CNIL | SAN-2025-005 | 1ER SEPTEMBRE 2025 | AFFAIRE INFINITE STYLES SERVICES CO. LIMITED |
SHEIN DÉPOSE DES TRACEURS PUBLICITAIRES SUR 12 MILLIONS DE TERMINAUX FRANÇAIS MALGRE LE REFUS EXPRESSE DES UTILISATEURS DE SES SERVICES
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Le régime juridique des traceurs et la directive ePrivacy comme fondement exclusif de la poursuite
La délibération SAN-2025-005 du 1er septembre 2025 s’inscrit dans un corpus normatif spécifique qui n’est pas celui du RGPD au sens strict, mais celui de la directive 2002/58/CE dite « ePrivacy », transposée en droit interne à l’article 82 de la loi Informatique et Libertés. Cette distinction n’est pas formelle : elle commande l’intégralité de l’architecture procédurale et décisionnelle de l’affaire, et détermine notamment la question, débattue avec âpreté, de la compétence de la CNIL face à une société de droit irlandais opérant à l’échelle de l’Union européenne.
L’article 82 de la loi Informatique et Libertés dispose que tout accès ou inscription d’informations dans l’équipement terminal d’un utilisateur est interdit, sauf si l’abonné ou l’utilisateur a exprimé, après avoir reçu cette information, son consentement. Ce texte, qui transpose l’article 5, paragraphe 3, de la directive ePrivacy, régit donc les opérations de dépôt et de lecture de cookies sur les terminaux des internautes résidant en France, indépendamment du traitement subséquent de données à caractère personnel qui en découle et qui, lui, relève du RGPD. La formation restreinte opère ainsi une distinction nette et rigoureuse entre deux couches juridiques : d’une part, l’opération d’accès au terminal — relevant de la directive ePrivacy et de l’article 82 LIL — et d’autre part, le traitement de données collectées par ces traceurs — relevant du RGPD. Cette partition est décisive pour la résolution de la question de compétence.
Depuis la décision du Conseil d’État Société GOOGLE LLC et GOOGLE IRELAND LIMITED du 28 janvier 2022, confirmée par la décision AMAZON EUROPE CORE du 27 juin 2022, la jurisprudence administrative française est fixée : le contrôle des opérations d’accès ou d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques relève de la compétence de la CNIL, même lorsque le traitement procède d’un traitement transfrontalier. Le mécanisme du « guichet unique » prévu par l’article 56 du RGPD n’est pas applicable aux mesures de mise en œuvre et de contrôle de la directive ePrivacy, qui relèvent de la compétence des autorités nationales en vertu de l’article 15 bis de cette directive. Ce socle jurisprudentiel est rappelé et consolidé par la formation restreinte dans la délibération SAN-2025-005 avec une minutie qui traduit la contestation frontale opposée par la société mise en cause.
La société INFINITE STYLES SERVICES CO. LIMITED avait en effet construit sa défense autour de deux arguments articulés. Premièrement, elle faisait valoir que les cookies qu’elle dépose permettent la collecte et le traitement de données à caractère personnel, et que le traitement en cause relève donc du RGPD et non de la loi Informatique et Libertés. Deuxièmement, elle en déduisait que le mécanisme du guichet unique s’applique compte tenu du caractère transfrontalier du traitement, ce qui rendrait la DPC irlandaise — et non la CNIL — seule autorité compétente. La formation restreinte écarte ces deux arguments avec une motivation dont la densité révèle l’enjeu systémique de la question : si cette thèse avait été accueillie, elle aurait eu pour effet de soustraire à la compétence des autorités nationales l’ensemble des pratiques en matière de traceurs des opérateurs établis dans des États membres à fiscalité avantageuse, réduisant à néant la capacité régulatoire des autorités de contrôle des États membres où réside la majorité des personnes concernées.
II.
La compétence territoriale de la CNIL : la théorie de l’établissement étendue à un lien non capitalistique
La question de la compétence territoriale constitue le second volet du débat sur la compétence, et elle soulève une difficulté d’ordre structurel liée à l’architecture juridique du groupe SHEIN en Europe. La société INFINITE STYLES SERVICES CO. LIMITED, responsable du traitement au titre du dépôt et de la lecture de cookies sur le domaine shein.com depuis le 1er août 2023, est une société irlandaise. La société INFINITE STYLES ECOMMERCE FRANCE, qui promeut en France les produits de la marque SHEIN — notamment en organisant des défilés de mode et des boutiques éphémères — est une société française. Mais ces deux entités ne sont pas liées par un rapport de filialité directe : elles sont toutes deux filiales à 100 % de la société irlandaise INFINITE STYLES ECOMMERCE LIMITED, laquelle est elle-même détenue à 100 % par la maison mère singapourienne ROADGET BUSINESS PTE LTD.
L’article 3, paragraphe I, de la loi Informatique et Libertés subordonne l’application de ses dispositions aux traitements effectués « dans le cadre des activités d’un établissement d’un responsable du traitement sur le territoire français ». La règle dégagée par la CJUE dans l’arrêt Google Spain (13 mai 2014, C-131/12) puis précisée dans l’arrêt Weltimmo (1er octobre 2015, C-230/14) impose une appréciation souple et in concreto de la notion d’établissement, sans que la forme juridique retenue — succursale ou filiale ayant la personnalité juridique — ne soit déterminante. L’établissement suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable, apprécié au regard de la présence de moyens humains et techniques.
La société contestait sur ce point que la société INFINITE STYLES ECOMMERCE FRANCE puisse être regardée comme son « établissement » au sens de la jurisprudence Weltimmo, en l’absence de lien juridique direct entre les deux entités. Elle faisait valoir en outre que le traitement en cause n’intervient pas dans le cadre des activités de la société française, dès lors que celle-ci ne promeut pas et ne commercialise pas d’espaces publicitaires sur le site web shein.com, et qu’elle n’exploite pas et n’a pas accès aux données collectées par les cookies.
La formation restreinte écarte cette argumentation en deux temps. S’agissant de la notion d’établissement, elle relève que la CJUE a invité à considérer les relations entre les différentes entités d’un groupe non pas uniquement au regard de leurs liens capitalistiques mais, plus largement, en tenant compte de leur relation économique. Elle souligne que la circonstance que la société INFINITE STYLES ECOMMERCE FRANCE n’est pas une filiale de la société INFINITE STYLES SERVICES CO. LIMITED est sans incidence sur sa qualité d’établissement de cette société dès lors qu’elles appartiennent au même groupe, qu’elles sont toutes deux filiales de leur maison mère, et qu’elles poursuivent des intérêts économiques communs.
S’agissant de l’existence d’un traitement effectué dans le cadre des activités de l’établissement français, la formation restreinte s’appuie sur l’arrêt AMAZON EUROPE CORE du Conseil d’État du 27 juin 2022 pour rappeler qu’il n’est pas nécessaire que le traitement en cause soit réalisé par l’établissement en question, et qu’il suffit que celui-ci facilite ou favorise suffisamment le déploiement du traitement de données sur le territoire français. L’activité de promotion des produits SHEIN en France par la société INFINITE STYLES ECOMMERCE FRANCE — organisation de défilés, boutiques éphémères, développement de la notoriété de la marque — contribue directement à accroître le trafic sur le site shein.com depuis la France, et donc à étendre le volume des opérations de dépôt et de lecture de cookies soumises à consentement. Cette relation de facilitation suffit à établir le rattachement territorial du traitement à la compétence de la CNIL.
III.
Le manquement au recueil du consentement préalable au dépôt de traceurs
Le cœur du manquement retenu par la formation restreinte réside dans le dépôt de traceurs soumis à consentement sur les terminaux des utilisateurs visitant le site shein.com en France, avant même que ceux-ci aient pu exprimer un choix. Le contrôle en ligne effectué le 10 août 2023 a permis à la délégation de la CNIL de reproduire le parcours d’un utilisateur se rendant sur le sous-domaine français du nom de domaine shein.com et de constater que plusieurs traceurs — notamment à finalité publicitaire — étaient déposés sur son terminal dès l’arrivée sur le site, antérieurement à toute interaction avec l’interface de gestion des cookies.
L’article 82 de la loi Informatique et Libertés est explicite : les opérations d’accès ou d’inscription d’informations dans l’équipement terminal d’un utilisateur ne peuvent avoir lieu « qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement ». La chronologie est ici constitutive de la violation : le consentement doit précéder l’opération de dépôt, et non la suivre ou lui être contemporain. Cette exigence de séquentialité — information, puis consentement, puis dépôt — est absolue et ne supporte aucune exception pour les traceurs non exemptés.
La formation restreinte relève que, lors du contrôle, deux interfaces liées à la gestion des traceurs étaient présentées sur le site shein.com. La première consistait en un bandeau comportant trois boutons intitulés « Paramètres des cookies », « Tout refuser » et « Accepter », mais ce bandeau ne contenait aucune information sur la finalité publicitaire des traceurs. La seconde interface était une fenêtre surgissante contenant uniquement un bouton permettant d’accepter les traceurs, sans aucune information sur leur finalité. La violation est donc ici double : non seulement des traceurs étaient déposés avant toute interaction de l’utilisateur avec ces interfaces, mais les interfaces elles-mêmes étaient insuffisantes à recueillir un consentement libre et éclairé, faute d’information adéquate sur les finalités poursuivies.
La notion de consentement éclairé est au cœur de l’architecture réglementaire en matière de traceurs. Le CEPD, dans ses lignes directrices n° 05/2020 sur le consentement au sens du RGPD adoptées le 4 mai 2020, précise que le consentement n’est valide que si la personne concernée est informée, avant de l’exprimer, de l’identité du responsable du traitement, des finalités de chaque opération de traitement pour laquelle le consentement est demandé, du type de données qui seront collectées et utilisées, et du droit de retirer le consentement à tout moment. L’absence de toute mention de la finalité publicitaire des traceurs sur les deux interfaces proposées par SHEIN rendait structurellement impossible la formation d’un consentement valide, indépendamment même de la question de la chronologie du dépôt.
La formation restreinte qualifie le manquement retenu à ce titre comme constitutif d’une atteinte substantielle au droit au respect de la vie privée des personnes concernées. Elle relève que les carences de la société en matière de recueil du consentement ne permettaient pas à l’utilisateur de comprendre raisonnablement l’ampleur des opérations qui étaient effectuées sur son terminal. Cette appréciation préfigure le raisonnement tenu dans la section consacrée à la détermination des critères de l’amende au titre de l’article 83 du RGPD.
IV.
L’information incomplète : l’absence d’identification des tiers déposant des traceurs
Au-delà du manquement relatif au défaut de consentement préalable, la formation restreinte retient un manquement distinct tenant à l’insuffisance de l’information délivrée aux utilisateurs au second niveau de l’interface de gestion des cookies. La recommandation de la CNIL du 17 septembre 2020 sur les cookies et autres traceurs, qui constitue un instrument de droit souple donnant corps aux obligations de l’article 82 LIL à la lumière du principe de transparence consacré par le RGPD, précise que le second niveau d’information doit permettre à l’utilisateur d’identifier, pour chaque finalité pour laquelle le consentement est sollicité, les tiers susceptibles de déposer des traceurs sur son terminal.
Au jour du contrôle en ligne, aucune information sur l’identité des tiers susceptibles de déposer des traceurs n’était délivrée à ce second niveau d’information, accessible en cliquant sur le bouton « Paramètres des cookies ». Cette absence est particulièrement significative dans le cas d’un site de commerce en ligne de l’ampleur de SHEIN, dont l’écosystème publicitaire implique un nombre potentiellement élevé de partenaires tiers disposant d’accès au terminal des utilisateurs via leurs propres traceurs. Un utilisateur qui clique sur « Paramètres des cookies » dans l’espoir d’exercer un choix éclairé sur les traceurs déposés se retrouve en situation d’ignorance totale quant aux acteurs de cet écosystème.
Cette violation de l’obligation d’information enrichit la caractérisation du manquement au consentement : le vice ne tient pas seulement à la chronologie du dépôt, mais aussi à la qualité intrinsèque de l’information fournie. Le consentement, même recueilli dans les formes, aurait été irrégulier faute d’une information complète préalable sur l’identité des tiers déposants. La formation restreinte confirme ainsi que l’obligation posée par l’article 82 LIL est à la fois une obligation de procédure — le consentement doit précéder le dépôt — et une obligation substantielle — l’information doit être suffisamment précise pour permettre un consentement réellement éclairé.
V.
L’ineffectivité des mécanismes de refus et de retrait du consentement
La troisième branche du manquement retenu par la formation restreinte concerne les mécanismes de refus et de retrait du consentement, dont l’ineffectivité est constatée de manière distincte et autonome des deux premiers griefs. Ce troisième grief présente une singularité : il s’applique aux utilisateurs ayant activement exercé leur droit de refus ou de retrait, c’est-à-dire à ceux qui ont précisément manifesté leur volonté de ne pas être soumis au dépôt de traceurs non exemptés. L’atteinte à leurs droits est à cet égard d’une particulière gravité, dès lors qu’elle ignore délibérément un choix expressément formulé.
La formation restreinte relève que lorsqu’un utilisateur cliquait sur le bouton « Tout refuser » présent dans le bandeau, ou lorsqu’il décidait de retirer son consentement à l’inscription de traceurs sur son terminal, de nouveaux traceurs étaient pourtant déposés et d’autres, déjà présents, continuaient d’être lus. Le contrôle en ligne a permis de constater ce phénomène par l’analyse du fichier HAR compilé par la délégation : des cookies publicitaires, des cookies de plafonnement publicitaire et un cookie de mesure d’audience non exempté déposés lors de l’accès au site continuaient d’être lus dans le navigateur après le retrait du consentement. En outre, dix cookies supplémentaires étaient déposés sur le terminal de l’utilisateur après ce retrait, parmi lesquels des cookies à finalité publicitaire déposés par le domaine .shein.com (dont les cookies uetsid et uetvid) et des tiers (comme le cookie MUID déposé par le domaine .bing.com).
La formation restreinte rappelle les solutions techniques disponibles pour assurer l’effectivité du retrait du consentement, telles que précisées dans sa recommandation du 17 septembre 2020 : modifier la date d’expiration du cookie pour en empêcher la lecture, ou bloquer les requêtes HTTP vers les domaines tiers appelés afin d’éviter toute opération de lecture depuis le site. Ces solutions techniques existent et ont été effectivement mises en œuvre par SHEIN en cours de procédure, ce qui a conduit le rapporteur à ne plus proposer d’injonction de mise en conformité. Mais leur mise en œuvre tardive ne vaut pas régularisation rétroactive : le manquement était constitué au jour du contrôle, et la cessation du manquement au cours de la procédure est prise en compte dans la détermination du montant de la sanction, et non pour exclure le manquement.
La formation restreinte qualifie ce troisième manquement comme « particulièrement grave », relevant que par cette pratique, la société ne tient pas compte du choix des utilisateurs et va permettre, au contraire, le dépôt de nouveaux cookies sur leurs terminaux par des tiers alors même que les utilisateurs s’attendent à ce que plus aucun cookie non exempté n’y soit déposé, ayant exprimé un choix clair en la matière.
VI.
La défense de la société : les arguments soulevés et leur sort
La société INFINITE STYLES SERVICES CO. LIMITED a développé une défense articulée autour de plusieurs axes distincts, dont certains ont déjà été évoqués dans les développements relatifs à la compétence. Sur le fond des manquements, la société a avancé deux arguments méritant une attention particulière.
En premier lieu, la société a soutenu que le dépôt sans consentement et l’ineffectivité du mécanisme de retrait constitueraient un seul et même manquement, et non deux manquements distincts. La formation restreinte rejette cet argument avec une motivation précise : le mécanisme de recueil du consentement était défaillant dans la mesure où la société déposait des cookies sur le terminal de l’utilisateur avant même qu’ils puissent exprimer leur choix ; mais même dans l’hypothèse où la société collectait leur consentement, elle ne se conformait toujours pas à ses obligations car elle n’offrait pas à ses utilisateurs un mécanisme de retrait du consentement effectif, puisque des cookies non exemptés continuaient d’être lus après ce retrait. Il s’agit donc de deux pratiques distinctes engendrant des manquements à deux branches différentes de l’article 82 LIL.
En second lieu, la société a contesté la publicité de la sanction, faisant valoir notamment que la publication de la sanction serait dépourvue d’effet auprès des utilisateurs compte tenu des mesures qu’elle a prises pour remédier au manquement, et qu’elle entraînerait des conséquences importantes en termes de réputation. Elle a également sollicité, à titre subsidiaire, l’anonymisation de la délibération. La formation restreinte écarte ces arguments en retenant que la mesure de publicité se justifie au regard de la gravité avérée du manquement en cause, de la position de la société sur le marché et du nombre de personnes concernées, lesquelles doivent être informées. Elle accède néanmoins à la demande d’anonymisation à terme, en prévoyant que la délibération n’identifiera plus nommément la société à l’expiration d’un délai de deux ans compter de sa publication.
VII.
Le caractère massif du traitement : 12 millions de visiteurs uniques mensuels
La détermination du montant de la sanction repose sur les critères de l’article 83 du RGPD, rendu applicable aux manquements à l’article 82 LIL par le renvoi opéré à l’article 20 de cette loi. La formation restreinte retient expressément le caractère massif du traitement en cause comme premier critère aggravant. Elle relève que la société a indiqué à la délégation de contrôle que le site shein.com a reçu plus de 20 millions de visites en provenance du territoire français entre les mois de janvier et juillet 2023, et qu’elle a déclaré au rapporteur estimer qu’en moyenne, environ 12 millions de visiteurs uniques par mois se sont rendus sur son site web pendant cette période.
Ce volume de visiteurs, pour un seul mois, reflète la place centrale occupée par la société dans le secteur de la vente en ligne de prêt-à-porter en France. La formation restreinte souligne que ce caractère massif du traitement aggrave substantiellement la gravité des manquements retenus : chacune des violations constatées — dépôt sans consentement, information incomplète, ineffectivité du retrait — a affecté un nombre considérable de personnes, dont les droits en matière de protection de la vie privée ont été méconnus à une échelle industrielle.
VIII.
Le traitement délibéré ou par négligence : l’absence de doute sur la connaissance des obligations
La formation restreinte retient également le critère prévu à l’article 83, paragraphe 2, b et e, du RGPD, relatif au caractère délibéré ou négligent de la violation. Sans qualifier explicitement le comportement de la société de « délibéré » au sens d’une intention de violer la loi, elle relève que les obligations en matière de traceurs sont connues depuis longtemps, et que la CNIL a, depuis 2020, sanctionné à de nombreuses reprises des organismes pour des manquements similaires en rendant ses décisions publiques. La société, qui opère un site de commerce électronique de grande ampleur en France, ne pouvait donc pas ignorer les exigences de l’article 82 LIL et les lignes directrices de la CNIL.
Cette appréciation conduit la formation restreinte à considérer que la société ne peut se prévaloir d’une ignorance des règles applicables pour atténuer la gravité des manquements constatés. La récurrence des sanctions prononcées par la CNIL en matière de cookies depuis 2020 — GOOGLE, FACEBOOK, AMAZON, MICROSOFT, TIKTOK, LE FIGARO, VOODOO, APPLE, AMERICAN EXPRESS, entre autres — confère à ces obligations une notoriété telle que leur méconnaissance par un opérateur de l’envergure de SHEIN ne peut s’expliquer que par une absence de diligence qui, même si elle ne constitue pas un dol, ne saurait être assimilée à une ignorance excusable.
IX.
Le contexte normatif global : harmonisation des règles entre RGPD et directive ePrivacy
La formation restreinte insère la délibération SAN-2025-005 dans un raisonnement normatif plus large tenant à l’articulation entre le RGPD et la directive ePrivacy en matière de sanctions. L’article 20-IV-7 de la loi Informatique et Libertés dispose que la formation restreinte peut prononcer une amende ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu). Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du RGPD, ces plafonds sont portés respectivement à 20 millions d’euros et 4 % du chiffre d’affaires.
La formation restreinte relève que, en visant le RGPD à l’article 20 de la loi Informatique et Libertés, le législateur français a fait le choix d’harmoniser les règles relatives à la détermination du montant des amendes en matière de protection des données à caractère personnel, que l’amende ait vocation à sanctionner un manquement au titre du RGPD ou de la loi Informatique et Libertés. Elle observe en outre que, compte tenu de la proximité entre le RGPD et la directive ePrivacy, il est cohérent que les règles régissant l’imposition d’amendes soient uniformes.
Cette harmonisation a une conséquence pratique majeure : l’assiette de calcul du plafond de l’amende est le chiffre d’affaires annuel mondial du groupe, et non celui de la seule entité sanctionnée. Le considérant 150 du RGPD précise que lorsque des amendes administratives sont imposées à une entreprise, ce terme doit être compris conformément aux articles 101 et 102 du TFUE, c’est-à-dire comme incluant l’ensemble du groupe économique. En l’espèce, le chiffre d’affaires de la société ROADGET BUSINESS PTE LTD — maison mère singapourienne du groupe SHEIN — pour l’année 2023 est mentionné dans la délibération (les montants exacts étant occultés), ce qui permet à la formation restreinte de disposer d’une base de calcul correspondant à la réalité économique du groupe.
X.
La mise en conformité en cours de procédure et ses effets procéduraux
Un élément singulier de la délibération SAN-2025-005 réside dans le fait que la société INFINITE STYLES SERVICES CO. LIMITED a apporté des modifications à son site internet au cours de la procédure, en réponse aux griefs formulés par le rapporteur dans son rapport de sanction du 18 février 2025. Ces modifications ont conduit le rapporteur à considérer, dans sa réponse aux observations de la société, qu’il n’y avait plus lieu de proposer à la formation restreinte de prononcer une injonction de mise en conformité. La formation restreinte confirme cette position et ne prononce pas d’injonction.
Cette issue procédurale est d’importance. La formation restreinte est dotée par la loi du pouvoir de prononcer, outre une amende, une injonction de mise en conformité assortie d’une astreinte d’un montant ne pouvant excéder 100 000 euros par jour de retard. L’absence d’injonction dans la présente affaire résulte non pas d’une appréciation bienveillante de la situation, mais d’un constat factuel : la société a procédé aux modifications nécessaires en cours de procédure, supprimant ainsi le fondement de la mesure correctrice ordonnée. La mise en conformité en cours de procédure est en revanche prise en compte dans la détermination du montant de l’amende au titre du critère de la coopération et de la réduction du dommage.
Il convient toutefois de relever la nuance apportée par la formation restreinte concernant les cookies tiers. Elle observe que la société, si elle a mis fin aux opérations de lecture et d’écriture soumises à consentement effectuées depuis son site, n’a pas supprimé les cookies tiers déjà déposés, de sorte que leur lecture peut se poursuivre sur les sites tiers utilisant le même cookie. La formation restreinte précise que les opérations de lecture effectuées par des domaines tiers depuis des sites autres que shein.com excèdent la responsabilité de la société et relèvent de celle de ses partenaires. Elle relève néanmoins qu’il conviendrait que la société appelle l’attention de ses partenaires sur le fait que le consentement aux cookies dont ils sont responsables a été retiré — une observation qui préfigure les développements de la politique régulatoire en matière de responsabilité partagée dans les écosystèmes publicitaires.
XI.
La jurisprudence mobilisée : un écosystème décisionnel cohérent
La délibération SAN-2025-005 s’inscrit dans une lignée jurisprudentielle dense que la formation restreinte mobilise avec soin. Sur la compétence matérielle, elle s’appuie sur les décisions du Conseil d’État GOOGLE du 28 janvier 2022 et AMAZON EUROPE CORE du 27 juin 2022, ainsi que sur la jurisprudence constante de la CJUE relative à l’interprétation de la notion d’établissement (Google Spain, C-131/12 ; Weltimmo, C-230/14). Sur les modalités du retrait du consentement, elle s’inspire des lignes directrices n° 05/2020 du CEPD sur le consentement et de sa propre recommandation du 17 septembre 2020. Sur la qualification de la violation comme atteinte aux droits fondamentaux des personnes, elle s’appuie sur le considérant 75 du RGPD.
La mobilisation de ces différentes sources révèle une caractéristique de la délibération SAN-2025-005 : elle est, davantage que d’autres décisions de la formation restreinte, une décision de principe sur des questions de compétence et d’articulation normative. La question de la frontière entre la directive ePrivacy et le RGPD, celle du rôle de l’établissement local dans la chaîne de valeur d’un groupe multinational, et celle des effets de la mise en conformité en cours de procédure sur la décision de prononcer une injonction sont autant de problématiques de portée générale auxquelles la formation restreinte apporte des réponses structurées et référencées.
XII.
La spécificité de SHEIN comme acteur du secteur de la mode rapide à l’échelle mondiale
La délibération SAN-2025-005 concerne un acteur singulier de l’économie numérique mondiale. Le groupe INFINITE STYLES — plus connu sous le nom de SHEIN — est l’un des acteurs dominants du secteur de la « fast fashion » en ligne, avec une présence mondiale et un chiffre d’affaires considérable. Sa maison mère, ROADGET BUSINESS PTE LTD, est immatriculée à Singapour. En 2023, le groupe SHEIN a été valorisé à plusieurs dizaines de milliards de dollars, ce qui en fait l’un des groupes de mode les plus importants du monde malgré l’absence de cotation en bourse.
La particularité du modèle d’affaires de SHEIN est sa dépendance structurelle à la publicité ciblée via les données comportementales collectées sur son site et son application. La fonctionnalité des algorithmes de recommandation et la performance des campagnes publicitaires reposent précisément sur la collecte et le traitement de données relatives aux comportements de navigation et d’achat des utilisateurs. Dans ce contexte, les traceurs à finalité publicitaire que la société déposait sans consentement sur les terminaux des utilisateurs n’étaient pas accessoires à son activité, mais consubstantiels à son modèle économique. La gravité du manquement s’apprécie donc également au regard de l’avantage concurrentiel que la société tirait de la collecte illégale de données comportementales à l’échelle de millions d’utilisateurs.
XIII.
La décision QPC du Conseil constitutionnel du 8 août 2025 : une incidence sur le droit au silence
Un élément procédural notable de la délibération SAN-2025-005 réside dans la mention de la décision n° 2025-1154 QPC du Conseil constitutionnel du 8 août 2025, qui a eu des implications sur la procédure de sanction de la CNIL. La formation restreinte précise que la société a été informée « à titre conservatoire et au regard des implications encore incertaines de la jurisprudence du Conseil constitutionnel en cette matière, de son droit de garder le silence sur les faits qui lui étaient reprochés ». Cette mention traduit l’incertitude procédurale résultant de la décision du Conseil constitutionnel, dont les effets sur la procédure de sanction administrative de la CNIL n’étaient pas encore pleinement clarifiés au moment de la délibération.
Cette décision QPC soulève en effet la question de l’applicabilité du droit au silence — traditionnellement associé à la matière pénale — aux procédures de sanctions administratives dotées d’une coloration répressive. La mention de cette QPC dans la délibération SAN-2025-005, à l’instar d’autres délibérations rendues à la même période (SAN-2025-004, SAN-2026-003), signale que la formation restreinte a intégré cette problématique dans son appréhension des garanties procédurales offertes aux mis en cause, sans pour autant que cela n’affecte l’issue de la procédure en l’espèce.
XIV.
Articulation entre les trois branches du manquement : unité de l’article 82 LIL, pluralité des violations
La formation restreinte procède à une qualification soigneuse des trois branches du manquement retenu au titre de l’article 82 LIL. Elle rejette l’assimilation proposée par la société entre le défaut de recueil du consentement et l’ineffectivité du mécanisme de retrait, en soulignant que ces deux pratiques sont distinctes et engendrent des manquements à deux branches différentes de l’article 82 LIL. Cette distinction est importante pour la compréhension du droit applicable : l’article 82 LIL couvre l’intégralité du cycle de gestion du consentement — du recueil au retrait en passant par l’information — et chaque défaillance dans ce cycle est susceptible de constituer un manquement autonome.
La structure ternaire du manquement retenu dans la délibération SAN-2025-005 — défaut de consentement préalable, insuffisance d’information, ineffectivité du retrait — dessine ainsi une cartographie complète des obligations en matière de traceurs. Cette cartographie confirme et enrichit la doctrine déjà dégagée par la formation restreinte dans les délibérations antérieures relatives aux cookies (GOOGLE, FACEBOOK, AMAZON, TIKTOK, LE FIGARO, etc.) et lui confère une cohérence systémique. Le message adressé aux responsables du traitement est clair : la conformité à l’article 82 LIL n’est pas une condition ponctuelle à remplir lors du premier accès de l’utilisateur, mais un état de conformité permanent, qui doit être maintenu tout au long de l’interaction de l’utilisateur avec le site, depuis son arrivée jusqu’à l’exercice de son droit de retrait.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats