Intersport écope de 3,5 millions d’euros d’amende pour violations de données

3,5 millions d’euros. C’est le montant de l’amende que vient d’infliger la CNIL au groupe Intersport pour des manquements graves dans l’exploitation des données personnelles de ses clients membres à des fins publicitaires. Une sanction qui touche 10,5 millions de clients et qui s’inscrit dans une série noire pour l’enseigne de distribution d’articles de sport, déjà victime de plusieurs fuites de données ces derniers mois.

Cette condamnation survient alors que le groupe affichait pourtant des ambitions de transformation numérique ambitieuses. En juin 2025, selon FashionUnited, le PDG Gérard Leclerc déclarait que la porte digitale était devenue la première porte d’entrée pour les clients, avant même les magasins physiques. Un virage numérique qui nécessitait des investissements massifs de 70 à 100 millions d’euros sur trois ans pour unifier l’offre en ligne et en magasins.

Une année 2025 marquée par les incidents de sécurité

L’amende de la CNIL ne constitue pas le premier revers en matière de protection des données pour Intersport. En avril 2025, comme l’avait révélé Le Parisien, l’enseigne avait dû reconnaître publiquement une fuite de données informatiques de ses clients. Des pirates informatiques avaient réussi à dérober des noms, prénoms, adresses électroniques et numéros de téléphone de millions de clients.

Plus inquiétant encore, L’Usine Digitale rapportait en mars 2025 qu’un hacker du nom de « God User » avait mis en vente sur le site de piratage BreachForums une base de données comprenant les informations de 3,38 millions de clients. Le cybercriminel proposait cette base à 1000 dollars, payable en cryptomonnaie Monero, affirmant détenir des informations de facturation et des codes de transaction PayPal.

« L’année 2024 aura été incontestablement marquée par un nombre record de violations de données personnelles, dont certaines très massives », constatait en mars 2025 le groupement d’intérêt public Action contre la cybermalveillance, selon L’Usine Digitale.

Un groupe en pleine transformation malgré les turbulences

Ces déboires interviennent paradoxalement alors qu’Intersport France affiche des résultats commerciaux solides. Le groupe a enregistré une progression de 6,3% de son chiffre d’affaires en 2024, atteignant 3,88 milliards d’euros, notamment grâce à la reprise de son concurrent en difficulté Go Sport. Les ventes en ligne ont particulièrement bondi, avec une hausse de 16% sur un an, confirmant l’importance stratégique du canal digital.

L’enseigne a ouvert 80 magasins en 2024, portant son réseau à 980 boutiques sur le territoire français. Selon le communiqué relayé par FashionUnited, ce maillage dense constitue « le pilier de son modèle coopératif » et assure « une proximité unique avec les Français, en zones urbaines comme rurales ». Le groupe vise désormais 5,5 milliards d’euros de chiffre d’affaires d’ici 2030.

Une direction renouvelée pour redresser la barre

Pour accompagner cette transformation et faire face aux défis, notamment en matière de cybersécurité, Intersport a procédé à des changements majeurs dans sa direction. En octobre 2025, Républik Retail annonçait l’arrivée de Philippe Giovanni au poste de directeur général France et Belgique, avec pour mission de conduire la transformation et déployer le plan stratégique à horizon 2030.

Fort de 30 ans d’expérience dans la distribution, notamment près de vingt ans au sein du groupement Les Mousquetaires, Giovanni apporte une expertise précieuse. Au niveau international, Tom Foley a été nommé PDG d’Intersport International Corporation en avril 2025, avec pour objectif de renforcer le réseau mondial et d’augmenter l’efficacité opérationnelle du groupe, présent dans 42 pays.

« Son expertise des modèles coopératifs et de franchise, sa maîtrise des centrales au service de réseaux unicanaux et son expérience du management d’équipes pluridisciplinaires constitueront des atouts déterminants pour accompagner les ambitions d’Intersport dans les prochaines années », soulignait Républik Retail lors de l’annonce de la nomination de Giovanni.

Les enjeux de la protection des données dans la distribution

L’amende de 3,5 millions d’euros infligée à Intersport illustre la vigilance accrue des autorités françaises en matière de protection des données personnelles. La CNIL a communiqué en janvier 2025 sur l’explosion des fuites de données, révélant que le nombre de violations touchant plus d’un million de personnes avait doublé en un an, passant d’une vingtaine en 2023 à une quarantaine en 2024.

Pour les distributeurs comme Intersport, qui collectent massivement des données clients pour alimenter leurs programmes de fidélité et leurs campagnes marketing, l’enjeu est double. D’une part, ces données constituent un actif stratégique pour personnaliser l’expérience client et optimiser les ventes. D’autre part, leur exploitation doit impérativement respecter le cadre légal du RGPD, sous peine de sanctions financières lourdes et d’une perte de confiance des consommateurs.

Ce n’était pas la première fois qu’Intersport était confronté à des problèmes de cybersécurité. En 2022, le groupe avait déjà été victime d’une fuite exposant les bulletins de paie, passeports et déclarations d’accidents du travail de plusieurs salariés, une opération revendiquée par le gang de ransomware Hive, démantelé par le FBI un mois plus tard.

Quelles conséquences pour les 10,5 millions de clients concernés

Les 10,5 millions de clients dont les données ont fait l’objet de manquements dans leur exploitation publicitaire devront rester vigilants. Bien que l’amende sanctionne des pratiques publicitaires non conformes plutôt qu’une fuite de données à proprement parler, les multiples incidents de sécurité survenus en 2025 exposent ces clients à des risques de phishing et d’usurpation d’identité.

Les informations divulguées lors des précédentes fuites – noms, prénoms, adresses électroniques, numéros de téléphone et données de cartes de fidélité – peuvent être utilisées par des cybercriminels pour mener des campagnes d’escroquerie ciblées. Ces derniers peuvent notamment envoyer de faux emails ou SMS reproduisant l’identité visuelle d’Intersport pour inciter les victimes à communiquer des informations bancaires ou à cliquer sur des liens piégés.

La coopérative a recommandé à ses clients de modifier leurs mots de passe et de ne jamais communiquer leurs informations personnelles sensibles. Mais la multiplication des incidents soulève des questions sur la robustesse des systèmes de sécurité informatique du groupe, alors même qu’il investit massivement dans sa transformation digitale.

Cette sanction de la CNIL constitue-t-elle un signal d’alarme suffisant pour inciter Intersport à renforcer drastiquement sa gouvernance des données et sa cybersécurité ? Avec un objectif de 5,5 milliards d’euros de chiffre d’affaires en 2030 et une stratégie résolument tournée vers le digital, le groupe n’a d’autre choix que de faire de la protection des données une priorité absolue pour reconquérir la confiance de ses millions de clients.