Le 01 janvier 2025, le bundle qui associait Canal+ et Disney a pris fin après plusieurs années d’existence, et la séparation se transforme désormais en litige centré sur l’utilisation des données et la vie privée. Selon Mind Media (date de publication non précisée dans les éléments disponibles), Canal+ reproche à Disney d’avoir récupéré, via l’offre conjointe menée entre 2020 et 2024, des informations liées aux abonnés afin de pousser ensuite des campagnes pour Disney+ une fois le partenariat terminé. Le groupe français réclame 137 millions d’euros de dommages et intérêts, un montant qui donne la mesure des enjeux économiques associés à des fichiers clients qualifiés. Au-delà du bras de fer entre deux géants, le dossier met un projecteur très concret sur la confidentialité, la transparence et la protection des données dans les offres packagées, particulièrement quand elles mêlent plateformes de streaming, opérateurs et distribution multi-appareils. En filigrane, une mécanique technique revient au centre du jeu : qui collecte quoi, à quel moment, avec quel consentement, et dans quel but exact.
En Bref
- Selon Mind Media (date non précisée), Canal+ a engagé une action contre Disney et réclame 137 millions d’euros.
- Le partenariat Canal+/Disney se serait déroulé entre 2020 et 2024, avec une fin annoncée au 01 janvier 2025.
- Le cœur du litige porte sur des données personnelles d’abonnés (dont des adresses e-mail) et leur utilisation des données à des fins marketing après la rupture.
- La CNIL a sanctionné le Groupe Canal+ par une délibération du 12 octobre 2023 pour plusieurs manquements au RGPD, un contexte qui rend la bataille sur la conformité encore plus sensible.
- Le Conseil d’État a enregistré plusieurs mémoires dans une procédure liée à Canal+ (15 décembre 2023, 13 mars 2024, 03 décembre 2024, 04 mars 2025), montrant que la question du consentement et de la prospection reste un terrain très disputé.
Canal+ contre Disney : faits connus, calendrier du partenariat et montant réclamé
Le dossier, tel que rapporté par Mind Media (date de publication non précisée dans les éléments disponibles), repose sur une chronologie assez lisible : Canal+ et Disney se sont associés entre 2020 et 2024 pour une offre conjointe mélangeant des chaînes du groupe Canal, des chaînes Disney et un accès à Disney+ ainsi qu’à certains films du studio. La fin officielle de cette formule est datée au 01 janvier 2025. À partir de là, Canal+ estime que Disney aurait continué à exploiter des informations issues des abonnés acquis ou servis dans ce cadre, notamment des adresses e-mail, pour promouvoir Disney+ en direct.
Le montant réclamé — 137 millions d’euros — installe immédiatement l’idée que l’enjeu n’est pas symbolique. Un fichier d’utilisateurs qui ont déjà payé, activé un service, renseigné une adresse, et potentiellement exprimé des préférences de contenu, a une valeur opérationnelle très supérieure à une audience anonyme. Dans la distribution de streaming, la conversion d’un utilisateur “bundle” vers un abonnement autonome est un indicateur clé : elle évite les commissions à un partenaire et réduit la dépendance à un distributeur.
Le fait que l’affaire vise précisément l’après-partenariat est central. Dans une offre packagée, des échanges techniques existent forcément : provisionnement des droits, authentification, gestion du compte, support, facturation, voire mesures anti-fraude. La ligne de fracture juridique se situe souvent entre ce qui est “nécessaire à l’exécution du service” et ce qui relève d’une prospection commerciale. Le RGPD distingue d’ailleurs plusieurs bases légales et impose des obligations de clarté sur la finalité du traitement et la durée de conservation.
Ce que change un bundle sur la circulation des identifiants
Dans un bundle, l’identifiant le plus “portable” est généralement l’adresse e-mail, parce qu’elle sert à la fois de clé de compte et de canal marketing. Techniquement, l’activation peut passer par une redirection (type SSO), un jeton, ou la création d’un compte côté service partenaire. Suivant l’architecture, l’e-mail peut être transmis en clair, haché, ou stocké côté partenaire avec une synchronisation. Chaque option a des implications sur la confidentialité, sur la minimisation des données et sur la sécurité.
Dans une approche stricte “privacy by design”, le partenaire n’a pas besoin d’un e-mail exploitable pour du marketing si l’usage se limite à ouvrir l’accès au service. Un identifiant pseudonymisé, un alias technique ou un jeton d’accès renouvelable peut suffire. À l’inverse, de nombreuses stratégies commerciales reposent sur la réactivation (relance), l’upsell, et le churn management : sans canal direct, la plateforme perd du contrôle sur le cycle de vie.
Un litige qui s’inscrit dans un climat de contrôle accru
Un élément de contexte pèse dans la perception publique : l’Association de défense des libertés numériques La Quadrature du Net a relayé l’existence d’une sanction visant le Groupe Canal+ prononcée par la CNIL le 12 octobre 2023, portant sur des manquements relatifs notamment à la prospection, à l’information des personnes et à des obligations en matière de violation de données. Une analyse de cette décision, mentionnée dans les éléments fournis, évoque aussi un incident où certaines données d’abonnés auraient été rendues accessibles à d’autres pendant 5 heures, avec une absence de notification à la CNIL décrite dans ce résumé. Ces points ne valident pas l’accusation contre Disney, mais ils rendent la question de la protection des données encore plus inflammable pour toutes les parties.
Dans ce type d’affaire, la bataille se joue rarement sur une seule phrase de contrat. Elle se joue sur des logs, des flux, des écrans de consentement, et la cohérence entre ce qui a été annoncé aux abonnés et ce qui a été réalisé. La suite dépendra aussi de la capacité à prouver l’utilisation des données à des fins promotionnelles post-rupture, et pas seulement la possession technique de l’information.
Données personnelles et streaming : où se situe la frontière entre service et prospection
Le streaming n’est pas seulement une bibliothèque de contenus : c’est un empilement de couches techniques qui produisent des traces. Compte utilisateur, historique de visionnage, appareil, système d’exploitation, identifiants publicitaires, localisation approximative, et métriques de qualité de service sont autant d’éléments qui peuvent relever de la donnée personnelle au sens du RGPD dès lors qu’ils permettent d’identifier directement ou indirectement une personne. Dans le litige Canal+ / Disney rapporté par Mind Media (date non précisée), l’accusation cible au moins l’adresse e-mail, donnée personnelle évidente et actionnable.
La frontière “service vs marketing” se matérialise au moment où une donnée est réutilisée pour une finalité différente de celle qui a été expliquée lors de la collecte. L’exécution du contrat peut justifier certaines opérations : activer un accès, gérer la relation client, sécuriser le compte, traiter une demande de support, lutter contre la fraude. La prospection, elle, nécessite en pratique un cadre de consentement ou une base légale robuste, avec une transparence sur les messages envoyés, la possibilité d’opposition, et des durées de conservation maîtrisées.
Pourquoi l’e-mail reste la “clé” la plus disputée
Sur le plan hardware et logiciel, l’e-mail est le point d’ancrage qui traverse les écrans : mobile, Smart TV, console, box opérateur, PC. Là où un identifiant publicitaire peut varier selon l’OS (et être réinitialisé), l’e-mail suit l’utilisateur et permet une orchestration multi-canal : relances, offres de retour, recommandations, et campagnes de lancement. Pour une plateforme comme Disney+, récupérer une base d’abonnés déjà qualifiés via un partenaire réduit le coût d’acquisition client.
Dans un bundle, l’utilisateur perçoit souvent l’ensemble comme un seul produit. Pourtant, côté back-end, il s’agit fréquemment de deux écosystèmes distincts reliés par une passerelle d’activation. Cette asymétrie alimente les incompréhensions : l’abonné pense s’adresser à “son” distributeur, tandis que la plateforme considère avoir une relation directe parce qu’un compte a été créé chez elle. La transparence dépend alors des écrans d’inscription, du texte légal affiché, et des choix proposés.
Le rôle des écrans de consentement et de l’opt-in “partenaires”
Les éléments disponibles mentionnent aussi un contentieux administratif : la “Décision n° 490202 – Conseil d’État” avec des mémoires enregistrés les 15 décembre 2023, 13 mars 2024, 03 décembre 2024 et 04 mars 2025. Le sujet évoqué dans ces extraits concerne le consentement à la prospection via opt-in “partenaires” et une saisine de la CJUE. Ce point est crucial pour les bundles : si l’opt-in est formulé de manière trop large, ou si l’information est insuffisante, la chaîne entière de prospection peut devenir contestable.
Dans un scénario fréquent, une case cochée “recevoir des offres des partenaires” est présentée au moment d’activer le service. La question juridique devient technique : le partenaire est-il identifié clairement, l’utilisateur comprend-il que son e-mail pourra être utilisé par l’autre marque, et la preuve du consentement est-elle conservée avec une traçabilité exploitable. Le streaming a ceci de particulier que l’expérience se fait souvent sur TV, avec une ergonomie parfois pauvre pour lire des notices longues, ce qui augmente l’exigence de clarté.
Une lecture “hardware” du problème rappelle que les flux passent par des appareils et OS multiples : tvOS, Android TV, Fire TV, consoles. Chaque plateforme impose ses propres règles de tracking et d’identification, et la collecte peut différer selon le device. Cette hétérogénéité rend l’audit d’autant plus important : une conformité affichée sur mobile peut être contournée par une activation sur TV si les écrans et SDK ne sont pas alignés.
Comparaison d’offres conjointes : ce que les partenariats révèlent sur la collecte et la transparence
Les partenariats entre services de streaming et distributeurs sont devenus une mécanique de marché. L’objectif est simple : réduire le churn, augmenter la valeur perçue, et simplifier l’accès sur des environnements où la concurrence est à un clic. Les éléments fournis citent un exemple contemporain : Amazon intègre Apple TV+ dans son offre, ce qui offre à Apple TV+ une visibilité accrue et renforce Prime Video comme point d’entrée. Ce type d’accord illustre une tendance : l’utilisateur veut une facture, une interface et une activation rapide, alors que les entreprises veulent, chacune, la relation directe.
Dans ce contexte, la gestion des données personnelles devient le nerf de la guerre. Un bundle efficace exige un minimum de partage : statut d’abonnement, pays, support, parfois langue. Dès qu’un identifiant stable (comme l’e-mail) circule, la question de l’utilisation des données se pose, surtout après la fin de l’accord. Les contrats tentent d’encadrer la réutilisation, mais les systèmes, eux, continuent à produire des logs, des segments, et des historiques si rien n’est purgé ou cloisonné.
Le cas Netflix sur Apple TV : contrôle de l’interface et contrôle de la donnée
Un autre exemple fourni est parlant : Netflix a abandonné l’interface native tvOS sur Apple TV, notamment pour reprendre la main sur la collecte de données provenant de l’environnement Apple TV. Le choix technique a des effets concrets : en contrôlant l’UI, Netflix contrôle les événements mesurés, les identifiants utilisés, et la manière dont le consentement est présenté. Sur le plan produit, cela peut dégrader l’intégration (Siri, “Up Next”, recommandations système), mais cela renforce l’autonomie sur la mesure d’audience et l’optimisation.
Cette décision rappelle que la “confidentialité” n’est pas seulement une affaire de juristes : c’est aussi une affaire de design d’app et de dépendance à un OS. Une application qui utilise les APIs natives d’un système peut être contrainte par des limites de tracking. Une app qui embarque ses propres couches de mesure et d’authentification peut réduire ces contraintes, à condition de respecter les règles de la plateforme et le RGPD.
Tableau comparatif : modèles de distribution et surfaces de collecte
Le tableau ci-dessous simplifie des modèles courants. Il ne décrit pas des contrats précis, mais met en regard des critères mesurables qui influencent directement la protection des données et la transparence : nombre d’écrans de consentement, multiplicité des comptes, et exposition d’un identifiant stable.
| Modèle | Nombre de comptes typique | Identifiant principal transmis | Écrans de consentement typiques | Risque de réutilisation post-contrat (échelle 1-5) |
|---|---|---|---|---|
| Abonnement direct plateforme | 1 | E-mail plateforme | 1 à 2 | 2 |
| Bundle distributeur + plateforme (activation SSO) | 1 à 2 | Jeton + parfois e-mail | 2 à 4 | 4 |
| Intégration “channel” dans une app agrégatrice | 1 à 2 | ID interne + statut d’accès | 1 à 3 | 3 |
| Offre opérateur (box + facturation) + plateforme | 1 à 3 | Ligne/compte opérateur + e-mail | 2 à 5 | 4 |
Sur le terrain, plus il y a d’intermédiaires, plus il y a d’écrans, et plus l’utilisateur se perd dans les finalités. Cette complexité favorise les zones grises : consentement peu lisible, opt-in implicite, ou confusion entre “nécessaire au service” et “utile au marketing”. Une exigence de transparence impose de réduire les chemins d’activation, et de documenter clairement qui devient responsable de traitement pour quelles données.
Ce que l’affaire Canal+ / Disney implique pour la conformité RGPD côté technique (logs, CRM, segmentation)
Pour comprendre ce qui peut être reproché dans un litige centré sur l’utilisation des données, il faut descendre d’un étage : celui des systèmes. Une campagne e-mailing n’apparaît pas par magie. Il faut une source (CRM, CDP, outil d’automatisation marketing), une règle de segmentation, une preuve de base légale (consentement ou autre), et un chemin d’import. Dans un bundle, ces briques peuvent être alimentées par des exports, des API, ou des événements serveur à serveur.
Si Canal+ accuse Disney d’avoir exploité des adresses e-mail après le 01 janvier 2025, l’enjeu probatoire se trouve souvent dans l’audit des flux : quelles tables contenaient des e-mails issus du partenariat, quel tag indiquait l’origine, quelles règles empêchaient un usage marketing, et si ces règles ont été contournées. À ce niveau, la conformité n’est pas un PDF : c’est un paramétrage et des contrôles.
La traçabilité : preuve de consentement et preuve de finalité
Le RGPD impose de pouvoir démontrer la conformité. En pratique, cela implique un enregistrement de l’opt-in : date, canal, texte présenté, version, et identifiant concerné. Dans un environnement multi-device, le texte affiché sur Smart TV peut différer de celui affiché sur web. Une preuve solide exige une gestion de versions, sinon la preuve devient fragile au moment de reconstituer ce que l’abonné a réellement validé.
Les systèmes modernes utilisent souvent des événements : “account_created”, “bundle_activated”, “trial_started”, “partner_offer_optin”. Si un événement “optin_partner” est global, sans distinguer Disney d’autres partenaires, la transparence peut être contestée. À l’inverse, un opt-in nominatif (“Canal+ autorise Disney à…”) est plus clair, mais plus coûteux à maintenir car chaque partenaire impose une variante du flux.
Sécurité opérationnelle : minimisation et cloisonnement
Une stratégie de protection des données robuste passe par la minimisation : ne collecter que ce qui est nécessaire. Dans les bundles, la tentation est grande de tout récupérer “au cas où” pour des analyses futures. Les bonnes pratiques techniques consistent à séparer les environnements, limiter les exports, et imposer des durées d’expiration. Un e-mail en clair dans une table de logs est un risque durable. Un identifiant pseudonymisé avec une clé conservée séparément réduit l’impact.
La mention, dans les éléments fournis, d’une violation rendant certaines données visibles à d’autres abonnés pendant 5 heures souligne un point : les erreurs de configuration arrivent, surtout sur des stacks complexes. Elles ne disent pas tout d’un dossier Canal+ / Disney, mais elles rappellent pourquoi le cloisonnement et la revue de sécurité doivent être permanents sur les portails abonnés, les APIs et les back-offices.
Liste : contrôles techniques concrets attendus dans un partenariat de streaming
- Journalisation des transferts : logs horodatés des exports de fichiers et appels API contenant des identifiants.
- Gestion des consentements : stockage de la version du texte, du canal (TV, web, mobile) et du statut opt-in/opt-out.
- Cloisonnement des environnements : séparation des bases “activation bundle” et “marketing”, avec droits stricts.
- Durées de conservation : purge automatique des identifiants issus du partenariat à une date contractuelle définie.
- Hachage ou tokenisation des e-mails : usage d’identifiants techniques quand l’e-mail n’est pas indispensable.
- Revue de segmentation : validation régulière que les segments marketing n’incluent pas des populations exclues.
Ces contrôles ne règlent pas à eux seuls les conflits contractuels, mais ils réduisent fortement l’espace où une utilisation des données peut se produire sans garde-fous. Sur un marché où les abonnés passent d’un service à l’autre au gré des sorties, la discipline technique devient un avantage compétitif autant qu’une contrainte réglementaire.
Conséquences pour les abonnés : droits, démarches et signaux à surveiller sur la vie privée
Pour les abonnés, ce type de litige entre Canal+ et Disney est souvent perçu comme une querelle entre entreprises. Pourtant, la matière première du conflit concerne des données personnelles et donc des droits individuels : accès, rectification, opposition, effacement, limitation, portabilité selon les cas. Le RGPD impose aussi une information claire sur les finalités et les destinataires. Si un utilisateur reçoit, après la fin d’un bundle, des e-mails promotionnels d’un service qu’il n’a pas l’impression d’avoir autorisé, le premier réflexe utile est de distinguer deux situations : un compte créé explicitement chez la plateforme, ou une activation faite “par-dessus” un compte distributeur.
Dans la pratique, la plupart des services laissent des traces : e-mails de bienvenue, confirmations d’activation, historique de facturation, ou pages “Compte” montrant la provenance de l’abonnement. Sur TV, les écrans défilent vite ; sur mobile, ils sont plus faciles à capturer. Conserver ces éléments aide à objectiver une demande de transparence. Un détail compte : la possibilité de se désinscrire d’une newsletter ne règle pas toujours la question de la base légale initiale, mais elle stoppe au moins le flux marketing.
Ce qu’un abonné peut demander, concrètement
Les demandes RGPD peuvent être formulées au service client ou au DPO (délégué à la protection des données) quand les canaux existent. Une demande d’accès vise à obtenir les données traitées et des informations associées : finalités, catégories, destinataires, durées de conservation. Une opposition vise à stopper un traitement, notamment la prospection. L’effacement demande la suppression, avec des exceptions possibles (obligations légales, défense en justice). Ces démarches sont souvent plus efficaces quand elles sont ciblées et factuelles : date d’activation, e-mail utilisé, service concerné.
Dans un cas de bundle, il peut être nécessaire d’interroger deux entités séparément, parce que chacune peut être responsable de traitement sur son périmètre. Cette réalité est frustrante pour l’utilisateur, mais elle reflète la structure du marché. Une demande bien écrite, avec les références de compte, évite les réponses génériques.
Signaux utiles côté matériel et OS : réglages qui comptent vraiment
Sur le plan hardware, la confidentialité dépend aussi des réglages de l’appareil. Les Smart TV et boîtiers Android TV/Google TV disposent souvent d’options liées à la personnalisation des annonces ou à la collecte de diagnostics. Les Apple TV, via tvOS, gèrent aussi des paramètres de confidentialité et de partage d’analytique. Ces réglages ne remplacent pas le RGPD, mais ils peuvent réduire la quantité de télémétrie envoyée et limiter la corrélation d’usage.
Les consoles (PlayStation, Xbox) ajoutent une couche : comptes plateforme, identifiants, et parfois partage de données pour des “expériences personnalisées”. Quand un service de streaming est consommé via ces appareils, il devient pertinent de vérifier les autorisations au niveau système. Une hygiène simple consiste à vérifier les comptes connectés, supprimer ceux inutilisés, et révoquer les appareils associés dans les pages de gestion de compte des services.
Le point le plus concret, pour un abonné, reste la lisibilité des consentements : une case, une phrase, un partenaire explicitement nommé, et une option de refus aussi accessible que l’acceptation. Quand la transparence se dégrade, les litiges se multiplient, et ce sont les utilisateurs qui récupèrent les coûts cachés sous forme de sollicitations et de perte de contrôle.
On en dit quoi ?
Le scénario le plus probable est une bataille technique autant que juridique, parce que la preuve d’une utilisation des données post-rupture se construit dans les flux, les consentements versionnés et les règles de segmentation. Canal+ a intérêt à documenter précisément l’origine des contacts et la finalité annoncée aux abonnés, car le montant de 137 millions d’euros suppose une démonstration solide du préjudice. Disney, de son côté, devra montrer que la prospection reposait sur une base légale claire, et que les écrans de transparence du bundle couvraient réellement l’usage contesté. Pour le grand public, cette affaire devrait accélérer une exigence simple : des consentements nominativement explicites dans les offres conjointes, surtout quand elles se terminent et que les marques cherchent à récupérer la relation directe.
Quelles données personnelles sont au centre du litige entre Canal+ et Disney ?
Selon Mind Media (date de publication non précisée dans les éléments disponibles), Canal+ accuse Disney d’avoir exploité des informations issues des abonnés du bundle, notamment des adresses e-mail. L’e-mail est une donnée personnelle directement identifiable et très utilisée pour la prospection commerciale, ce qui explique qu’elle soit souvent au cœur des conflits liés à l’utilisation des données.
Que signifie concrètement “utilisation des données” après la fin d’un partenariat ?
Dans ce contexte, cela renvoie à l’usage d’informations collectées pendant une offre conjointe pour mener ensuite des actions marketing (par exemple des campagnes e-mail) au bénéfice d’un service, après la rupture contractuelle. Le point clé est la finalité : ce qui était nécessaire pour fournir le service pendant le bundle n’autorise pas automatiquement une prospection postérieure.
Un abonné peut-il savoir pourquoi il reçoit des e-mails Disney+ après un bundle Canal+ ?
Oui, via les droits RGPD. Une demande d’accès peut viser à obtenir les données traitées, les finalités, les destinataires et l’origine des informations. Il est utile de conserver les e-mails d’activation et de bienvenue liés au bundle, car ils aident à reconstituer le parcours de consentement et à identifier l’entité responsable du traitement.
Quel lien avec la sanction CNIL visant le Groupe Canal+ du 12 octobre 2023 ?
La délibération du 12 octobre 2023, mentionnée dans les éléments disponibles, concerne des manquements RGPD reprochés au Groupe Canal+, notamment autour de la prospection commerciale et de l’information des personnes. Cela ne prouve pas les accusations formulées contre Disney, mais cela place la question de la protection des données et de la transparence au centre d’un environnement déjà fortement surveillé.
