CNIL | SAN-2025-005 | 1er septembre 2025 | Affaire INFINITE STYLES SERVICES CO. LIMITED | ANALYSE CRITIQUE

---

LE TRAITEMENT EN CAUSE : DÉPÔT DE TRACEURS SUR LE TERMINAL DES UTILISATEURS DU SITE SHEIN.COM

 

La délibération SAN-2025-005 concerne les opérations de dépôt et de lecture de cookies sur les terminaux des utilisateurs résidant en France lors de leur navigation sur le sous-domaine français du nom de domaine shein.com, géré, pour le territoire européen, par la société INFINITE STYLES SERVICES CO. LIMITED — filiale irlandaise du groupe SHEIN, dont la maison mère ROADGET BUSINESS PTE LTD est établie à Singapour.

La société INFINITE STYLES SERVICES CO. LIMITED est en charge, depuis le 1er août 2023, de la gestion des sous-domaines européens du nom de domaine shein.com. Elle a été formellement identifiée comme responsable du traitement, sans que ce point ait d’ailleurs été contesté, dès lors que la politique de confidentialité du site indiquait explicitement que «le Site et l’Application sont fournis par Infinite Services Co. Limited, qui est le responsable du traitement et de la protection de vos données à caractère personnel». La structure du groupe est particulièrement éclatée : la distribution en Europe est assurée par INFINITE STYLES ECOMMERCE LIMITED (irlandaise), tandis que la promotion en France incombe à INFINITE STYLES ECOMMERCE FRANCE — détenue à 100 % par la première —, laquelle organise des défilés de mode et des boutiques éphémères sur le territoire national.

La dimension économique du traitement est significative : le site shein.com a reçu, selon les déclarations mêmes de la société, plus de 20 millions de visites en provenance du territoire français entre janvier et juillet 2023, soit en moyenne environ 12 millions de visiteurs uniques par mois. Le chiffre d’affaires du groupe ROADGET BUSINESS PTE LTD pour l’année 2023 était considérable, conférant à cette sanction une portée financièrement très significative à l’échelle des acteurs du commerce en ligne de prêt-à-porter.

---

---

LE CADRE NORMATIF APPLICABLE : ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS ET DIRECTIVE EPRIVACY

 

La formation restreinte opère une clarification normative fondamentale dès l’amorce de son raisonnement : le traitement relatif au dépôt et à la lecture de cookies dans les terminaux des utilisateurs ne relève pas du RGPD, mais de l’article 82 de la loi Informatique et Libertés, qui transpose l’article 5, §3, de la directive 2002/58/CE du 12 juillet 2002, dite directive «ePrivacy».

Cette distinction n’est pas anodine. Elle emporte deux conséquences majeures : d’une part, le mécanisme de coopération dit «guichet unique», qui permet à un responsable de traitement établi dans un État membre donné de ne répondre qu’à son autorité de contrôle de référence (en l’espèce, l’autorité irlandaise, compte tenu de l’établissement irlandais de la société), ne s’applique pas aux opérations de dépôt et de lecture de traceurs relevant de la directive ePrivacy ; d’autre part, c’est la CNIL — et non la DPC irlandaise — qui est matériellement compétente pour engager une procédure de sanction sur ce fondement.

La formation restreinte s’appuie sur une jurisprudence constante et robuste pour asseoir cette position : la décision du Conseil d’État du 28 janvier 2022 (Société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, au Recueil), réaffirmée par la décision du 27 juin 2022 (Société AMAZON EUROPE CORE, n° 451423, aux Tables), selon laquelle «le contrôle des opérations d’accès ou d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, relève de la compétence de la CNIL et que le système du guichet unique prévu par le RGPD n’est pas applicable». Il ne faut cependant pas perdre de vue la distinction que rappelle la formation restreinte entre, d’un côté, le dépôt et la lecture de cookies — relevant de la directive ePrivacy —, et de l’autre, le traitement subséquent opéré à partir des données collectées par ces cookies, qui relève, lui, du RGPD.

---

---

LA COMPÉTENCE TERRITORIALE DE LA CNIL : LA NOTION D’«ÉTABLISSEMENT» SAISIE PAR LA JURISPRUDENCE CJUE

 

La société a vigoureusement contesté la compétence territoriale de la CNIL, en faisant valoir deux arguments distincts : 1., l’absence de lien juridique direct entre INFINITE STYLES SERVICES CO. LIMITED et INFINITE STYLES ECOMMERCE FRANCE, qui n’est pas une filiale de la première mais seulement une filiale commune à la même maison mère ; 2., la prétendue absence de traitement effectué dans le cadre des activités de l’établissement français, dès lors que ce dernier ne promourait ni ne commercialisait aucun espace publicitaire sur le site shein.com et n’exploitait pas les données collectées par les cookies.

La formation restreinte rejette ces deux arguments en mobilisant une grille d’analyse conforme à la jurisprudence de la CJUE.

Sur la notion d’établissement : La Cour de justice a consacré, depuis l’arrêt Google Spain (13 mai 2014, C-131/12, point 48) et l’arrêt Weltimmo (1er octobre 2015, C-230/14, points 30-31), une interprétation souple et fonctionnelle de la notion d’établissement, qui «s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable», appréciée au regard «de la présence de moyens humains et techniques nécessaires à la fourniture de services concrets en question». La formation restreinte retient que la société INFINITE STYLES ECOMMERCE FRANCE constitue bien un établissement de la société INFINITE STYLES SERVICES CO. LIMITED, non pas en raison d’un lien capitalistique direct, mais en raison de leur appartenance au même groupe, de leur qualité commune de filiales de la même maison mère et de la poursuite d’intérêts économiques communs. La circonstance que les deux entités n’entretiennent pas de lien de filiation direct est explicitement jugée sans incidence.

Sur le critère du traitement effectué dans le cadre des activités de l’établissement : La formation restreinte mobilise la jurisprudence AMAZON EUROPE CORE du Conseil d’État pour rappeler qu’un traitement peut être regardé comme effectué dans le cadre des activités d’un établissement national «non seulement si cet établissement intervient lui-même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d’un État membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installs sur les terminaux des visiteurs d’un site». Il n’est pas nécessaire que l’établissement participe directement au traitement en cause ; il suffit qu’il le «facilite ou favorise suffisamment» pour que la compétence territoriale soit fondée.

---

---

LE MANQUEMENT À L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS : TROIS COMPORTEMENTS DISTINCTS CONSTITUTIFS D’UNE ATTEINTE STRUCTURELLE AU CONSENTEMENT

 

La formation restreinte identifie plusieurs comportements distincts, constitutifs de manquements à des branches différentes de l’article 82 de la loi Informatique et Libertés.

A. Le dépôt de traceurs sans recueil préalable du consentement

Au jour du contrôle en ligne conduit le 10 août 2023, la délégation a constaté que plusieurs traceurs à finalité publicitaire étaient déposés sur le terminal des utilisateurs se rendant sur shein.com dès leur arrivée sur le site, avant même qu’ils n’aient interagi avec le bandeau d’information pour exprimer un choix. Cette pratique constitue en elle-même une violation directe et frontale de l’article 82 de la loi Informatique et Libertés, qui exige que l’accès à des informations stockées sur l’équipement terminal d’un utilisateur ne puisse avoir lieu «qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement».

B. L’information insuffisante des utilisateurs

La formation restreinte a relevé l’existence de deux interfaces liées à la gestion des traceurs sur le site, toutes deux incomplètes. Le premier bandeau comportait trois boutons («Paramètres des cookies», «Tout refuser» et «Accepter») mais ne contenait aucune information sur la finalité publicitaire des traceurs. Une seconde fenêtre surgissante, contenant uniquement un bouton d’acceptation, ne fournissait pas davantage d’information sur les finalités. Enfin, aucune information sur l’identité des tiers susceptibles de déposer des traceurs n’était délivrée au second niveau d’information, accessible en cliquant sur «Paramètres des cookies». Ce constat d’opacité informationnelle est d’une gravité particulière car il prive l’utilisateur de toute capacité à former un consentement éclairé, en méconnaissance directe des exigences de l’article 82.

C. L’ineffectivité des mécanismes de refus et de retrait du consentement

La formation restreinte a constaté deux dimensions de ce manquement, qu’elle se refuse à fusionner en un seul grief.

1., lorsqu’un utilisateur cliquait sur le bouton «Tout refuser» présent dans le bandeau, ou décidait de retirer son consentement à l’inscription de traceurs sur son terminal, de nouveaux traceurs étaient néanmoins déposés et d’autres, déjà présents, continuaient d’être lus. Cette ineffectivité du mécanisme de refus initial constitue une violation distincte de l’article 82.

2., s’agissant des opérations de lecture et d’écriture persistantes après le retrait du consentement, la formation restreinte a constaté, à partir d’un fichier HAR compilé par la délégation, que des cookies publicitaires, des cookies de plafonnement publicitaire et un cookie de mesure d’audience continuaient d’être lus dans le navigateur après le retrait du consentement. Plus grave encore, 10 cookies supplémentaires étaient déposés sur le terminal de l’utilisateur après ce retrait, parmi lesquels des cookies à finalité publicitaire déposés par .shein.com (dont uetsid et uetvid) et des tiers (dont le cookie MUID déposé par le domaine .bing.com). La formation restreinte juge cette dernière pratique «particulièrement grave», en ce qu’elle «ne tient pas compte du choix des utilisateurs et va permettre, au contraire, le dépôt de nouveaux cookies sur leurs terminaux par des tiers alors même que les utilisateurs s’attendent à ce que plus aucun cookie non exempt n’y soit déposé, ayant exprimé un choix clair en la matière».

La formation restreinte précise également les solutions techniques disponibles pour assurer l’effectivité du retrait, en référence à sa recommandation du 17 septembre 2020 : la modification de la date d’expiration du cookie ou le blocage des requêtes HTTP vers les domaines tiers. Elle note que la société maîtrisait techniquement l’ensemble des opérations liées aux cookies du domaine shein.com et pouvait, sans difficulté, implémenter l’une de ces mesures.

---

---

LE TRAITEMENT DES MANQUEMENTS DISTINCTS : REFUS DE L’UNICITÉ D’INFRACTION

 

Un argument défensif majeur de la société consistait à soutenir que le dépôt sans consentement et l’ineffectivité du mécanisme de retrait constitueraient un seul et même manquement. La formation restreinte rejette explicitement cette analyse : elle rappelle que le mécanisme de recueil du consentement était défaillant en ce que la société déposait des cookies avant même que les utilisateurs puissent exprimer leur choix, puis que — même dans l’hypothèse où elle collectait leur consentement — elle ne se conformait toujours pas à ses obligations car elle n’offrait pas un mécanisme de retrait effectif. Il s’agit de «deux pratiques distinctes engendrant des manquements à deux branches différentes de l’article 82 de la loi Informatique et Libertés».

Cette qualification autonome des manquements est doctrinalement importante car elle permet à la formation restreinte d’apprécier la gravité globale du traitement de manière cumulative, sans que la société puisse diluer l’étendue de ses défaillances en les agglomérant artificiellement sous une qualification unique.

---

---

LA PRISE EN COMPTE DES MODIFICATIONS APPORTÉES EN COURS DE PROCÉDURE ET LE NON-PRONONCÉ D’INJONCTION

 

La formation restreinte prend acte des modifications apportées par la société au cours de la procédure. Le rapporteur avait initialement proposé une injonction de mise en conformité assortie d’une astreinte, mais a renoncé à cette demande dans sa réponse aux observations, considérant que les mesures déployées rendaient l’injonction sans objet. La formation restreinte partage cette analyse et ne prononce pas d’injonction.

La formation restreinte note cependant, avec une attention particulière, que la société a certes cessé en cours de procédure d’envoyer des requêtes contenant l’identifiant des cookies vers des domaines tiers — ne permettant plus leur lecture depuis son site —, mais elle «considère qu’il conviendrait que la société appelle l’attention de ses partenaires sur le fait que le consentement aux cookies dont ils sont responsables a été retiré». Ce constat nuancé révèle une limite objective de la maîtrise technique d’un responsable de traitement sur les opérations effectuées par des tiers partenaires une fois les requêtes réalisées, limite reconnue par la jurisprudence du Conseil d’État dans sa décision Éditions Croque Futur (9me/10me CR, 6 juin 2018, n° 412589, Rec.).

---

---

LA DÉTERMINATION DU QUANTUM ET LES CRITÈRES DE L’ARTICLE 83 DU RGPD

 

La formation restreinte conduit un examen approfondi des critères pertinents de l’article 83 du RGPD pour fonder la détermination du montant de l’amende administrative.

Sur la nature, la gravité et la durée des violations : La formation restreinte insiste sur le caractère massif du traitement, en relevant que le site shein.com a reçu en moyenne 12 millions de visiteurs uniques par mois en provenance de France, ce qui «reflète la place centrale occupée par la société dans le secteur de la vente en ligne de prêt-à-porter en France». Elle souligne que «les carences de la société en matière de recueil, de refus et de retrait du consentement, ne permettaient pas à l’utilisateur de comprendre raisonnablement l’ampleur des opérations qui étaient effectuées sur son terminal», constituant «une atteinte substantielle au droit au respect à la vie privée des personnes concernées».

Sur le caractère délibéré ou négligent : La formation restreinte tient compte de ce critère, en relevant que la société n’est pas une actrice ignorante des règles applicables en matière de traceurs, d’autant que la CNIL a, depuis 2020, prononcé de nombreuses sanctions publiques pour des manquements similaires — rappel explicite destiné à souligner que les règles en matière de traceurs sont bien connues et largement diffusées, rendant l’ignorance inopposable.

Sur la détermination du plafond légal : La formation restreinte applique les dispositions de l’article 20-IV-7 de la loi Informatique et Libertés, qui prévoit qu’une amende ne peut excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Elle affirme sa position selon laquelle le RGPD, auquel renvoie la loi Informatique et Libertés, a harmonisé les règles relatives à la détermination du montant des amendes, «que l’amende ait vocation sanctionner un manquement au titre du RGPD ou de la loi Informatique et Libertés».

Sur la définition de l’«entreprise» au sens du considérant 150 du RGPD : La formation restreinte précise que l’entreprise, au sens du RGPD, doit s’entendre comme une unité économique regroupant l’ensemble des entités appartenant au groupe, conformément aux articles 101 et 102 du TFUE. Cette qualification permet de calculer le plafond de l’amende sur la base du chiffre d’affaires consolidé du groupe ROADGET BUSINESS PTE LTD, et non de la seule entité sanctionnée.

---

---

LA DIMENSION INSTITUTIONNELLE : RÉAFFIRMATION DE LA COMPÉTENCE NATIONALE EN MATIÈRE DE TRACEURS POUR LES ACTEURS EXTRAEUROPÉENS

 

Cette délibération s’inscrit dans une série cohérente de décisions par lesquelles la CNIL a affirmé et consolidé sa compétence nationale en matière de traceurs à l’égard d’acteurs multinationaux cherchant à se soustraire à l’application du droit français en invoquant le mécanisme du guichet unique.

Le cas SHEIN présente une architecture juridique particulièrement sophistiquée — groupe singapourien, entités irlandaises, filiale française —, qui aurait pu sembler propice à une contestation sérieuse de la compétence de la CNIL. La formation restreinte dénoue cette complexité en mobilisant une méthode d’analyse in concreto et casuistique, fondée sur la substance économique des relations entre entités du groupe plutôt que sur leurs liens capitalistiques formels. Ce faisant, elle s’inscrit dans la continuité directe des délibérations GOOGLE (SAN-2021-023, SAN-2022-020), TikTok (SAN-2022-027), et consacre une interprétation extensive mais solidement motivée de la notion d’établissement territorial, qui dessine une forme de doctrine jurisprudentielle stable sur ce point.

La formation restreinte valide également, pour la première fois dans ce contexte, l’applicabilité du plafond d’amende calculé sur la base du chiffre d’affaires mondial consolidé d’un groupe extraeuropéen aux fins de sanction d’un manquement à l’article 82 de la loi Informatique et Libertés — ce qui constitue une avancée doctrinale notable qui devrait intéresser les praticiens travaillant sur des dossiers impliquant des groupes de structure similaire.

---

---

LA MOTIVATION SUR LA PUBLICITÉ ET LE RÉGIME D’ANONYMISATION DIFFÉRÉE

 

La société contestait la publicité de la sanction, en faisant notamment valoir que cette mesure serait dépourvue d’effet utile pour les utilisateurs compte tenu des mesures de mise en conformité qu’elle avait engagées en cours de procédure, et qu’elle entraînerait des conséquences importantes en termes de réputation. Elle sollicitait, à titre subsidiaire, l’anonymisation de la délibération.

La formation restreinte retient la publicité en raison de «la gravité avérée du manquement en cause, de la position de la société sur le marché et du nombre de personnes concernées, lesquelles doivent être informées». Elle tempère toutefois cette mesure en prévoyant que la délibération n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication — régime d’anonymisation différée désormais systématiquement adopté par la formation restreinte, qui vise à maintenir l’effet dissuasif et informatif à court terme, tout en ménageant à terme les droits de la personne sanctionnée.

---

---

APPRÉCIATION CRITIQUE : POINTS FORTS ET LIMITES DE LA DÉLIBÉRATION

 

Points de force :

La délibération se distingue par la rigueur de son raisonnement sur la compétence territoriale, qui constitue le cœur du litige. La mobilisation systématique et précisément référencée de la jurisprudence de la CJUE (Google Spain, Weltimmo) et du Conseil d’État (GOOGLE LLC, AMAZON EUROPE CORE) confère à la décision une solidité juridique incontestable. La qualification autonome des deux manquements distincts relatifs au retrait du consentement — refusant explicitement leur fusion — est également une avancée doctrinale bienvenue qui clarifie la structure de l’obligation imposée par l’article 82.

La formation restreinte adopte également une démarche pédagogique appréciable en rappelant les solutions techniques disponibles pour assurer l’effectivité du retrait du consentement (modification de la date d’expiration du cookie, blocage des requêtes HTTP vers les domaines tiers), ce qui enrichit la portée normative de la délibération au-delà du seul cas d’espèce.

Points de tension :

La délibération laisse partiellement en suspens la question de l’articulation entre la responsabilité de la société sanctionnée et celle de ses partenaires tiers pour les cookies déposés par ceux-ci après le retrait du consentement. La formation restreinte reconnaît que «la société n’est responsable que des opérations de lecture effectuées depuis son site» et ne peut être tenue de supprimer les cookies tiers, renvoyant à ses partenaires la responsabilité de mettre en place des mécanismes adéquats — ce qui soulève la question de l’effectivité pratique de la protection accordée aux utilisateurs face à des chaînes de responsabilité fragmentées dans l’écosystème publicitaire numérique.

Par ailleurs, si la formation restreinte affirme que le RGPD a harmonisé les règles de détermination des amendes applicables tant aux manquements au RGPD qu’à ceux relevant de la loi Informatique et Libertés, cette position mériterait d’être davantage étayée sur le plan théorique, car elle consiste à appliquer par analogie les critères d’un instrument (le RGPD) à des infractions définies par un autre (la loi Informatique et Libertés transposant la directive ePrivacy) — une opération qui n’est pas, en elle-même, juridiquement évidente et qui pourrait faire l’objet d’une contestation devant le Conseil d’État dans le cadre d’un recours.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-005 du 1er septembre 2025, par laquelle la formation restreinte de la CNIL a infligé à la société INFINITE STYLES SERVICES CO. LIMITED — filiale irlandaise du groupe SHEIN, opérant le site shein.com fréquenté par 12 millions de visiteurs mensuels en France — une amende historique de 150 millions d’euros sur le seul fondement de l’article 82 de la loi Informatique et Libertés, constitue un jalon jurisprudentiel majeur de l’année 2025 en matière de protection des données dans le domaine des communications électroniques. La décision confirme, avec une rigueur sans faille, la compétence pleine et entière de la CNIL à l’égard de tout opérateur déposant des traceurs sur les terminaux d’utilisateurs résidant en France, indépendamment de la localisation de son siège social dans un autre État membre de l’Union européenne et nonobstant l’existence d’un établissement principal en Irlande, le mécanisme du guichet unique du RGPD n’ayant aucune vocation à s’appliquer aux opérations relevant de la directive ePrivacy — « transposée en droit interne à l’article 82 de la loi Informatique et Libertés » —, ainsi que l’avait définitivement consacré le Conseil d’État dans ses arrêts GOOGLE LLC (n° 449209, 28 janvier 2022) et AMAZON EUROPE CORE (n° 451423, 27 juin 2022). Sur le fond, la formation restreinte a retenu quatre manquements distincts à l’article 82, tous d’une gravité caractérisée : dépôt automatique de traceurs publicitaires dès l’arrivée sur le site, avant tout consentement exprimé ; deux bandeaux d’information « ne contenant aucune information sur la finalité publicitaire des traceurs » ; absence totale d’identification nominative des partenaires tiers au second niveau d’information ; et, le plus grave, mécanisme de refus techniquement inopérant — cliquer sur « Tout refuser » ne produisant aucun effet réel, « de nouveaux traceurs étaient pourtant déposés et d’autres, déjà présents, continuaient d’être lus » —, privant ainsi le consentement de toute substance et transformant le bandeau cookies en un instrument de conformité illusoire. Pour fixer le quantum de la sanction, la formation restreinte a mobilisé les critères de l’article 83 du RGPD, en tenant compte de l’ampleur exceptionnelle du traitement, de la pluralité et de la persistance des manquements malgré les lignes directrices publiées dès 2013 et la jurisprudence abondante de la CNIL depuis SAN-2020-012 (GOOGLE, 100 M€) et SAN-2020-013 (FACEBOOK, 60 M€) jusqu’aux plus récentes décisions SAN-2024-019 (ORANGE, 50 M€), SAN-2025-010 (CONDÉ NAST, 750 K€) et SAN-2025-017 (INTERSPORTS, 3,5 M€), tout en prenant en compte, conformément aux exigences de la CJUE formulées dans les arrêts Deutsche Wohnen (C-807/21, 5 décembre 2023) et Ilva A/S (C-383/23, 13 février 2025), la capacité économique réelle de la société — sans que la dégradation financière invoquée par SHEIN pour l’année 2024 n’emporte une réduction significative du montant —, les mesures correctives apportées en cours d’instruction ayant conduit à l’absence de prononcé d’injonction sans pour autant exonérer la société de sa responsabilité pour les faits passés ; cette décision, prononcée le même jour que la sanction de 325 millions d’euros à l’encontre de GOOGLE (SAN-2025-004), traduit une politique répressive de pleine maturité de l’autorité française de protection des données, qui entend désormais peser de tout son poids sur les grandes plateformes du e-commerce international opérant sur le marché français, en leur signifiant que l’obligation de recueil du consentement préalable en matière de cookies n’est ni négociable, ni susceptible d’être contournée par une architecture juridique ou technique de façade.