Franse privacytoezichthouder legt €3,5 miljoen boete op wegens foutieve toestemming bij online advertising

De Franse privacytoezichthouder CNIL heeft op 30 december 2025 een boete van €3,5 miljoen opgelegd aan een organisatie die gegevens uit een klantenloyaliteitsprogramma gebruikte voor gerichte advertenties op sociale media, zonder geldige toestemming. In totaal werden gegevens van meer dan 10,5 miljoen personen verwerkt, waaronder ook betrokkenen uit andere EU-lidstaten. Ook in Nederland gaat dit mis. Toestemming voor het toesturen van de e-mailnieuwsbrief, betekent niet automatisch toestemming voor Custom Audience matching of Google Ads.

Loyaliteitsgegevens gedeeld voor online targeting

Uit onderzoek van de CNIL blijkt dat de organisatie sinds februari 2018 structureel e-mailadressen en telefoonnummers van leden van het loyaliteitsprogramma doorgeeft aan sociale media. Deze gegevens werden gebruikt om klanten van die organisatie gerichte advertenties te tonen.

Dit is een veelgebruikte marketingtechniek. Adverteerders kunnen e-mailadressen of andere gegevens zoals adres of telefoonnummer uploaden bij platforms zoals Meta of Google, waarna deze gegevens worden gematcht met bestaande accounts. Op basis daarvan kunnen organisaties:

hun eigen klanten gericht benaderen (bijvoorbeeld via Custom Audiences of Customer Match),
look-a-like audiences definiëren en benaderen
of specifieke groepen juist uitsluiten van campagnes.

Hoewel effectief, vereist dit toestemming onder de AVG, en daar schort het aan, aldus de CNIL.

Geen geldige toestemming

De organisatie stelde dat klanten bij inschrijving voor het loyaliteitsprogramma toestemming hadden gegeven voor marketing per e-mail en SMS. Volgens de CNIL was die toestemming echter niet geldig voor het delen van gegevens met een social media voor advertentiedoeleinden.

De toezichthouder benadrukt:

“The authority noted that valid consent would have required, for example, a clear and specific opt-in mechanism explicitly referencing social media advertising.”

Toestemming voor een nieuwsbrief of algemene marketing is dus niet automatisch toestemming voor het delen van e-mailadressen met Google Ads of sociale media voor gerichte advertenties. Het besluit werd genomen in samenwerking met 16 Europese toezichthouders, omdat ook persoonsgegevens van inwoners van die landen werden verwerkt.

Meerdere AVG-overtredingen: transparantie, beveiliging, DPIA en cookies

De boete was niet alleen gebaseerd op het ontbreken van een geldige grondslag. De CNIL stelde meerdere aanvullende overtredingen vast:

Onvoldoende transparantie (art. 12 en 13 AVG): de privacyinformatie was onduidelijk, onvolledig en deels onjuist. Zo werd targeted advertising niet expliciet genoemd, ontbraken bewaartermijnen en werd nog verwezen naar het ongeldig verklaarde Privacy Shield voor de uitwisseling met de VS.
Onvoldoende beveiliging (art. 32 AVG): wachtwoordvereisten waren te zwak en het enkel opslaan van wachtwoorden met een SHA-256 hash werd als onvoldoende veilig beschouwd.
Geen DPIA uitgevoerd (art. 35 AVG): gezien de grootschalige verwerking en het matchen van klantdata met sociale media had vooraf een Data Protection Impact Assessment moeten worden uitgevoerd.
Cookies vóór toestemming: bij bezoek aan de website werden meerdere trackingcookies geplaatst voordat gebruikers een keuze hadden gemaakt. Zelfs na weigering bleven deze actief.

Wat betekent dit voor organisaties?

Deze beslissing onderstreept dat het hergebruiken van klant- of loyaliteitsgegevens voor custom audience matching, of Google Ads alleen is toegestaan wanneer daar specifieke, geïnformeerde en expliciete toestemming voor is verkregen.

DMCC advies:

Als e-mailadressen of andere klantgegevens worden gebruikt voor audience matching via bijvoorbeeld Meta of Google Ads, benoem dit expliciet in de toestemmingsvraag. Zorg voor een duidelijke opt-in voor het gebruik van e-mailadressen voor social media / Google advertising, en een DPIA waar sprake is van grootschalige profiling of datamatching.