CNIL | SAN-2025-005 | 1ER SEPTEMBRE 2025 | AFFAIRE INFINITE STYLES SERVICES CO. LIMITED |
INFINITE STYLES SERVICES CO. LIMITED | SHEIN DÉPOSE DES TRACEURS PUBLICITAIRES SUR 12 MILLIONS DE TERMINAUX FRANÇAIS MALGRE LE REFUS EXPRESSE DES UTILISATEURS DE SES SERVICES
FAST FASHION, FAST COOKIES, FAST PENALTY
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
À DESTINATION DES RESPONSABLES DE TRAITEMENT
Q1 — Un cookie publicitaire peut-il être déposé sur le terminal d’un utilisateur dès son arrivée sur mon site, avant qu’il n’interagisse avec le bandeau d’information ?
Non, en aucun cas. L’article 82 de la loi Informatique et Libertés est catégorique : tout traceur soumis à consentement ne peut être déposé sur le terminal de l’utilisateur qu’après que celui-ci a exprimé un consentement libre, spécifique, éclairé et univoque, se manifestant par un acte positif clair. C’est précisément le premier manquement retenu par la CNIL dans l’affaire SHEIN : des traceurs publicitaires étaient déposés dès l’arrivée sur le site, « avant même que les utilisateurs n’interagissent avec le bandeau d’information pour exprimer un choix ». Ce type de configuration technique — souvent résultant d’un chargement non conditionnel des scripts tiers — est considéré par la formation restreinte comme l’une des violations les plus caractérisées de l’article 82.
Q2 — Mon bandeau cookies comporte trois boutons distincts (paramètres, refuser, accepter) : est-ce suffisant pour être conforme ?
Non. La présence formelle de boutons distincts ne suffit pas à garantir la conformité du bandeau cookies. Dans l’affaire SHEIN, la formation restreinte a expressément relevé que le premier bandeau — comportant pourtant les boutons « Paramètres des cookies », « Tout refuser » et « Accepter » — « ne contenait aucune information sur la finalité publicitaire des traceurs ». Un bandeau formellement complet mais qualitativement vide d’information sur les finalités ne satisfait pas à l’exigence d’un consentement éclairé. Les lignes directrices et la recommandation de la CNIL de 2020 imposent que le premier niveau d’information permette à l’utilisateur de comprendre pourquoi des traceurs vont être déposés sur son terminal, et notamment que leur finalité est publicitaire lorsque tel est le cas.
Q3 — Dois-je indiquer l’identité de mes partenaires tiers dans l’interface de gestion des cookies, ou une simple mention des catégories de finalités suffit-elle ?
L’identification nominative des partenaires tiers est une exigence qualitative du second niveau d’information, dont l’absence constitue un manquement distinct à l’article 82 de la loi Informatique et Libertés. Dans l’affaire SHEIN, la formation restreinte a retenu comme grief autonome le fait qu’« aucune information sur l’identité des tiers susceptibles de déposer des traceurs n’était délivrée à ce second niveau d’information ». La mention de catégories génériques de finalités, sans identification des acteurs qui déposeront effectivement des traceurs, ne permet pas à l’utilisateur d’exercer un consentement spécifique au sens de l’article 4, §11, du RGPD. Il convient donc de maintenir à jour une liste nominative de vos partenaires tiers, intégrée au second niveau d’information de votre CMP.
Q4 — Si mon bouton « Tout refuser » fonctionne normalement lors des tests internes mais que des cookies sont malgré tout déposés après un refus, quelle est ma responsabilité ?
Votre responsabilité en tant que responsable de traitement est pleine et entière, quelle que soit la cause technique du dysfonctionnement. Dans l’affaire SHEIN, la formation restreinte a constaté que cliquer sur « Tout refuser » ne produisait pas l’effet attendu : « de nouveaux traceurs étaient pourtant déposés et d’autres, déjà présents, continuaient d’être lus ». Que ce dysfonctionnement résulte d’une erreur de configuration de votre CMP, d’un conflit avec les scripts de partenaires tiers ou d’une mise à jour insuffisamment testée, vous ne pouvez vous exonérer de cette responsabilité. Il est indispensable de mettre en place des tests post-déploiement systématiques utilisant les outils de débogage des navigateurs ou des solutions d’audit spécialisées (inspecteur de cookies, outils d’analyse du trafic réseau), et de documenter ces tests dans le cadre de votre démarche d’accountability.
Q5 — La CNIL est-elle compétente pour contrôler et sanctionner mon site web en matière de cookies si mon siège social est établi dans un autre État membre de l’Union européenne (par exemple en Irlande ou au Luxembourg) ?
Oui, sans aucune exception en matière de cookies. La délibération SAN-2025-005 confirme que la localisation du siège social dans un autre État membre de l’Union européenne ne constitue pas un obstacle à la compétence de la CNIL. La formation restreinte rappelle expressément que « le mécanisme de coopération prévu par le RGPD (mécanisme de “guichet unique”) n’a pas vocation à s’appliquer dans cette procédure dans la mesure où les opérations liées à l’utilisation de traceurs relèvent non pas du RGPD mais de la directive “ePrivacy” », transposée à l’article 82 de la loi Informatique et Libertés. Cette position est solidement validée par la jurisprudence administrative : le Conseil d’État a confirmé dans ses arrêts GOOGLE LLC (n° 449209, 28 janvier 2022) et AMAZON EUROPE CORE (n° 451423, 27 juin 2022) que la CNIL est compétente pour contrôler les dépôts de traceurs sur les terminaux d’utilisateurs en France, même lorsque l’opérateur dispose d’un siège social dans un autre État membre.
Q6 — Quel est le risque financier d’une non-conformité en matière de cookies pour un opérateur de grande envergure ?
Le risque est considérable et directement proportionnel au nombre de personnes concernées. Dans l’affaire SHEIN, avec 12 millions de visiteurs mensuels en France, la CNIL a prononcé une amende de 150 millions d’euros. Ce montant est déterminé en application des critères de l’article 83 du RGPD, parmi lesquels figurent notamment le nombre de personnes concernées, la nature et la gravité de la violation, le fait que la violation ait été commise délibérément ou par négligence, et la capacité économique de l’organisme. La CJUE a rappelé dans les arrêts Deutsche Wohnen (C-807/21, 5 décembre 2023) et Ilva A/S (C-383/23, 13 février 2025) que l’amende doit être « déterminée en fonction de la capacité économique réelle ou matérielle de son destinataire » pour être effective, proportionnée et dissuasive.
Q7 — Une mise en conformité effectuée en cours de procédure est-elle de nature à éviter une sanction pécuniaire ?
Non. Les mesures de mise en conformité adoptées en cours de procédure n’exonèrent pas le responsable de traitement de sa responsabilité pour les faits passés. Dans l’affaire SHEIN, la formation restreinte a expressément retenu ce principe tout en prenant acte des modifications apportées au site : les mesures correctives ont conduit à l’absence de prononcé d’une injonction de mise en conformité, mais elles n’ont pas empêché le prononcé de l’amende de 150 millions d’euros. Ce principe est constant dans la jurisprudence de la CNIL, qui le rappelle dans chaque délibération récente (voir notamment SAN-2025-017, INTERSPORTS : « les mesures de mise en conformité adoptées ne sauraient exonérer la société de sa responsabilité pour les faits passés »). La mise en conformité préventive, effectuée avant tout contrôle, est donc le seul vecteur de sécurité juridique.
Q8 — La CNIL distingue-t-elle le consentement initial de la possibilité de retrait du consentement ? Ces deux dimensions font-elles l’objet d’exigences distinctes ?
Oui, absolument. L’article 82 de la loi Informatique et Libertés garantit non seulement le droit à un consentement préalable, mais aussi le droit au retrait du consentement à tout moment. La formation restreinte rappelle que cet article « offre nécessairement à l’utilisateur la possibilité de refuser ce dépôt, ou de revenir sur son choix d’accepter que des cookies et/ou traceurs soient déposés sur son terminal en retirant son consentement ». Dans l’affaire SHEIN, les deux dimensions ont été violées : absence de consentement préalable d’une part, et ineffectivité du retrait du consentement (cliquer sur « Tout refuser » ne produisant aucun effet réel) d’autre part. Ces deux griefs sont distincts et peuvent chacun fonder une sanction autonome.
Q9 — Dois-je procéder à une nouvelle demande de consentement si je modifie la liste de mes partenaires tiers ou si j’intègre de nouvelles finalités de cookies ?
Oui. Le consentement recueilli est valable pour les finalités et les partenaires pour lesquels il a été donné. Toute modification substantielle de la liste des partenaires tiers déposant des traceurs ou l’introduction de nouvelles finalités nécessite un nouveau recueil de consentement, conforme aux exigences de l’article 82 de la loi Informatique et Libertés. À défaut, l’information délivrée aux utilisateurs serait inexacte et le consentement recueilli sur la base d’une information erronée ne serait pas « éclairé » au sens de l’article 4, §11, du RGPD. Il est donc indispensable de maintenir un processus de gouvernance de la liste des partenaires tiers, incluant une validation juridique préalable à toute intégration nouvelle, assortie si nécessaire d’une remise à jour de l’interface de gestion des consentements.
Q10 — Comment documenter ma conformité en matière de cookies pour me prémunir contre un contrôle de la CNIL ?
Le principe de responsabilité (accountability) issu de l’article 5-2 du RGPD impose au responsable de traitement d’être en mesure de démontrer la conformité de ses traitements. En matière de cookies, la documentation probante doit comprendre : (i) la liste exhaustive et actualisée des traceurs déposés sur chaque page du site, distinguant les traceurs exemptés de consentement de ceux soumis à consentement ; (ii) les captures d’écran et logs techniques attestant du comportement de la CMP lors du chargement des pages, notamment l’absence de dépôt de traceurs avant interaction de l’utilisateur ; (iii) les rapports de tests effectués après chaque mise à jour du site ou de la configuration de la CMP, démontrant l’effectivité des mécanismes de refus ; (iv) la liste nominative des partenaires tiers intégrée au second niveau d’information, avec traçabilité des mises à jour ; (v) les preuves du consentement recueilli, conformément aux exigences de l’article 7, §1, du RGPD. Cette documentation doit être conservée et mise à jour en continu.
À DESTINATION DES PERSONNES CONCERNÉES
Q11 — Qu’est-ce qu’un cookie publicitaire et en quoi me concerne-t-il concrètement ?
Un cookie publicitaire est un fichier déposé sur votre terminal (ordinateur, smartphone, tablette) lorsque vous visitez un site web. Il permet à des régies publicitaires et à leurs partenaires de reconnaître votre navigateur lors de vos prochaines visites sur d’autres sites, de reconstituer votre profil de consommateur à partir de votre historique de navigation, et de vous adresser des publicités personnalisées correspondant à vos centres d’intérêt détectés. Dans l’affaire SHEIN, ces traceurs publicitaires étaient déposés sur les terminaux de 12 millions de personnes résidant en France chaque mois, sans que celles-ci n’aient donné leur accord préalable. C’est précisément cette pratique que la CNIL a sanctionnée à hauteur de 150 millions d’euros.
Q12 — Cliquer sur « Tout refuser » sur un site web garantit-il que je ne serai pas tracé(e) ?
Théoriquement oui, mais l’affaire SHEIN révèle que, dans la pratique, ce n’est pas toujours le cas. La CNIL a constaté que cliquer sur « Tout refuser » sur shein.com « ne produisait pas l’effet attendu » : de nouveaux traceurs continuaient à être déposés et ceux déjà présents continuaient à être lus. Si vous souhaitez vérifier que votre refus est bien respecté, vous pouvez utiliser l’inspecteur de cookies de votre navigateur (accessible via F12 → onglet « Application » ou « Stockage ») pour vérifier si des cookies tiers sont présents après avoir cliqué sur « Tout refuser ». Des extensions comme uBlock Origin, Privacy Badger ou Consent-O-Matic peuvent également bloquer automatiquement les traceurs non consentis.
Q13 — Comment signaler à la CNIL une pratique de dépôt de cookies sans consentement ?
Vous pouvez déposer une plainte en ligne sur le site de la CNIL (https://www.cnil.fr/fr/plaintes). Il est conseillé de joindre à votre plainte des captures d’écran du bandeau cookies du site en question, ainsi que, si possible, un export de la liste des cookies constatés via l’inspecteur de votre navigateur (F12 → onglet « Application » → « Cookies »). La CNIL peut décider, en fonction du volume de plaintes reçues et de l’importance des manquements constatés, d’ouvrir une procédure de contrôle. L’affaire SHEIN s’est initiée sur la base d’un contrôle en ligne effectué d’office par la délégation de la CNIL en août 2023, sans nécessairement s’appuyer sur des plaintes individuelles.
Q14 — L’amende de 150 millions d’euros infligée à SHEIN me sera-t-elle restituée en tout ou partie ?
Non. Les amendes prononcées par la CNIL sont versées au Trésor public et ne donnent pas lieu à indemnisation des personnes concernées. La sanction pécuniaire a une fonction punitive et dissuasive à l’égard de l’organisme sanctionné, et non une fonction indemnitaire à l’égard des victimes. Si vous estimez avoir subi un préjudice personnel du fait des pratiques de SHEIN en matière de traceurs (atteinte à la vie privée, utilisation de vos données à des fins publicitaires sans consentement), vous pouvez envisager d’exercer une action en responsabilité civile devant les juridictions compétentes, ou de vous joindre à une action collective (action de groupe) si une telle procédure venait à être initiée.
POINTS ESSENTIELS
La délibération SAN-2025-005 du 1er septembre 2025, par laquelle la formation restreinte de la CNIL a infligé à la société INFINITE STYLES SERVICES CO. LIMITED — filiale irlandaise du groupe SHEIN, opérant le site shein.com fréquenté par 12 millions de visiteurs mensuels en France — une amende historique de 150 millions d’euros sur le seul fondement de l’article 82 de la loi Informatique et Libertés, constitue un jalon jurisprudentiel majeur de l’année 2025 en matière de protection des données dans le domaine des communications électroniques. La décision confirme, avec une rigueur sans faille, la compétence pleine et entière de la CNIL à l’égard de tout opérateur déposant des traceurs sur les terminaux d’utilisateurs résidant en France, indépendamment de la localisation de son siège social dans un autre État membre de l’Union européenne et nonobstant l’existence d’un établissement principal en Irlande, le mécanisme du guichet unique du RGPD n’ayant aucune vocation à s’appliquer aux opérations relevant de la directive ePrivacy — « transposée en droit interne à l’article 82 de la loi Informatique et Libertés » —, ainsi que l’avait définitivement consacré le Conseil d’État dans ses arrêts GOOGLE LLC (n° 449209, 28 janvier 2022) et AMAZON EUROPE CORE (n° 451423, 27 juin 2022). Sur le fond, la formation restreinte a retenu quatre manquements distincts à l’article 82, tous d’une gravité caractérisée : dépôt automatique de traceurs publicitaires dès l’arrivée sur le site, avant tout consentement exprimé ; deux bandeaux d’information « ne contenant aucune information sur la finalité publicitaire des traceurs » ; absence totale d’identification nominative des partenaires tiers au second niveau d’information ; et, le plus grave, mécanisme de refus techniquement inopérant — cliquer sur « Tout refuser » ne produisant aucun effet réel, « de nouveaux traceurs étaient pourtant déposés et d’autres, déjà présents, continuaient d’être lus » —, privant ainsi le consentement de toute substance et transformant le bandeau cookies en un instrument de conformité illusoire. Pour fixer le quantum de la sanction, la formation restreinte a mobilisé les critères de l’article 83 du RGPD, en tenant compte de l’ampleur exceptionnelle du traitement, de la pluralité et de la persistance des manquements malgré les lignes directrices publiées dès 2013 et la jurisprudence abondante de la CNIL depuis SAN-2020-012 (GOOGLE, 100 M€) et SAN-2020-013 (FACEBOOK, 60 M€) jusqu’aux plus récentes décisions SAN-2024-019 (ORANGE, 50 M€), SAN-2025-010 (CONDÉ NAST, 750 K€) et SAN-2025-017 (INTERSPORTS, 3,5 M€), tout en prenant en compte, conformément aux exigences de la CJUE formulées dans les arrêts Deutsche Wohnen (C-807/21, 5 décembre 2023) et Ilva A/S (C-383/23, 13 février 2025), la capacité économique réelle de la société — sans que la dégradation financière invoquée par SHEIN pour l’année 2024 n’emporte une réduction significative du montant —, les mesures correctives apportées en cours d’instruction ayant conduit à l’absence de prononcé d’injonction sans pour autant exonérer la société de sa responsabilité pour les faits passés ; cette décision, prononcée le même jour que la sanction de 325 millions d’euros à l’encontre de GOOGLE (SAN-2025-004), traduit une politique répressive de pleine maturité de l’autorité française de protection des données, qui entend désormais peser de tout son poids sur les grandes plateformes du e-commerce international opérant sur le marché français, en leur signifiant que l’obligation de recueil du consentement préalable en matière de cookies n’est ni négociable, ni susceptible d’être contournée par une architecture juridique ou technique de façade.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats