CNIL | SAN-2025-005 | 1er septembre 2025 | Affaire INFINITE STYLES SERVICES CO. LIMITED | SAN-2025-005-ESSENTIELS

1. La CNIL est seule compétente pour sanctionner les traceurs déposés en France, même par un responsable de traitement établi en Irlande.

La société SHEIN (INFINITE STYLES SERVICES CO. LIMITED), entité irlandaise, avait soutenu que la DPC irlandaise était l’unique autorité compétente via le mécanisme du guichet unique. La formation restreinte rejette cette thèse en rappelant une jurisprudence désormais solidement établie : le guichet unique du RGPD (article 56) ne s’applique pas aux opérations relevant de la directive ePrivacy, transposée à l’article 82 de la loi Informatique et Libertés. Pour les traceurs, la CNIL est souverainement compétente à l’égard de tout responsable de traitement dont un établissement — même dépourvu de lien capitalistique direct — facilite ou favorise le déploiement de ces traceurs sur le territoire français. En l’espèce, la société INFINITE STYLES ECOMMERCE FRANCE, qui promeut les produits SHEIN en France par des défilés et boutiques éphémères, constitue un tel établissement au sens de l’article 3, I, de la loi Informatique et Libertés, même si elle n’est pas une filiale directe de la société sanctionnée. Ce faisant, la délibération SAN-2025-005 consolide une jurisprudence qui soustrait structurellement le contrôle des cookies à toute tentative d’évitement par le biais d’une implantation dans un État membre à régulation plus souple.

2. Trois manquements distincts à l’article 82 LIL, correspondant aux trois temps du cycle du consentement.

La violation retenue n’est pas monolithique : la formation restreinte identifie trois branches autonomes du manquement à l’article 82 LIL, correspondant aux trois moments structurants du cycle du consentement en matière de traceurs. Le premier manquement tient au dépôt de traceurs à finalité publicitaire sur le terminal de l’utilisateur avant toute interaction avec l’interface de gestion des cookies, en violation de la règle de séquentialité — information, puis consentement, puis dépôt — qui est absolue et non négociable. Le deuxième manquement tient à l’insuffisance qualitative de l’information délivrée : aucun des deux bandeaux/interfaces proposés ne mentionnait les finalités publicitaires ni l’identité des tiers déposants, rendant structurellement impossible un consentement libre et éclairé. Le troisième manquement — qualifié de « particulièrement grave » — tient à l’ineffectivité des mécanismes de refus et de retrait : malgré l’expression d’un refus ou d’un retrait explicite, des traceurs continuaient d’être déposés et lus, parmi lesquels des cookies déposés par des tiers (.bing.com) que l’utilisateur ne pouvait manifestement pas anticiper. La reconnaissance de ces trois branches comme manquements distincts interdit toute tentative de minimisation par fusion artificiellement réductrice des griefs.

3. Le caractère massif du traitement comme facteur central d’aggravation.

La formation restreinte accorde une importance déterminante au volume des personnes affectées par les manquements constatés. Le site shein.com a accueilli en moyenne 12 millions de visiteurs uniques mensuels résidant en France durant la période en cause, et plus de 20 millions de visites en provenance du territoire français sur les sept premiers mois de 2023. Ce volume industriel transforme chaque défaillance constatée — dépôt sans consentement, information lacunaire, retrait ignoré — en une atteinte aux droits de millions de personnes, dont la vie privée numérique a été méconnue de manière continue, massive et systématique. La formation restreinte souligne que ce caractère massif reflète la place centrale de SHEIN dans le secteur de la vente en ligne de prêt-à-porter, ce qui a pour effet non seulement d’aggraver la gravité intrinsèque des manquements, mais aussi de justifier la publicité de la sanction au motif que les personnes concernées — au nombre desquelles des millions de consommateurs français — doivent être informées de ces pratiques et de leur traitement par l’autorité de contrôle.

4. La mise en conformité en cours de procédure : une circonstance atténuante qui prive d’injonction, mais n’efface pas le manquement.

Un trait notable de la délibération SAN-2025-005 est l’absence d’injonction de mise en conformité dans le dispositif, alors même que le rapporteur en avait initialement proposé une dans son rapport du 18 février 2025. La raison en est que la société a procédé, en cours de procédure, aux modifications techniques nécessaires pour mettre fin aux manquements constatés, ce qui a conduit le rapporteur à retirer cette proposition dans sa réponse aux observations de la société. La formation restreinte confirme qu’il n’y a pas lieu de prononcer d’injonction. Cette issue est importante car elle signale que la mise en conformité diligente en cours de procédure peut avoir un effet sur les mesures correctrices prononcées, et qu’elle est prise en compte dans la détermination du montant de l’amende. Elle ne permet cependant pas d’effacer rétroactivement le manquement constitué au jour du contrôle, et ne dispense pas la société de l’obligation d’informer ses partenaires tiers du retrait du consentement des utilisateurs, les cookies tiers n’ayant pas été supprimés par la société elle-même.

5. L’harmonisation des amendes entre RGPD et directive ePrivacy : une assiette mondiale pour un manquement à la loi française.

La délibération SAN-2025-005 applique, pour la détermination du montant de l’amende, les critères de l’article 83 du RGPD, par renvoi de l’article 20 de la loi Informatique et Libertés. Ce renvoi, qui traduit le choix du législateur français d’harmoniser les règles de sanction en matière de protection des données personnelles — qu’il s’agisse d’un manquement au RGPD ou à la loi Informatique et Libertés — a une conséquence pratique décisive : le plafond de l’amende est calculé sur le chiffre d’affaires annuel mondial total du groupe, et non sur celui de la seule entité sanctionnée. En application du considérant 150 du RGPD, la notion d’« entreprise » s’entend au sens des articles 101 et 102 du TFUE, englobant l’ensemble du groupe économique. Le chiffre d’affaires de référence est donc celui de ROADGET BUSINESS PTE LTD, maison mère singapourienne du groupe SHEIN, dont les revenus mondiaux considérables confèrent à la sanction un caractère effectivement dissuasif que ne permettrait pas le seul chiffre d’affaires de l’entité irlandaise poursuivie.

POINTS ESSENTIELS