La Cnil a infligé une sanction de 3,5 millions d'euros à Intersport accusé d'avoir transmis à un réseau social les adresses électroniques ou les numéros de téléphone de certains clients

La Cnil a infligé une sanction de 3,5 millions d'euros à Intersport, a confirmé vendredi l'enseigne d'équipement sportif à l'AFP, pour avoir transmis à leur insu des données de clients à un réseau social à des fins publicitaires. Dans une délibération publiée jeudi qui ne mentionnait pas le nom d'Intersport, la Commission nationale de l'informatique et des libertés (Cnil) affirme qu'entre 2018 et 2024, l'entreprise a transmis à un réseau social les adresses électroniques ou les numéros de téléphone de certains clients de son programme de fidélité qui avaient consenti à recevoir des messages de prospection commerciale.

Le réseau social en question, non nommé par la Cnil, a ensuite pu recouper ces données avec celles de sa base de données pour afficher des publicités personnalisées aux personnes concernées.

L'organisme chargé de veiller à la protection des données personnelles a considéré que le consentement de ces personnes n'était pas valablement recueilli car les clients n'avaient pas été informés que leurs données seraient transmises au réseau social.

La Cnil a recensé d'autres manquements au RGPD - règlement européen sur les données personnelles - comme des cookies déposés à l'insu de l'utilisateur ou des règles de complexité de mots de passe pas assez robustes; autant de manquements dont la "gravité", selon la Cnil, justifie le montant de la sanction.

Joint par l'AFP, Intersport assure n'avoir "jamais revendu les données personnelles de ses clients" et avoir "utilisé par le passé l'un des services publicitaires proposés par un réseau sans céder de données." "Aucune donnée sensible n'est concernée par cette procédure", affirme l'enseigne, qui rappelle que seuls les e-mails et les numéros de téléphone étaient concernés.