En janvier 2023, la CNIL a mené plusieurs contrôles auprès de la société concernée. Elle a notamment constaté que, depuis février 2018, l’entreprise transmettait les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité à un réseau social. Ces données étaient utilisées afin d’afficher, sur ce réseau, des publicités ciblées visant à promouvoir les articles vendus par la société.

À l’issue de ces contrôles, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés. Elle a prononcé à son encontre une amende de 3,5 millions d’euros. Cette décision a été adoptée en coopération avec 16 homologues européens de la CNIL, des données de personnes résidant dans ces pays étant concernées.

Le montant de la sanction tient compte de la gravité des manquements constatés, dont deux portent sur des principes fondamentaux de la protection des données, ainsi que du nombre élevé de personnes concernées (plus de 10,5 millions).

La formation restreinte a également décidé de publier sa délibération. Elle a estimé que le recours à la publicité ciblée sur les réseaux sociaux étant une pratique répandue parmi les acteurs économiques, il était important d’informer le public des règles applicables en la matière, sans qu’il soit, en l’espèce, utile de nommer la société concernée.