Le 30 janvier 2019, une Personne Concernée reçoit une plaquette de prospection commerciale non sollicité en vue de souscrire à un abonnement fibre Bouygues Telecom.
Une demande d’accès article 15 RGPD est réalisée auprès de Bouygues Telecom pour connaître l’origine des données, qui répond alors que les données ont été collecté auprès du courtier Cartégie.
Une nouvelle demande d’accès est réalisée auprès de Cartégie, qui indique que les données ont été initialement collectées par CDiscount.
Une nouvelle demande d’accès est alors réalisée auprès de CDiscount, qui reconnaît revendre ses données à Cartégie, malgré des CGU indiquant explicitement qu’il n’y a pas une telle revente de données.
Le problème sera diffusé sur les réseaux sociaux. Un ancien salarié de CDiscount révèlera alors que l’entreprise est parfaitement informée de l’illégalité de ces reventes mais qu’elle ferme les yeux devant la rentabilité générée.
Une plainte n° 19005363 le 18 mars 2019 est alors déposée devant la CNIL pour ces faits.
Le 07 juillet 2025, après 6 années de silence, la CNIL signalera avoir procédé à des contrôles et enjoint CDiscount à procéder à un changement de ses CGU, à informer ses clients de la vente des données et à leurs permettre de s’y opposer.
CDiscount ne se mettra jamais réellement en conformité.