Publicité sur les réseaux sociaux : les règles à suivre pour un matching CRM conforme au RGPD

En sanctionnant une enseigne exploitant un programme de fidélité pour avoir transmis des données clients à un réseau social sans consentement valable, la CNIL adresse un signal clair au secteur : si vous pratiquez le “matching” CRM à des fins de publicité ciblée, vous devez informer clairement les personnes concernées et recueillir leur consentement spécifique.

Par une délibération du 30 décembre 2025, rendue publique le 22 janvier 2026, la CNIL a infligé une amende de 3,5 millions d’euros à une société exploitant un programme de fidélité. En cause : la transmission régulière d’adresses e-mail et de numéros de téléphone de ses membres à un réseau social pour des opérations de “matching” et la recherche d’audiences similaires (“lookalike”), afin d’afficher des publicités ciblées pour ses produits et services.

Il s’agit d’une pratique courante dans l’écosystème publicitaire. Mais si vous y recourez, elle doit être strictement encadrée pour être conforme au RGPD.

Le matching CRM : un traitement publicitaire à part entière

Depuis 2018, la société transmettait régulièrement au réseau social les données de ses adhérents ayant accepté de recevoir de la prospection commerciale par e-mail et SMS, afin d’afficher des publicités ciblées sur la plateforme et d’atteindre des profils “similaires”.

La CNIL rappelle en premier lieu que si vous collectez et transmettez activement des données à une plateforme de réseau social à des fins publicitaires, vous devez être regardé comme responsable de ce traitement, indépendamment du rôle exact joué par la plateforme.

Autrement dit, il vous incombe de garantir la conformité de ce traitement. Cela implique notamment d’informer clairement les clients et prospects présents dans votre base CRM de cet usage spécifique de leurs données. Vous devez également vous appuyer sur l’une des bases légales prévues par le RGPD, telle que le consentement des personnes ou vos intérêts légitimes – le consentement étant, comme l’indique la décision, la base légale privilégiée par la CNIL dans ce contexte.

Le consentement à la prospection par e-mail et SMS ne vaut pas consentement au ciblage publicitaire sur les réseaux sociaux

La société soutenait que les traitements reposaient sur le consentement recueilli lors de l’adhésion au programme de fidélité, via l’acceptation de recevoir des offres commerciales par e-mail ou SMS.

La CNIL écarte cette analyse. D’une part, aucune mention explicite n’indiquait, au moment de la collecte, que les données seraient transmises à un réseau social ni utilisées pour du ciblage publicitaire sur une plateforme tierce.

D’autre part – et surtout – le consentement doit être spécifique, éclairé et univoque pour être conforme au RGPD. Or, selon la CNIL, accepter de recevoir des e-mails ou SMS promotionnels d’une enseigne ne signifie pas accepter que vos données soient croisées avec celles d’un réseau social à des fins de publicité ciblée sur ce réseau.

Pour vous, annonceurs et prestataires, l’impact est immédiat : le simple opt-in à recevoir des offres commerciales par e-mail ou SMS ne suffit pas à couvrir des opérations de matching et de recherche de lookalike sur les réseaux sociaux à des fins de publicité ciblée. Vous devez donc identifier une base légale spécifique pour ces traitements distincts.

À la lecture de la décision, on perçoit nettement que la CNIL considère le consentement comme la base la plus adaptée dans un tel contexte. Concrètement, cela suppose d’ajouter une case à cocher dédiée dans vos formulaires de collecte. Un détail loin d’être neutre : chaque point de friction supplémentaire peut affecter vos taux de conversion et, in fine, la performance de vos stratégies CRM et d’activation publicitaire.

Un signal lancé à l’écosystème publicitaire

En décidant de publier sa décision – même anonymisée – la CNIL a souhaité adresser un message sans équivoque aux acteurs qui pratiquent le matching de données CRM à des fins publicitaires sur les réseaux sociaux.

Pour vous, cela signifie que l’exploitation de vos données first-party, devenue centrale dans vos stratégies marketing, demeure soumise aux exigences strictes de qualification des traitements, de transparence et de base légale posées par le RGPD.