CNIL | SAN-2025-005 | 1ER SEPTEMBRE 2025 | AFFAIRE INFINITE STYLES SERVICES CO. LIMITED |
SHEIN DÉPOSE DES TRACEURS PUBLICITAIRES SUR 12 MILLIONS DE TERMINAUX FRANÇAIS MALGRE LE REFUS EXPRESSE DES UTILISATEURS DE SES SERVICES
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Le cadre normatif applicable : la directive ePrivacy et l’article 82 LIL
La délibération SAN-2025-005 du 1er septembre 2025 repose exclusivement sur l’article 82 de la loi Informatique et Libertés, qui transpose l’article 5, paragraphe 3, de la directive 2002/58/CE dite « ePrivacy ». Ce texte pose l’interdiction de déposer des traceurs sur le terminal d’un utilisateur sans son consentement préalable et éclairé, et impose que l’exercice du droit de retrait de ce consentement soit effectif. Ce fondement normatif est distinct du RGPD, même si les règles de détermination des amendes administratives sont, par renvoi de l’article 20 de la loi Informatique et Libertés, celles de l’article 83 du RGPD. Cette dualité de régimes — ePrivacy pour le fond, RGPD pour la sanction — caractérise l’ensemble du contentieux des traceurs en France.
II.
La compétence de la CNIL : rejet du mécanisme du guichet unique
La société INFINITE STYLES SERVICES CO. LIMITED — entité irlandaise responsable de la gestion des sous-domaines européens de shein.com depuis le 1er août 2023 — a contesté la compétence de la CNIL en soutenant que les traceurs qu’elle dépose permettant la collecte de données à caractère personnel, le traitement relève du RGPD et non de la loi Informatique et Libertés, et que le mécanisme du guichet unique confère à la DPC irlandaise la compétence exclusive.
La formation restreinte rejette cette argumentation en rappelant la jurisprudence constante du Conseil d’État — décisions GOOGLE du 28 janvier 2022 et AMAZON EUROPE CORE du 27 juin 2022 — selon laquelle le mécanisme du guichet unique prévu par l’article 56 du RGPD n’est pas applicable aux mesures de contrôle relevant de la directive ePrivacy, qui demeurent de la compétence des autorités nationales. Elle retient par ailleurs sa compétence territoriale en qualifiant la société INFINITE STYLES ECOMMERCE FRANCE — entité qui promeut les produits SHEIN en France par des défilés et boutiques éphémères — d’« établissement » de la société irlandaise au sens de l’article 3, I, de la loi Informatique et Libertés, sans que l’absence de lien capitalistique direct entre les deux entités ne fasse obstacle à cette qualification, dès lors qu’elles appartiennent au même groupe et poursuivent des intérêts économiques communs.
III.
Les trois branches du manquement retenu à l’article 82 LIL
La formation restreinte retient un manquement à l’article 82 LIL décliné en trois branches distinctes, constituées sur la base du contrôle en ligne effectué le 10 août 2023.
Dépôt de traceurs sans consentement préalable. Lors de son arrivée sur le sous-domaine français de shein.com, l’utilisateur se voyait déposer sur son terminal plusieurs traceurs à finalité publicitaire avant même d’avoir interagi avec une quelconque interface de gestion des cookies. Cette pratique méconnaît la règle fondamentale de séquentialité posée par l’article 82 LIL : information, puis consentement, puis dépôt.
Information incomplète. Deux interfaces de gestion des traceurs étaient présentées sur le site. La première — un bandeau comportant trois boutons — ne contenait aucune information sur la finalité publicitaire des traceurs. La seconde — une fenêtre surgissante ne comportant qu’un bouton d’acceptation — était également dépourvue de toute mention des finalités. Au second niveau d’information, accessible en cliquant sur « Paramètres des cookies », aucune information sur l’identité des tiers susceptibles de déposer des traceurs n’était délivrée. Un utilisateur souhaitant exercer un choix éclairé se trouvait ainsi structurellement dans l’impossibilité de comprendre quels acteurs accéderaient à son terminal et à quelles fins.
Ineffectivité des mécanismes de refus et de retrait. Lorsqu’un utilisateur cliquait sur « Tout refuser » ou retirait son consentement précédemment accordé, de nouveaux traceurs continuaient d’être déposés et des traceurs déjà présents continuaient d’être lus. L’analyse du fichier HAR compilé par la délégation révèle que des cookies publicitaires, des cookies de plafonnement publicitaire et un cookie de mesure d’audience non exempté persistaient dans le navigateur après le retrait, et que dix cookies supplémentaires — dont le cookie MUID déposé par .bing.com — étaient déposés malgré l’expression d’un refus. La formation restreinte qualifie ce troisième manquement de « particulièrement grave », dès lors qu’il prive de tout effet le choix expressément formulé par l’utilisateur.
La formation restreinte rejette la tentative de la société de réduire ces trois branches à un seul manquement, en soulignant qu’elles correspondent à des pratiques distinctes engendrant des violations de deux branches différentes de l’article 82 LIL.
IV.
Le caractère massif du traitement et le contexte d’un acteur dominant
La formation restreinte retient au titre des critères de l’article 83 du RGPD le caractère massif du traitement : environ 12 millions de visiteurs uniques mensuels résidant en France se sont rendus sur le site shein.com durant la période en cause, ce qui reflète la place centrale de la société dans le secteur de la vente en ligne de prêt-à-porter en France. Ce volume est de nature à démultiplier la gravité de chacun des manquements constatés : chaque violation du consentement, chaque lacune informative, chaque échec du mécanisme de retrait a affecté un nombre industriel de personnes, dont les droits ont été collectivement ignorés à une échelle sans équivalent dans le secteur.
V.
La mise en conformité partielle en cours de procédure
En cours de procédure, la société a apporté des modifications techniques à son site permettant de mettre fin aux manquements constatés. Cette mise en conformité a conduit le rapporteur à ne plus proposer d’injonction, position que la formation restreinte confirme. La cessation des manquements au cours de la procédure est prise en compte dans la détermination du montant de l’amende. La formation restreinte précise toutefois que la société n’a pas supprimé les cookies tiers déjà déposés, leur lecture pouvant se poursuivre sur les sites tiers, et qu’il lui appartiendrait d’informer ses partenaires du retrait du consentement des utilisateurs.
VI.
La publicité de la sanction
La formation restreinte ordonne la publicité de la délibération, au regard de la gravité avérée du manquement, de la position dominante de la société sur le marché et du nombre de personnes concernées. Elle accède à la demande d’anonymisation à terme formulée par la société, en prévoyant que la délibération n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats