En juillet 2023, la CNIL a sanctionné Canal+ d’une amende administrative de 600 000 euros pour plusieurs manquements aux obligations d’information liées au traitement des données personnelles. Cette décision illustre de manière concrète les exigences structurantes des articles 13 et 14 du RGPD, qui constituent le socle du droit à la transparence.
Les constats retenus par la CNIL
L’autorité a relevé notamment :
le dépôt de cookies non essentiels avant tout recueil de consentement ;
des mentions d’information incomplètes concernant la prospection commerciale ;
une absence de clarté sur les finalités, les bases légales et les durées de conservation ;
la possibilité pour certains partenaires tiers d’accéder à des données sans information suffisante des personnes concernées.
En d’autres termes, le site ne permettait pas à l’utilisateur de comprendre clairement qui faisait quoi, comment, sur quelles bases juridiques, et pendant combien de temps.
Le lien juridique avec les articles 13 et 14 du RGPD
Les articles 13 et 14 définissent l’obligation minimale d’information :
identité et coordonnées du responsable de traitement et du DPO
finalités des traitements et bases juridiques
destinataires ou catégories de destinataires des données
durées de conservation
droits des personnes concernées
et, lorsque les données ne sont pas collectées directement : origine des données
L’information doit être :
Dans l’affaire Canal+, la CNIL a considéré que les informations étaient trop partielles et trop imprécises pour permettre un consentement éclairé et l’exercice effectif des droits.
Analyse : la transparence comme condition préalable à la conformité
Les articles 13 et 14 structurent une logique simple :
→ on ne peut pas exercer ses droits si on ne comprend pas comment ses données sont utilisées.
L’information n’est donc pas une “obligation documentaire”, c’est un prérequis matériel permettant :
C’est précisément cette articulation que la CNIL a rappelée dans sa décision : un utilisateur qui ne comprend pas les traitements ne peut pas choisir en connaissance de cause.
Implications pratiques pour les organisations
Concrètement, pour tout site web ou dispositif de collecte, cela implique :
rédiger des mentions d’information complètes et lisibles
aligner chaque finalité avec sa base légale correspondante
afficher les durées de conservation (ou leurs critères)
pas de cookies non essentiels avant consentement
identifier clairement les destinataires, y compris les partenaires marketing
La non-conformité Canal+ ne résidait pas dans une absence d’information totale — mais dans son insuffisance qualitative et sa faible intelligibilité.
Implications pratiques pour les services marketing / communication / digital
Les articles 13 et 14 du RGPD ne sont pas qu’un cadre juridique théorique : ils définissent le niveau d’information attendu pour qu’un utilisateur puisse comprendre avant de subir un traitement de données.
En pratique, cela se traduit par des règles simples et directement opérationnelles :
1) Une mention d’information doit être lisible “en un coup d’œil”.
Si l’utilisateur doit chercher, cliquer 6 fois ou parcourir 4 sous-menus… ce n’est pas conforme.
2) Chaque finalité doit être associée à une base légale précise.
3) La durée de conservation doit être exprimée clairement — même si c’est un critère.
Exemple : “3 ans après le dernier contact actif”.
4) Les destinataires et tiers impliqués doivent être nommés ou au minimum catégorisés de manière précise.
Exemple : “partenaires publicitaires” est insuffisant → il faut lister / catégoriser.
5) Les cookies non essentiels ne peuvent être activés qu’après consentement — jamais avant.
Transparence = lisibilité + exhaustivité + disponibilité au bon moment.
Conclusion
La sanction Canal+ démontre que la transparence n’est pas un simple prérequis formel : c’est le premier indicateur de maturité RGPD visible publiquement. Et c’est aussi la première chose qu’une autorité vérifie.
Chez PiaLab, nous accompagnons les organisations à revoir leurs mentions d’information, structurer leurs parcours de consentement et clarifier leurs bases légales — afin que la conformité soit compréhensible et défendable.
→ Pour auditer vos mentions d’information, votre politique de confidentialité ou votre bannière cookies, contactez-nous pour une première analyse exploratoire.
