées quand vous défiliez sur votre fil d’actualité. La CNIL a rappelé avec fermeté que l’inscription à un programme de fidélité n’est pas un blanc-seing. Le consentement doit être libre, spécifique et surtout explicite. On ne peut pas glisser une telle pratique dans les petites lignes d’un contrat sans demander clairement l’avis des gens.

Des casseroles techniques qui s’accumulent


Mais l’enquête ne s’est pas arrêtée à cette simple transmission de fichiers. Lors d’un contrôle effectué en 2023, les agents du régulateur ont découvert d’autres failles assez gênantes pour une structure de cette envergure. Par exemple, sur le site internet, des traceurs publicitaires s’activaient avant même que l’internaute n’ait pu cliquer sur quoi que ce soit. Pire encore, ces derniers continuaient de fonctionner même après un refus catégorique de l’utilisateur. Côté sécurité pure, ce n’était pas la joie non plus. Les mots de passe étaient stockés avec des méthodes de calcul totalement dépassées, ce qui les rendait vulnérables en cas de piratage. En gros, la porte n’était pas fermée à clé, elle était juste poussée, laissant les données de millions de Français à la merci de méthodes de déchiffrement assez basiques.

Publicité

Un montant « minime » qui interroge sur la dissuasion


Alors, 3,5 millions d’euros, est-ce vraiment beaucoup ? Si on regarde la somme brute, elle peut paraître impressionnante. Pourtant, quand on sort la calculatrice et qu’on la rapporte aux 3,88 milliards d’euros de chiffre d’affaires réalisés en 2024, le constat est plus nuancé. Cela représente moins de 0,1 % de ce que l’enseigne gagne en une année. Si on divise l’amende par le nombre de personnes dont les données ont été balancées sur les réseaux sociaux, on tombe sur un chiffre dérisoire : environ 33 centimes par client. C’est le prix de votre vie privée aux yeux de la loi dans ce dossier précis. Pour une pratique qui durait depuis 2018, certains estiment que le « crime » paie plutôt bien, même si la CNIL explique avoir voulu une sanction équilibrée, tenant compte de la coopération de l’enseigne pour corriger ses erreurs.
Le montant de la sanction tient compte de la gravité des manquements constatés, dont deux portent sur des principes fondamentaux de la protection des données, ainsi que du nombre élevé de personnes concernées (plus de 10,5 millions).

La formation restreinte a également décidé de publier sa délibération. Elle a estimé que le recours à la publicité ciblée sur les réseaux sociaux étant une pratique répandue parmi les acteurs économiques, il était important d’informer le public des règles applicables en la matière, sans qu’il soit, en l’espèce, utile de nommer la société concernée.
CNIL

Une mise en garde pour tout le secteur


Cette décision n’est pas seulement une punition pour un acteur du sport, c’est un message envoyé à toutes les entreprises françaises. On ne peut plus ignorer les règles en se disant que « tout le monde fait pareil ». Le temps où l’on pouvait citer des accords juridiques périmés depuis des années, comme le Privacy Shield, dans ses conditions générales est révolu. La Commission a pointé du doigt l’absence totale d’analyse d’impact, alors que manipuler les données de 10 millions de personnes est par définition une activité risquée. Si Intersport s’en tire sans mettre la clé sous la porte, l’image de marque en prend un coup. Les clients sont de plus en plus sensibles à la manière dont leurs infos circulent, et cette affaire montre que la transparence n’est plus une option mais une obligation vitale pour garder la confiance du public.
 

Ce qu’il faut retenir :

  • Une identité vite démasquée : Malgré l’anonymat initialement voulu par la CNIL sous le nom de "Société X", les chiffres financiers et les détails du programme "La Team" ont rapidement trahi Intersport.
  • Le prix dérisoire de la vie privée : L’amende de 3,5 millions d’euros peut sembler colossale, mais elle ne représente finalement que 33 centimes par client concerné et moins de 0,1 % du chiffre d’affaires de l’enseigne.
  • Le consentement n’est pas une option : Intersport a été sanctionné pour avoir transmis les mails et téléphones de 10,5 millions de membres à Facebook sans leur demander leur avis explicite pour de la pub ciblée.
  • Des failles de sécurité datées : Au-delà du marketing, le gendarme du numérique a pointé du doigt des méthodes de stockage de mots de passe obsolètes et des cookies qui s’installaient même après un refus des internautes.
  • Un avertissement pour le secteur : Cette décision rappelle que la fidélité d’un client ne donne pas tous les droits sur ses données, et que les grands groupes ne peuvent plus se cacher derrière des réglages techniques approximatifs.
chabot thierry
chabot thierry
Passionné d'informatique depuis ses débuts sur PC-1512, Thierry est l'expert référent de TheSiteOueb pour les thématiques liées au Web, aux OS et à la sécurité informatique. Acteur engagé de l'entraide communautaire sous le pseudonyme Cthierry, il met son expertise technique au service des utilisateurs pour décrypter l'actualité numérique et résoudre leurs problématiques quotidiennes.
Vous avez aimé cet article ? Commentez-le et partagez-le !
 
Les autres articles en relation dans l'actualité !
 
Le rond de Meta AI sur WhatsApp, Messenger, Facebook (Crédit : capture about.fb.com) WhatsApp, Messenger, Facebook : le formulaire pour protéger vos données, info ou intox ?
Logo SFR rétroéclairé dans la pénombre (Crédit : Alex.I) SFR encore visé par un piratage : vos coordonnées sont-elles dans la nature ?
Cybersécurité cadenas et logo CNIL (Crédit : CNIL / Alex.I) CNIL et cybersécurité : une année sous haute tension pour la protection des données
Capture site Internet Micromania Micromania épinglé pour « pratiques commerciales trompeuses » par la DDPP des Alpes-Maritimes
Site Web Ankama et tampon Data Breach (Crédit : capture Ankama) Ankama piraté : vos données bancaires et personnelles sont-elles en danger ?
Affiche officielle de la Journée mondiale de la propriété intellectuelle 2026 (Crédit : OMPI) Pourquoi vos chaussures de sport coûtent-elles si cher ? La réponse se cache dans la PI
Page ANFR et tampon Data Breach (Crédit : capture ANFR) Fuite de données à l’ANFR : 330 000 usagers du téléservice touchés par une cyberattaque
Affiche Journée internationale des luttes paysannes (Crédit : La Via Campesina) Journée internationale des luttes paysannes : 30 ans de luttes pour ne pas disparaître
 
Les derniers articles qui pourraient vous intéresser... ou pas !
 
Drapeau Croix-Rouge et volontaires apportant l’espoir en 2026 (Crédit : Alex.I) Journée mondiale de la Croix-Rouge et du Croissant-Rouge 2026 : « Unis dans l’humanité »
Page d’accueil Easy Cash et tampon Data Breach (Crédit : capture Easy Cash) Fuite de données chez Easy Cash : 18 millions de clients dans le viseur des pirates ?
Page d’accueil du service Bloctel du gouvernement (Crédit : capture bloctel.gouv.fr) C’est officiel : Bloctel va bientôt disparaître définitivement !
Doodle l’art de la danse K-Pop - The Art of K-Pop Dance AANHPI 2026 (Crédit: Google) Google célèbre la K-Pop avec un Doodle interactif : « The Art of K-Pop Dance »
 
Les commentaires sont la propriété de leur auteur. Nous ne sommes pas responsables de leurs contenus.