Elkjop : 1,8M€ d'amende pour consentement forcé RGPD
19 juin 2026 · 6 min de lecture · Articles
Freelance intégration IA · Spécialiste LLM, RAG · 11+ réalisations clients
Le 1er juin 2026, Datatilsynet, l'autorité de protection des données norvégienne, a infligé à Elkjop Nordic AS une amende de 20 millions de couronnes norvégiennes, soit environ 1,8 million d'euros. La faute : avoir lié l'adhésion à leur club client à l'acceptation des communications marketing. Un consentement qu'on ne peut pas refuser n'est pas un consentement.
Réponse directe : le RGPD exige que le consentement soit "librement donné" au sens de l'Article 4(11). Si refuser le consentement implique une perte de service ou d'avantage, le consentement n'est pas valide. Cette décision le confirme avec une sanction à sept chiffres, et s'applique directement à tout système de chatbot ou d'IA qui conditionne ses fonctionnalités à l'acceptation de conditions.
Ce qui s'est passé chez Elkjop
Elkjop est le plus grand distributeur d'électronique grand public des pays nordiques. Leur club client (Elgiganten Kundklubb en Suède) offre des remises et avantages en contrepartie de l'adhésion. Le problème : la seule façon de refuser les emails marketing était de quitter le club entièrement.
Alexander Hanff, expert en droit à la vie privée et co-concepteur du RGPD, a signalé le problème au DPO d'Elkjop dès juillet 2021 en citant des arguments juridiques précis. La réponse écrite d'Elkjop a essentiellement mis par écrit la violation : "recevoir du marketing est une condition pour être membre du club."
Cette phrase unique a constitué le coeur du dossier. Hanff a déposé une plainte auprès de l'IMY suédoise (référence DI-2021-6660), qui l'a transmise à Datatilsynet norvégien en tant qu'autorité compétente sur le siège principal d'Elkjop. La décision est arrivée quatre ans plus tard.
Les violations retenues
La décision couvre plusieurs articles du RGPD.
Article 4(11) et Article 7 : consentement non librement donné. Le consentement doit pouvoir être refusé sans conséquence négative. Conditionner les avantages du club à l'acceptation du marketing viole directement cette exigence. C'est la "pay-or-consent" logic, illicite depuis l'entrée en vigueur du RGPD.
Article 5(1)(a) : principe de licéité et transparence. Les membres n'étaient pas informés de façon claire de la base juridique réelle du traitement.
Article 6(4) : compatibilité des finalités. Elkjop a réutilisé les données collectées pour l'adhésion au club à des fins de ciblage publicitaire et de tracking de conversion, sans avoir réalisé l'évaluation de compatibilité que l'Article 6(4) impose avant tout détournement de finalité.
Article 5(2) : accountability. Elkjop ne pouvait pas démontrer la conformité de ses traitements, ce qui constitue en soi une violation du principe de responsabilité.
Pourquoi ça concerne les entreprises qui déploient de l'IA
Ce cas dépasse largement un distributeur nordique. Le modèle "acceptez tout ou n'utilisez pas le service" est omniprésent dans le numérique, et il l'est aussi de plus en plus dans les déploiements d'IA en entreprise.
Les chatbots qui collectent des données. Un assistant IA conversationnel qui enregistre les échanges pour "améliorer le service" ou "personnaliser les réponses" a besoin d'une base juridique valide. Si cette base est le consentement (Article 6(1)(a)), ce consentement doit être librement donné, spécifique, et révocable sans perte de fonctionnalité.
Les systèmes de personnalisation. Un LLM qui adapte ses réponses en fonction du profil utilisateur crée du traitement de données à caractère personnel. Si ce profil est construit à partir d'interactions dont le consentement était conditionné, la chaine entière est viciée.
Les bases de connaissances multi-tenants. Dans les architectures RAG multi-utilisateurs, chaque utilisateur doit consentir séparément et pouvoir retirer son consentement sans perdre l'accès au service de base.
L'affaire Elkjop montre que les DPA sont prêts à sanctionner ces modèles sur des durées de procédure longues mais avec des amendes qui, in fine, sont à la hauteur des revenus en jeu.
La distinction consentement vs intérêt légitime
Une confusion fréquente chez les équipes techniques : on ne peut pas "remplacer" le consentement par l'intérêt légitime (Article 6(1)(f)) pour contourner cette contrainte.
L'intérêt légitime requiert un test de mise en balance entre l'intérêt de l'entreprise et les droits des personnes concernées. Pour les activités marketing ciblé, la CNIL et le CEPD ont clairement indiqué que l'intérêt légitime ne peut pas servir de base juridique lorsque la personne s'oppose au traitement. Et sous l'ePrivacy Directive, les communications commerciales par email nécessitent un consentement explicite, point.
L'alternative propre : utiliser le contrat (Article 6(1)(b)) uniquement pour les traitements strictement nécessaires à l'exécution du service commandé, et recueillir un consentement optionnel, granulaire et révocable pour tout traitement supplémentaire.
Ce que "librement donné" signifie concrètement
Pour qu'un consentement soit valide au sens du RGPD :
- Il doit être découplé : refuser ne doit pas entraîner la perte du service principal
- Il doit être granulaire : consentement séparé pour chaque finalité (marketing email, ciblage publicitaire, profilage...)
- Il doit être révocable à tout moment, aussi facilement qu'il a été donné
- Il doit être éclairé : l'utilisateur doit comprendre ce qu'il accepte, pour quelle durée, et qui accède aux données
Un widget de consentement coché par défaut, ou dont les cases "refuser" sont volontairement moins visibles, tombe dans la même catégorie que la pratique d'Elkjop.
L'angle IA souveraine
La décision Elkjop renforce l'argument pour une architecture IA où les données ne sortent pas du périmètre consenti. Si votre agent IA n'envoie pas les échanges vers des API tierces, si les données restent dans votre infrastructure (ou dans une infrastructure EU que vous maitrisez), la surface de risque RGPD se réduit considérablement.
Ce n'est pas qu'une posture marketing : l'hébergement souverain élimine structurellement certaines classes de violations possibles. Pas de transfert hors UE sans garanties (Article 44), pas de sous-traitants US soumis au CLOUD Act, pas de données qui alimentent des modèles tiers sans consentement explicite.
La CNIL a publié des recommandations spécifiques sur l'IA en 2024 qui vont dans ce sens. Elles recommandent de réaliser une AIPD (Analyse d'Impact sur la Protection des Données) pour tout système d'IA traitant des données personnelles à grande échelle.
TL;DR
Elkjop a payé 1,8M€ pour avoir conditionné les avantages d'un club client à l'acceptation du marketing. Le RGPD est clair : un consentement qu'on ne peut pas refuser sans perte n'est pas un consentement (Articles 4(11) et 7). Pour les déploiements d'IA, cela se traduit par une obligation de découpler fonctionnalité de base et collecte optionnelle, et de traiter chaque finalité séparément.
Si vous intégrez de l'IA dans votre entreprise et que vous voulez sécuriser votre conformité RGPD dès la conception, contactez-moi.
À propos de l'auteur
Pierre KasparianÉtudiant ingénieur en fin de cursus à l'UTT (Université de Technologie de Troyes) et freelance en intégration IA. Il déploie des LLM, pipelines RAG et agents IA pour des PME françaises et européennes, avec une attention sur le RGPD et hébergement européen. 11+ réalisations clients, dont Pretto et LiveSession.