Intersport condamné à 3,5 millions d'euros d'amende pour usage illégal des données clients

Par rac le 24.01.2026 24.01.2026

Illustration pour l'article: Au moins 10,5 millions de victimes et 3,5 millions d'euros d'amende: Intersport sanctionné lourdement

La Commission nationale de l'informatique et des libertés (CNIL) a infligé une amende de 3,5 millions d'euros à Intersport pour avoir transmis les données personnelles de plus de 10,5 millions de membres de son programme de fidélité à Facebook, à des fins de ciblage publicitaire, sans leur consentement éclairé. Cette sanction, rendue publique le 22 janvier 2026, met en lumière les dérives des pratiques marketing à l'ère du numérique.

Depuis février 2018, l'enseigne de distribution d'articles de sport transférait systématiquement les adresses électroniques et numéros de téléphone de ses clients fidélisés vers le réseau social. L'objectif : créer des audiences personnalisées permettant de diffuser des publicités ciblées. Une pratique qui concernait des membres répartis dans 16 pays européens, faisant de cette affaire un dossier d'envergure continentale.

La décision de la formation restreinte de la CNIL, initialement rendue le 30 décembre 2025, anonymisait l'entreprise sous l'appellation « Société X ». Mais les indices disséminés dans le document ont rapidement permis aux médias d'identifier Intersport. Face à la polémique, l'enseigne a confirmé être visée tout en contestant la gravité des faits, assurant n'avoir « jamais revendu les données personnelles de ses clients » et précisant qu'aucune donnée sensible n'était impliquée.

Des manquements multiples au RGPD

Le principal grief retenu par l'autorité de contrôle concerne l'absence de base légale pour ce traitement de données. Intersport invoquait le consentement obtenu lors de l'adhésion au programme de fidélité. La CNIL a toutefois jugé ce consentement invalide : aucune mention explicite n'informait les clients que leurs coordonnées seraient transmises à un réseau social à des fins publicitaires. Or, le Règlement général sur la protection des données (RGPD) exige un accord « libre, spécifique et éclairé ».

Au-delà du partage non consenti avec Facebook, la CNIL a relevé plusieurs autres infractions. Concernant la gestion des cookies, onze traceurs publicitaires étaient déposés sur les navigateurs des internautes avant même qu'ils aient pu donner leur accord. Plus grave encore : en cas de refus, ces cookies n'étaient pas supprimés, en violation flagrante de l'article 82 de la loi Informatique et libertés. Cette affaire rappelle la récente sanction de 42 millions d'euros infligée à Free pour des manquements similaires à ses obligations de protection des données.

Une sécurité informatique défaillante

L'enquête a également mis en évidence des failles dans la sécurisation des comptes utilisateurs. Les règles de complexité des mots de passe étaient jugées insuffisamment robustes pour résister aux attaques modernes. Plus préoccupant, la CNIL a pointé l'utilisation de la fonction de hachage SHA-256 pour le stockage des mots de passe, considérée comme inadaptée face aux techniques de piratage actuelles.

L'absence d'analyse d'impact sur la protection des données (AIPD) avant le déploiement du système de transfert vers Facebook constitue un autre manquement notable. Cette procédure, obligatoire pour tout traitement susceptible d'engendrer un risque élevé pour les droits des personnes, aurait dû être réalisée en amont. La politique de confidentialité d'Intersport faisait par ailleurs référence au Privacy Shield, ce mécanisme de transfert de données vers les États-Unis invalidé par la Cour de justice de l'Union européenne depuis juillet 2020.

Cette sanction s'inscrit dans un contexte de renforcement de la protection des consommateurs face aux pratiques intrusives de collecte de données. Elle rappelle aux entreprises que le consentement marketing ne peut être présumé et que la transparence envers les clients n'est plus une option mais une obligation légale.