CNIL | SAN-2025-005 | 1er septembre 2025 | Affaire INFINITE STYLES SERVICES CO. LIMITED | CONSEILS

CONSEILS AUX RESPONSABLES DE TRAITEMENT

---

A. GOUVERNANCE OPÉRATIONNELLE DE LA CONFORMITÉ COOKIES : LES ENSEIGNEMENTS IMPÉRATIFS DE LA DÉLIBÉRATION SHEIN

 

La délibération SAN-2025-005 du 1er septembre 2025, qui a infligé à la société INFINITE STYLES SERVICES CO. LIMITED (SHEIN) une amende historique de 150 millions d’euros pour manquements à l’article 82 de la loi Informatique et Libertés, délivre aux responsables de traitement un ensemble d’enseignements pratiques dont la portée transcende le seul secteur du prêt-à-porter en ligne.

1. METTRE EN PLACE UNE REVUE TECHNIQUE PRÉALABLE ET SYSTÉMATIQUE DU DÉPÔT DE TRACEURS

La première leçon de la délibération est d’une brutalité pédagogique : aucun traceur soumis à consentement ne doit être déposé sur le terminal de l’utilisateur avant que celui-ci n’ait exprimé son choix. Cette règle, consacrée par l’article 82 de la loi Informatique et Libertés depuis sa transposition de la directive ePrivacy, est aujourd’hui appliquée avec une rigueur absolue par la formation restreinte.

Le responsable de traitement doit donc impérativement :

—-Auditer techniquement la liste exhaustive des cookies et traceurs déposés sur son site, en distinguant ceux exemptés de consentement (traceurs strictement nécessaires au fonctionnement du service) de ceux soumis à consentement préalable (traceurs publicitaires, de mesure d’audience non anonymisée, de partage sur les réseaux sociaux, etc.) ;
—-Implémenter une architecture de dépôt conditionnel : les scripts de tiers (régies publicitaires, partenaires de mesure d’audience, boutons de partage) ne doivent pas se charger tant que l’utilisateur n’a pas consenti. Cette règle s’applique également aux traceurs first-party dès lors que leur finalité n’est pas strictement technique ;
—-Tester régulièrement — au minimum à chaque déploiement de mise à jour du site — le comportement effectif du bandeau cookies, en vérifiant que le dépôt est bien bloqué tant que l’utilisateur n’a pas interagi avec l’interface de gestion des consentements. La formation restreinte procède à ses contrôles en ligne en observant le comportement réel du site, indépendamment des déclarations du responsable.

2. CONCEVOIR UN BANDEAU D’INFORMATION COMPLET ET CONFORME AUX EXIGENCES QUALITATIVES

La délibération SHEIN révèle une erreur fréquente chez les responsables de traitement : présenter un bandeau cookies techniquement sophistiqué mais qualitativement insuffisant. La formation restreinte a relevé que le premier bandeau de shein.com, comportant pourtant des boutons distincts (« Paramètres des cookies », « Tout refuser », « Accepter »), « ne contenait aucune information sur la finalité publicitaire des traceurs ».

Les exigences qualitatives issues des lignes directrices et de la recommandation de la CNIL de 2020, dont la connaissance est présumée chez tout opérateur numérique, imposent :

—-Une information au premier niveau sur les catégories de finalités des traceurs déposés, y compris la finalité publicitaire lorsqu’elle est présente ;
—-Une information au second niveau permettant à l’utilisateur d’accéder à l’identité des tiers susceptibles de déposer des traceurs et de gérer ses préférences par catégorie de finalité ;
—-L’identification nominative des partenaires tiers : la formation restreinte a expressément sanctionné l’absence d’information sur l’identité des tiers au second niveau d’information. Le responsable de traitement doit donc tenir à jour une liste de ses partenaires intégrant des traceurs tiers et s’assurer que cette liste est accessible et compréhensible depuis le second niveau d’information.

3. GARANTIR L’EFFECTIVITÉ TECHNIQUE DES MÉCANISMES DE REFUS ET DE RETRAIT

La délibération SHEIN consacre un grief autonome et particulièrement grave : le dysfonctionnement du mécanisme de refus. Il a été établi que cliquer sur « Tout refuser » ne produisait pas l’effet attendu, de nouveaux traceurs continuant à être déposés. Ce type de manquement est perçu par la formation restreinte comme une atteinte directe à la sincérité du recueil du consentement : le bandeau cookies, qui devrait être un instrument de transparence, devient dans cette hypothèse un instrument trompeur.

Le responsable de traitement doit :

—-Tester l’effectivité de chaque bouton (« Tout refuser », « Retirer mon consentement ») dans des conditions de navigation réelle, à l’aide d’outils de débogage (inspecteur de cookies du navigateur, outils spécialisés tels que Consent String Inspector ou les solutions d’audit cookies) ;
—-Mettre en place une procédure de vérification post-déploiement à chaque mise à jour du système de gestion du consentement (CMP — Consent Management Platform) ou de la configuration des tags tiers ;
—-Documenter les tests effectués et conserver les preuves de conformité dans le cadre du principe de responsabilité (accountability) issu de l’article 5-2 du RGPD.

4. MAINTENIR UNE VIGILANCE ACCRUE SUR LA GESTION DES TRACEURS TIERS ET DE LA CMP

La formation restreinte, dans la délibération SHEIN comme dans d’autres décisions récentes, porte une attention particulière aux traceurs déposés par des tiers (régies publicitaires, partenaires de data management, fournisseurs de solutions de marketing automation). Le responsable de traitement demeure entièrement responsable des traceurs déposés par ses partenaires dans le cadre de l’exploitation de son site, quelle que soit la mécanique contractuelle mise en place.

À ce titre, il convient de :

—-Exiger contractuellement de la CMP (Consent Management Platform) utilisée qu’elle respecte les spécifications techniques du IAB TCF v2.x ou d’un standard équivalent, et qu’elle bloque effectivement le chargement des tags tiers jusqu’à recueil du consentement ;
—-Vérifier la liste des partenaires TCF référencés dans la configuration de la CMP et s’assurer que cette liste correspond aux partenaires effectivement actifs sur le site ;
—-Mettre à jour régulièrement la configuration de la CMP lorsque de nouveaux partenaires sont intégrés, afin que l’information fournie aux utilisateurs soit toujours exacte et à jour.

5. NE PAS SOUS-ESTIMER LE RISQUE LIÉ À LA DIMENSION INTERNATIONALE ET À LA LOCALISATION DU SIÈGE SOCIAL

La délibération SAN-2025-005 confirme que la localisation du siège social dans un autre État membre de l’Union européenne (en l’espèce, l’Irlande) ne constitue pas une protection contre la compétence de la CNIL en matière de cookies. La CNIL est matériellement et territorialement compétente dès lors que des traceurs sont déposés sur les terminaux d’utilisateurs résidant en France, indépendamment du mécanisme du guichet unique, qui « n’a pas vocation à s’appliquer dans cette procédure » selon les termes mêmes de la délibération.

Tout responsable de traitement opérant un site web accessible depuis la France, quelle que soit la localisation de son siège social au sein de l’Union européenne, est donc soumis au contrôle de la CNIL en ce qui concerne les opérations de dépôt de cookies. Cette compétence, validée par le Conseil d’État dans ses arrêts du 28 janvier 2022 (Google LLC) et du 27 juin 2022 (Amazon Europe Core), est désormais incontestable.

6. ANTICIPER LES CONSÉQUENCES FINANCIÈRES DE LA NÉGLIGENCE

L’amende de 150 millions d’euros prononcée à l’encontre de SHEIN illustre la corrélation directe entre le volume de personnes concernées et le montant des amendes en matière de cookies. Avec 12 millions de visiteurs mensuels en France, le site shein.com constitue un cas extrême, mais la logique s’applique à tout opérateur d’envergure nationale ou internationale : plus le trafic est élevé, plus les enjeux financiers liés à une non-conformité cookies sont importants.

La prise en compte des critères de l’article 83 du RGPD — notamment la nature, la gravité et la durée de la violation, le nombre de personnes concernées et le niveau de dommage subi, ainsi que la capacité économique de l’organisme — conduit la formation restreinte à moduler les amendes en fonction de paramètres que le responsable de traitement peut anticiper. Un audit préventif rigoureux et régulier, couplé à une mise en conformité effective, représente un investissement infiniment inférieur au coût d’une procédure de sanction.

---

CONSEILS AUX PERSONNES CONCERNÉES PAR LES TRAITEMENTS

---

A. COMPRENDRE VOS DROITS FACE AUX PRATIQUES DE DÉPÔT DE TRACEURS

 

La décision SAN-2025-005 rappelle avec force que vous disposez d’un droit fondamental à ne pas être tracé(e) à des fins publicitaires sans avoir préalablement consenti. Ce droit, consacré par l’article 82 de la loi Informatique et Libertés, s’applique à tout site web accessible depuis la France, quelle que soit la localisation de la société qui l’exploite.

Concrètement, aucun cookie ou traceur soumis à consentement — notamment les cookies publicitaires permettant de vous cibler en fonction de votre comportement de navigation — ne doit être déposé sur votre ordinateur, tablette ou smartphone avant que vous n’ayez exprimé votre choix via le bandeau cookies ou l’interface de gestion des consentements. Si un site procède à de tels dépôts avant votre interaction avec ce bandeau, il viole la loi.

---

B. EXERCER VOS DROITS EN CAS DE NON-CONFORMITÉ

 

Si vous constatez qu’un site procède au dépôt de traceurs sans votre consentement préalable, ou que votre refus n’est pas respecté, vous disposez de plusieurs voies de recours :

—-Formuler une plainte auprès de la CNIL (https://www.cnil.fr/fr/plaintes) : la CNIL traite les plaintes individuelles et peut, selon le volume de signalements reçus, déclencher une procédure de contrôle. La délibération SHEIN illustre l’efficacité de ce mécanisme, la CNIL ayant agi d’office à la suite d’un contrôle en ligne.

—-Utiliser les outils techniques à votre disposition : vous pouvez à tout moment effacer les cookies déposés sur votre navigateur via les paramètres de confidentialité de celui-ci (onglet « Confidentialité » ou « Cookies » selon les navigateurs). L’utilisation d’un bloqueur de publicités ou d’une extension de gestion des traceurs peut également vous offrir une protection complémentaire.

—-Exercer votre droit d’accès et d’effacement auprès du responsable de traitement, conformément aux articles 15 et 17 du RGPD : vous pouvez demander à la société quels cookies ont été déposés sur votre terminal et exiger leur suppression.

---

C. VÉRIFIER L’EFFECTIVITÉ DES MÉCANISMES DE CONSENTEMENT

 

La délibération SHEIN révèle que les bandeaux cookies peuvent être techniquement défaillants : cliquer sur « Tout refuser » ne garantit pas toujours que les traceurs ne sont effectivement pas déposés. Si vous souhaitez vous assurer que votre refus est respecté, vous pouvez :

—-Vérifier, via l’inspecteur de cookies de votre navigateur (accessible via les outils de développement, touche F12), si des cookies tiers sont présents sur votre terminal après avoir cliqué sur « Tout refuser » ;
—-Utiliser des extensions spécialisées (Privacy Badger, uBlock Origin, Consent-O-Matic) qui bloquent automatiquement les traceurs non consentis, indépendamment du comportement du bandeau cookies du site ;
—-Signaler à la CNIL tout comportement suspect constaté, en joignant des captures d’écran ou des exports de la liste de cookies détectés.

---

D. LA PORTÉE DE LA DÉCISION SHEIN POUR VOUS EN TANT QUE CONSOMMATEUR

 

La condamnation de SHEIN à une amende de 150 millions d’euros n’est pas seulement un signal à destination des opérateurs économiques : elle confirme que vos données de navigation ont une valeur économique que certaines entreprises cherchent à exploiter sans votre accord. Les traceurs publicitaires déposés sur votre terminal permettent de reconstituer votre profil de consommateur, de vous cibler avec des publicités personnalisées et, dans certains cas, d’inférer des informations sensibles sur vos habitudes, vos préférences et vos comportements.

La CNIL, dans sa décision, souligne le caractère massif du traitement — 12 millions de personnes résidant en France visitant shein.com chaque mois. Chacune de ces personnes a été potentiellement affectée par les pratiques sanctionnées. La décision constitue donc non seulement une sanction financière mais aussi une reconnaissance institutionnelle de l’ampleur des atteintes portées à la vie privée des consommateurs français par les grandes plateformes de commerce électronique.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-005 du 1er septembre 2025, par laquelle la formation restreinte de la CNIL a infligé à la société INFINITE STYLES SERVICES CO. LIMITED — filiale irlandaise du groupe SHEIN, opérant le site shein.com fréquenté par 12 millions de visiteurs mensuels en France — une amende historique de 150 millions d’euros sur le seul fondement de l’article 82 de la loi Informatique et Libertés, constitue un jalon jurisprudentiel majeur de l’année 2025 en matière de protection des données dans le domaine des communications électroniques. La décision confirme, avec une rigueur sans faille, la compétence pleine et entière de la CNIL à l’égard de tout opérateur déposant des traceurs sur les terminaux d’utilisateurs résidant en France, indépendamment de la localisation de son siège social dans un autre État membre de l’Union européenne et nonobstant l’existence d’un établissement principal en Irlande, le mécanisme du guichet unique du RGPD n’ayant aucune vocation à s’appliquer aux opérations relevant de la directive ePrivacy — « transposée en droit interne à l’article 82 de la loi Informatique et Libertés » —, ainsi que l’avait définitivement consacré le Conseil d’État dans ses arrêts GOOGLE LLC (n° 449209, 28 janvier 2022) et AMAZON EUROPE CORE (n° 451423, 27 juin 2022). Sur le fond, la formation restreinte a retenu quatre manquements distincts à l’article 82, tous d’une gravité caractérisée : dépôt automatique de traceurs publicitaires dès l’arrivée sur le site, avant tout consentement exprimé ; deux bandeaux d’information « ne contenant aucune information sur la finalité publicitaire des traceurs » ; absence totale d’identification nominative des partenaires tiers au second niveau d’information ; et, le plus grave, mécanisme de refus techniquement inopérant — cliquer sur « Tout refuser » ne produisant aucun effet réel, « de nouveaux traceurs étaient pourtant déposés et d’autres, déjà présents, continuaient d’être lus » —, privant ainsi le consentement de toute substance et transformant le bandeau cookies en un instrument de conformité illusoire. Pour fixer le quantum de la sanction, la formation restreinte a mobilisé les critères de l’article 83 du RGPD, en tenant compte de l’ampleur exceptionnelle du traitement, de la pluralité et de la persistance des manquements malgré les lignes directrices publiées dès 2013 et la jurisprudence abondante de la CNIL depuis SAN-2020-012 (GOOGLE, 100 M€) et SAN-2020-013 (FACEBOOK, 60 M€) jusqu’aux plus récentes décisions SAN-2024-019 (ORANGE, 50 M€), SAN-2025-010 (CONDÉ NAST, 750 K€) et SAN-2025-017 (INTERSPORTS, 3,5 M€), tout en prenant en compte, conformément aux exigences de la CJUE formulées dans les arrêts Deutsche Wohnen (C-807/21, 5 décembre 2023) et Ilva A/S (C-383/23, 13 février 2025), la capacité économique réelle de la société — sans que la dégradation financière invoquée par SHEIN pour l’année 2024 n’emporte une réduction significative du montant —, les mesures correctives apportées en cours d’instruction ayant conduit à l’absence de prononcé d’injonction sans pour autant exonérer la société de sa responsabilité pour les faits passés ; cette décision, prononcée le même jour que la sanction de 325 millions d’euros à l’encontre de GOOGLE (SAN-2025-004), traduit une politique répressive de pleine maturité de l’autorité française de protection des données, qui entend désormais peser de tout son poids sur les grandes plateformes du e-commerce international opérant sur le marché français, en leur signifiant que l’obligation de recueil du consentement préalable en matière de cookies n’est ni négociable, ni susceptible d’être contournée par une architecture juridique ou technique de façade.