Le 6 mars 2026, le Canard enchaîné a publié un article portant sur le partage, par La Poste, des données à caractère personnel de ses clients avec des entités commerciales lors de la souscription d’un contrat de réexpédition de courrier, malgré l’opposition des clients.
Auprès du Canard, La Poste plaide un « dysfonctionnement ponctuel sur une période inférieure à un mois ».
Or, La Poste pratique cela depuis 2017 a minima. Comme l’expose le Volatile, il s’agit d’un secret de polichinelle puisque de très nombreux témoignages sont disponibles en ligne.
Fidèle à son habitude, la CNIL, pourtant saisie de réclamations, n’a jamais mis fin au mauvais comportement structurel de La Poste.
Nous avons écrit à la CNIL pour l’informer de cette situation et pour exiger, pour la énième fois, des mesures correctrices fortes à l’encontre des malfaisants en matière de protection des données personnelles comme La Poste.
Nous appelons également la CNIL à traiter nos plaintes vieilles de 11 mois portant sur une autre pratique abusive de La Poste, son « référentiel clients », dont la manifestation la plus visible est la demande, voire l’exigence, de fournir des coordonnées (numéro de téléphone, adresse emails) pour acheter des timbres classiques au guichet.
Ci-dessous, notre message à la CNIL :
Bonjour,
L’association Pour un RGPD respecté (PURR) entend réagir à l’article « La Poste a partagé les données personnelles de ses clients sans leur accord » publié le 6 mars 2026 par Le Canard enchaîné (https://www.lecanardenchaine.fr/technologie-sciences/53209-la-poste-a-partage-les-donnees-personnelles-de-ses-clients-sans-leur-accord) dont vous trouverez une copie en pièce jointe (page 1).
Notez que le titre de l’article devrait être : La Poste a partagé les DCP de ses clients MALGRÉ leur opposition.
Nous recopions les paragraphes centraux de cet article de presse :
« […] A la fin de l’année dernière, Audrey quitte la région parisienne pour s’installer à Grenoble. Elle fait suivre son courrier. Prudente – en témoigne son contrat, consulté par « Le Canard » –, elle prend soin de cocher la case lui permettant de refuser que ses « données soient utilisées pour recevoir des offres commerciales par courrier de La Poste, ses filiales et des entreprises ou collectivités proches de [sa] nouvelle adresse ». Las ! le facteur s’est affranchi de sa demande.
[…]
Son cas n’est pas isolé. Sur la Toile, les forums regorgent de clients mécontents ayant vécu la même mésaventure depuis plus de cinq ans. Auprès du Volatile, pourtant, l’entreprise publique ne reconnaît qu’un « dysfonctionnement ponctuel sur une période inférieure à un mois en 2025. L’anomalie a été rapidement corrigée, les partenaires concernés informés, et l’incident déclaré à la Commission nationale de l’informatique et des libertés ». Est-ce à dire que le cachet de La Poste ne fait ni foi ni loi ? »
Comme l’écrit le Canard, ce comportement de La Poste (LP) est ancien et persistant.
En effet, dès le 8 avril 2017, l’un de nos membres a saisi la CNIL de la réclamation numéro 17007970 (il en détient toujours copie intégrale qu’il tient à votre disposition). La CNIL s’est contentée d’emettre ce qu’elle nomme un rappel aux obligations, c’est-à-dire un courriel informel rédigé au conditionnel et signé par un agent lambda de la CNIL qui ne saurait, dès lors, par sa forme, être la mesure correctrice prévue à l’article 20(III) I&L.
Comme bien trop souvent, la CNIL a uniquement cherché à résoudre la situation personnelle du plaignant, sans chercher à faire retourner LP à la conformité, sans chercher à résoudre le manquement structurel de LP au RGPD, duquel, de surcroît, elle tire un profit économique.
Il découle de la persistance du manquement que, comme bien trop souvent, la nécessaire réaction de la CNIL n’était pas adéquate et proportionnée au manquement duquel elle était saisie.
Un autre de nos membres s’est exprimé à ce sujet, sur le web, en 2022, et a fait coaguler, en réponse, des témoignages identiques. Voir ici, également en PJ (page 2). La CNIL a eu connaissance de ces éléments dans la réclamation 44-67235 toujours pendante.
Et donc, en ce début 2026, LP reconnaît, auprès du Canard, un « dysfonctionnement ponctuel » alors que le Canard identifie, à juste titre, une abondance de témoignages sur le web durant les cinq dernières années. On en trouve également en commentaire de l’article sur les réseaux sociaux ouverts au public, cf. PJ (page 3).
Nous rappelons que nos membres nous remontent que, trop souvent, les RT plaident un « dysfonctionnement ponctuel » ou une « erreur temporaire », notamment dans la réception des demandes d’exercice de droits RGPD, alors que c’est factuellement inexact. LP est un cas d’école, tel que cela vient d’être montré. Et, là encore, la CNIL laisse systématiquement les RT impunis.
La case à cocher d’opposition, située en bas du formulaire de réexpédition, noyée dans les mentions légales, et rédigée en petits caractères, constitue, a minima, l’apparence trompeuse « En toute discrétion » de la taxinomie dégagée par le LINC. C’est ainsi depuis 2017 a minima.
À nouveau, la CNIL n’intervient pas. Pour publier de la documentation insipide, imprécise, et inutile, y compris aux DPO de bonne foi, votre Commission est toujours là. Pour agir concrètement, elle est en permanence absente.
Cela fait donc a minima neuf ans que LP contrevient ouvertement à la législation sur la protection des DCP. Neuf ans a minima que la CNIL en est informée. Neuf ans d’impunité. Neuf ans d’inaction de la CNIL. Rien ne saurait justifier cela.
La signature d’un contrat de réexpédition du courrier est également l’un des déclencheurs de l’inscription dans le traitement de DCP « référentiel clients » de LP, qui fait l’objet des réclamations 44-92409 et 44-xxx. En commentaire de l’article du Canard sur les réseaux sociaux, vous trouverez d’ailleurs un énième témoignage relatif à ce traitement de DCP abusif de LP (PJ, page 3, message de « bazou » immédiatement postérieur à ceux encadrés en rouge par nos soins).
Onze mois que la CNIL est saisie. Onze mois que les témoignages affluent de toute la France. Onze mois qu’un de nos membres relance la CNIL pour lui signaler une urgence à agir face à une massification du traitement par LP. Onze mois que, comme à son habitude depuis sa création, la CNIL sommeille et ne lui délivre aucune information sur le traitement de sa récla.
Dès lors, il ne reste que la question que notre association vous pose inlassablement depuis des années : à quoi la CNIL joue-t-elle ? Quand allez-vous enfin adopter les nécessaires mesures correctrices fortes, adéquates et proportionnées à l’encontre de LP ? Pourquoi cette infinie indulgence envers les malfaisants notoires en matière de DCP, dont LP ?
Cordialement,