La CNIL inflige une amende de 325 millions d'euros à Google et de 150 millions d'euros à SHEIN pour avoir enfreint les règles relatives aux cookies

Cookies
Written By Nathalie Pouderoux

L'autorité française de protection des données, la CNIL, a infligé une amende de 150 millions d'euros à la filiale irlandaise du géant de la mode rapide SHEIN pour avoir enfreint les règles relatives au consentement aux cookies. Cette décision, annoncée en septembre 2025, souligne que la conformité en matière de cookies reste l'un des plus grands risques pour les entreprises numériques mondiales opérant en Europe.

À la suite d'une enquête sur shein.com, la CNIL a constaté que des cookies publicitaires étaient automatiquement placés sur les appareils des utilisateurs dès qu'ils visitaient le site web, avant même qu'ils aient pu accepter ou refuser leur utilisation. La bannière relative aux cookies du site web ne fournissait pas non plus d'informations significatives sur les finalités des cookies ou les tiers impliqués.

Plus frappant encore, lorsque les utilisateurs cliquaient sur « Tout refuser », les cookies de suivi continuaient d'être installés et lus, annulant ainsi leur choix. La CNIL a qualifié ces faits de violations graves de l'article 82 de la loi française sur la protection des données, qui met en œuvre la directive européenne ePrivacy, un cadre qui régit les cookies et les traceurs en ligne séparément du RGPD.

Le régulateur a pris en compte l'ampleur des activités de SHEIN, qui compte environ 12 millions de visiteurs français chaque mois, et son incapacité à corriger rapidement ces problèmes. Il en a résulté une amende de 150 millions d'euros, plaçant SHEIN parmi les entreprises les plus lourdement sanctionnées en Europe pour des violations liées aux cookies, aux côtés de Google et Meta.

Le message de la CNIL : les règles relatives aux cookies ne sont pas facultatives

Alors que de nombreuses entreprises partent du principe que la conformité en matière de cookies relève du mécanisme de « guichet unique » du RGPD (qui permet à une seule autorité européenne chargée de la protection des données de prendre les devants), la décision de la CNIL souligne que la directive ePrivacy fonctionne en dehors de ce cadre. Cela signifie que l'autorité française de régulation peut directement enquêter et sanctionner les entreprises si leurs pratiques en matière de cookies affectent les utilisateurs en France, même si le siège social de l'entreprise se trouve ailleurs dans l'UE.

La CNIL a fait de l'application de la réglementation sur les cookies une priorité stratégique depuis 2020, infligeant des amendes record à Google, Amazon et TikTok. Cette dernière affaire confirme que les bannières vagues, le suivi par défaut et les mécanismes de consentement incomplets ne sont plus acceptables.

Points clés à retenir pour les entreprises

Pour toute entreprise utilisant des cookies ou des technologies de suivi similaires, cette décision offre plusieurs enseignements essentiels, notamment les suivants :

  1. Le consentement doit être actif et explicite : aucun cookie ne doit être placé tant que l'utilisateur n'a pas cliqué sur « Accepter ». Le consentement implicite ou les options pré-cochées ne sont pas conformes.

  2. Les informations doivent être complètes et accessibles : les utilisateurs doivent savoir qui collecte leurs données, à quelles fins et comment ils peuvent modifier leurs choix.

  3. Respecter les refus et les retraits : les systèmes doivent être conçus de manière à ce que « Tout refuser » signifie « aucun suivi » et que tous les cookies précédemment installés cessent immédiatement de fonctionner.

  4. Vérifier les risques liés à l'application de la loi au niveau local : même si votre siège social est situé en dehors de la France, le fait de cibler des utilisateurs français vous place sous la juridiction de la CNIL en matière de cookies.

  5. Faire de la conformité un avantage commercial : des pratiques de consentement transparentes réduisent non seulement les risques, mais peuvent également renforcer la confiance dans la marque et démontrer une gestion éthique des données.

L'action de la CNIL contre SHEIN montre que les régulateurs ne tolèrent plus la « conformité cosmétique ». Les fenêtres contextuelles de cookies qui induisent en erreur, influencent ou ignorent les choix des utilisateurs feront l'objet de mesures coercitives et, pour les grandes plateformes, les coûts financiers et en termes de réputation peuvent être énormes. Pour les entreprises numériques, c'est l'occasion de repenser la manière dont elles gèrent le consentement des utilisateurs.

Comment Gerrish Legal peut vous aider?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante pour Gerrish Legal

Nathalie Pouderoux
Next

Avez-vous besoin d'une politique en matière d'IA ?