CNIL | SAN-2025-005 | 1er septembre 2025 | Affaire INFINITE STYLES SERVICES CO. LIMITED | MANQUEMENTS

LE CADRE NORMATIF APPLICABLE : L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS COMME FONDEMENT UNIQUE DE LA SANCTION

La délibération SAN-2025-005 présente la particularité remarquable de reposer sur un fondement normatif unique : l’article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, qui transpose l’article 5, §3, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après « la directive ePrivacy »).

La formation restreinte rappelle le texte de cet article dans toute sa rigueur :

« tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »

La formation restreinte précise en outre que, depuis l’entrée en application du RGPD, le consentement prévu à l’article 82 doit s’entendre au sens de l’article 4, §11, du RGPD, c’est-à-dire qu’il doit être « donné de manière libre, spécifique, éclairée et univoque et se manifeste par un acte positif clair ». Seuls les traceurs strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur et les traceurs ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique sont exemptés de cette obligation.

---

ANALYSE DÉTAILLÉE DES QUATRE MANQUEMENTS RETENUS

---

A. PREMIER MANQUEMENT — DÉPÔT DE TRACEURS PUBLICITAIRES SANS CONSENTEMENT PRÉALABLE

 

1. MOTIVATION DE LA CNIL

La formation restreinte a constaté, lors du contrôle en ligne effectué en août 2023, que plusieurs traceurs à finalité publicitaire étaient déposés sur le terminal des utilisateurs se rendant sur le site shein.com « dès leur arrivée sur le site, avant même qu’ils n’interagissent avec le bandeau d’information pour exprimer un choix ». Ce manquement constitue la violation la plus directe et la plus caractérisée de l’article 82 de la loi Informatique et Libertés : le dépôt de traceurs soumis à consentement avant tout acte positif de l’utilisateur est, par nature, incompatible avec l’exigence d’un consentement préalable, libre, spécifique et éclairé.

La formation restreinte souligne que ce grief n’est pas circonstanciel mais constitutif d’une architecture technique délibérée : le site était configuré de telle manière que, dès le chargement de la page, des scripts tiers publicitaires s’exécutaient et procédaient au dépôt de cookies sur le terminal du visiteur, sans attendre l’interaction de celui-ci avec l’interface de gestion des consentements. Cette pratique, documentée par les constatations techniques de la délégation lors du contrôle en ligne, prive de toute substance l’obligation de recueil du consentement préalable.

La formation restreinte rappelle que cette exigence est aujourd’hui parfaitement connue de tout opérateur numérique d’envergure : « la Commission a accompagné les acteurs du numérique dès 2013, en publiant une recommandation et des lignes directrices rappelant les principes qu’il convient de respecter pour permettre l’utilisation des cookies et autres traceurs. De nouvelles recommandations et lignes directrices ont été adoptées en 2020 et ont, elles aussi, fait l’objet d’une large diffusion ». Elle rappelle en outre « avoir déjà sanctionné à de nombreuses reprises des organismes pour non-respect de l’obligation de recueillir le consentement de l’utilisateur avant toute opération de lecture et/ou d’écriture », en visant expressément les délibérations SAN-2020-012 et SAN-2020-013 du 7 décembre 2020, validées par le Conseil d’État dans ses décisions n° 449209 du 28 janvier 2022 et n° 451423 du 27 juin 2022.

2. AXES DE DÉFENSE DE LA SOCIÉTÉ

En défense, la société INFINITE STYLES SERVICES CO. LIMITED a contesté la qualification des traceurs en cause comme étant soumis à consentement préalable, faisant valoir que certains d’entre eux pouvaient relever d’une catégorie exemptée ou que leur finalité était insuffisamment caractérisée comme publicitaire. Ces arguments n’ont pas emporté la conviction de la formation restreinte, qui s’est fondée sur les constatations techniques objectives réalisées lors du contrôle en ligne.

---

---

B. DEUXIÈME MANQUEMENT — DEUX INTERFACES D’INFORMATION INCOMPLÈTES AU PREMIER NIVEAU

 

1. MOTIVATION DE LA CNIL

La formation restreinte a constaté l’existence de deux interfaces distinctes liées à la gestion des cookies sur le site shein.com, toutes deux insuffisantes au regard des exigences de l’article 82 de la loi Informatique et Libertés et des lignes directrices et recommandation de la CNIL de 2020.

Le premier bandeau comportait trois boutons intitulés « Paramètres des cookies », « Tout refuser » et « Accepter ». Malgré la présence de ces trois boutons, qui auraient pu laisser penser à une conformité formelle, la formation restreinte a constaté que ce bandeau « ne contenait aucune information sur la finalité publicitaire des traceurs ». L’absence d’information sur la finalité publicitaire prive l’utilisateur de la capacité à exercer un consentement « éclairé » au sens de l’article 4, §11, du RGPD : comment un utilisateur peut-il consentir à quelque chose dont il ne connaît pas la nature et la finalité ?

Une seconde fenêtre surgissante, dont le fonctionnement a également été constaté lors du contrôle, « contenant uniquement un bouton permettant d’accepter les traceurs, ne comportait pas non plus d’information sur leur finalité ». Cette deuxième interface aggrave le grief : non seulement elle ne contient aucune information utile sur les finalités des traceurs, mais elle ne propose aucun mécanisme de refus à ce niveau, ce qui induit structurellement un biais en faveur de l’acceptation.

La formation restreinte rappelle que les lignes directrices et la recommandation de la CNIL publiées en 2020 imposent que l’information délivrée au premier niveau du bandeau cookies permette à l’utilisateur de comprendre les finalités des traceurs pour lesquels son consentement est sollicité, et notamment leur finalité publicitaire lorsqu’elle est présente. L’absence totale de cette information transforme le bandeau cookies en un instrument purement formel, vidé de sa substance informationnelle.

2. AXES DE DÉFENSE DE LA SOCIÉTÉ

La société a fait valoir que ses bandeaux d’information étaient conformes aux usages du marché et que l’information sur les finalités était accessible au second niveau (paramètres). La formation restreinte n’a pas retenu cet argument : l’information au premier niveau doit être suffisante pour permettre à l’utilisateur de comprendre l’objet de sa décision, et le renvoi systématique au second niveau ne saurait pallier l’insuffisance du premier niveau.

---

---

C. TROISIÈME MANQUEMENT — SECOND NIVEAU D’INFORMATION INSUFFISANT : ABSENCE D’IDENTIFICATION DES PARTENAIRES TIERS

 

1. MOTIVATION DE LA CNIL

Ce troisième grief, distinct du précédent, porte sur les lacunes du second niveau d’information, accessible en cliquant sur le bouton « Paramètres des cookies ». La formation restreinte a constaté qu’« aucune information sur l’identité des tiers susceptibles de déposer des traceurs n’était délivrée à ce second niveau d’information ».

Ce manquement est d’une particulière gravité au regard du modèle économique du site shein.com, qui repose sur une infrastructure publicitaire programmatique impliquant de nombreux partenaires tiers (régies publicitaires, data management platforms, partenaires de mesure d’audience, prestataires de retargeting). L’absence d’identification nominative de ces partenaires au second niveau d’information prive l’utilisateur de la possibilité d’exercer un consentement véritablement « spécifique » : il ne peut consentir à une chose dont il ignore les acteurs.

La formation restreinte rappelle que les lignes directrices de la CNIL de 2020 imposent au second niveau d’information la communication de « la liste des acteurs recourant à des cookies ou traceurs », y compris les tiers opérant pour le compte du responsable de traitement. Cette exigence n’est pas une simple recommandation de bonne pratique : elle est constitutive de la licéité du consentement recueilli, qui ne peut être « éclairé » que si l’utilisateur est en mesure de savoir qui déposera des cookies sur son terminal et à quelles fins.

2. AXES DE DÉFENSE DE LA SOCIÉTÉ

En défense, la société a soutenu que l’identification exhaustive de chaque partenaire tiers était techniquement complexe et que les catégories de finalités affichées au second niveau suffisaient à informer l’utilisateur. La formation restreinte n’a pas accueilli cet argument : la complexité technique de l’identification des partenaires ne peut constituer une cause d’exonération de l’obligation légale d’information.

---

---

D. QUATRIÈME MANQUEMENT — MÉCANISMES DE REFUS ET DE RETRAIT DU CONSENTEMENT DÉFAILLANTS : LE GRIEF LE PLUS GRAVE

 

1. MOTIVATION DE LA CNIL

Ce quatrième et dernier manquement est incontestablement le plus grave de ceux retenus par la formation restreinte, en ce qu’il touche à l’effectivité même du consentement. Il a été établi avec certitude que, « lorsqu’un utilisateur se rendant sur le site “shein.com” cliquait sur le bouton “Tout refuser” présent dans le bandeau, ou quand il décidait de retirer son consentement à l’inscription de traceurs sur son terminal, de nouveaux traceurs étaient pourtant déposés et d’autres, déjà présents, continuaient d’être lus ».

Ce constat revêt une dimension particulièrement sévère : le mécanisme de refus, qui constitue la contrepartie indissociable du mécanisme d’acceptation, était techniquement inopérant. Cliquer sur « Tout refuser » ne produisait pas l’effet que l’utilisateur était en droit d’attendre, à savoir le non-dépôt et la non-lecture de tout traceur non essentiel. Pire, de nouveaux traceurs continuaient à être déposés après l’expression d’un refus, ce qui caractérise une violation particulièrement flagrante de l’article 82 de la loi Informatique et Libertés.

La formation restreinte rappelle que l’article 82 de la loi Informatique et Libertés « offre nécessairement à l’utilisateur la possibilité de refuser ce dépôt, ou de revenir sur son choix d’accepter que des cookies et/ou traceurs soient déposés sur son terminal en retirant son consentement ». Un bandeau cookies dont le bouton « Tout refuser » ne produit pas d’effet réel sur le dépôt de traceurs constitue une violation manifeste de cette disposition, indépendamment de toute considération sur la qualité de l’information délivrée. C’est l’instrument même du consentement qui est ici rendu illusoire.

Ce type de dysfonctionnement avait déjà été sanctionné par la formation restreinte dans d’autres affaires, notamment dans la délibération SAN-2025-007 du 11 septembre 2025 (ORANGE SA), dans laquelle la formation restreinte avait constaté que « lorsque les utilisateurs du site orange.fr retiraient leur consentement, de nouveaux cookies étaient tout de même déposés ». La délibération SAN-2021-023 (GOOGLE, 150 millions d’euros, 31 décembre 2021) avait également retenu ce grief comme l’un des plus significatifs : la difficulté du refus, opposée à la facilité de l’acceptation, constituait une violation du caractère libre et univoque du consentement.

2. AXES DE DÉFENSE DE LA SOCIÉTÉ

La société a invoqué, en défense, des difficultés techniques dans l’implémentation de la CMP (Consent Management Platform) et la complexité de la synchronisation entre les différents partenaires tiers pour justifier certains dysfonctionnements dans le mécanisme de refus. Elle a également fait état de mesures correctives entreprises en cours de procédure. La formation restreinte a pris acte de ces mesures correctives — ce qui a conduit à l’absence de prononcé d’une injonction — mais a expressément rappelé que « les mesures de mise en conformité adoptées ne sauraient exonérer la société de sa responsabilité pour les faits passés ».

---

LA DÉTERMINATION DE LA SANCTION : GRAVITÉ, PROPORTIONNALITÉ ET DISSUASION

---

A. LES CRITÈRES DE L’ARTICLE 83 DU RGPD APPLIQUÉS PAR LA FORMATION RESTREINTE

 

La formation restreinte a procédé à l’examen des critères de l’article 83 du RGPD, auquel renvoie l’article 20, paragraphe IV, de la loi Informatique et Libertés, pour déterminer le montant de l’amende de 150 millions d’euros. Les principaux critères retenus sont les suivants :

Caractère massif du traitement et nombre de personnes concernées : avec 12 millions de visiteurs mensuels en France sur shein.com, l’ampleur du traitement est exceptionnelle. Chaque visite exposait potentiellement l’utilisateur au dépôt de traceurs publicitaires sans consentement préalable, portant ainsi atteinte à la vie privée d’un nombre considérable de personnes.

Pluralité des manquements : quatre griefs distincts, tous constitutifs d’un manquement à l’article 82 de la loi Informatique et Libertés, ont été retenus. Cette pluralité révèle un défaut systémique de conformité et non une simple négligence ponctuelle.

Ancienneté du régime applicable et caractère connu des obligations : les lignes directrices et recommandations cookies de la CNIL ont été publiées dès 2013, puis mises à jour en 2020. Cinq ans après la publication des recommandations de 2020, SHEIN ne s’y était toujours pas conformée. La formation restreinte souligne que la jurisprudence de la CNIL en la matière est abondante et connue, et que « de nombreuses reprises des organismes [ont été sanctionnés] pour non-respect de l’obligation de recueillir le consentement ».

Situation économique de l’organisme : conformément à la jurisprudence de la CJUE (CJUE, grande chambre, 5 décembre 2023, Deutsche Wohnen, C-807/21 ; CJUE, cinquième chambre, 13 février 2025, Ilva A/S, C-383/23), la formation restreinte a pris en compte la capacité économique de la société pour fixer un montant à la fois effectif, proportionné et dissuasif. La société avait fait valoir une dégradation de sa situation financière en 2024, ainsi que la faible marge caractéristique du secteur de la fast fashion, sans que ces arguments n’aient conduit à une réduction significative du quantum de la sanction.

---

B. L’ABSENCE D’INJONCTION DE MISE EN CONFORMITÉ

 

La formation restreinte a renoncé au prononcé d’une injonction de mise en conformité, au motif que la société avait procédé à des modifications de son site au cours de l’instruction, corrigeant les dysfonctionnements constatés lors du contrôle de 2023. Cette décision, qui distingue la sanction pécuniaire (tournée vers le passé) de l’injonction (tournée vers l’avenir), illustre la politique cohérente de la CNIL : récompenser les mises en conformité intervenues en cours de procédure par l’abandon de l’injonction, tout en maintenant la sanction financière pour les faits passés.

---

DISPOSITIF — VERBATIM INTÉGRAL

La formation restreinte de la Commission nationale de l’informatique et des libertés, après en avoir délibéré, décide :

— De *prononcer à l’encontre de la société INFINITE STYLES SERVICES CO. LIMITED une amende administrative d’un montant de 150 millions d’euros pour manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;***

— De *rendre publique sa délibération, qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication, conformément aux dispositions de l’article 22, alinéa 2, de la loi du 6 janvier 1978 modifiée.***

---

CONTEXTUALISATION JURISPRUDENTIELLE — LES MANQUEMENTS À L’ARTICLE 82 DANS LA JURISPRUDENCE CNIL

---

JURISPRUDENCES ANTÉRIEURES SUR PROBLÉMATIQUES SIMILAIRES

 

Les quatre manquements retenus dans la délibération SAN-2025-005 s’inscrivent dans une jurisprudence constante et cohérente de la formation restreinte.

Sur le dépôt de traceurs sans consentement préalable : ce grief est au cœur des délibérations SAN-2020-012 (GOOGLE, 100 M€) et SAN-2020-013 (FACEBOOK, 60 M€) du 7 décembre 2020, qui constituent les arrêts fondateurs de la politique répressive de la CNIL en matière de cookies. Ces deux décisions ont établi définitivement que le dépôt automatique de traceurs publicitaires dès l’arrivée sur un site, sans interaction préalable de l’utilisateur avec un bandeau d’information, caractérise un manquement à l’article 82 de la loi Informatique et Libertés. Elles ont été validées par le Conseil d’État dans ses décisions n° 449209 et n° 451423. La délibération SAN-2021-023 (GOOGLE, 150 M€, 31 décembre 2021) a renforcé ce socle en sanctionnant spécifiquement l’asymétrie entre le mécanisme d’acceptation (simple) et le mécanisme de refus (complexe ou inopérant).

Sur les bandeaux d’information incomplets : la délibération SAN-2022-027 (TIKTOK, 5 M€, 29 décembre 2022) avait sanctionné l’insuffisance du mécanisme de refus et la complexité excessive de la procédure. La délibération SAN-2023-009 (CRITEO, 40 M€, 15 juin 2023) avait retenu l’absence de consentement valable pour une publicité ciblée fondée sur un profilage behavioural. La délibération SAN-2023-024 (YAHOO! EMEA LIMITED, 10 M€, 29 décembre 2023) avait expressément sanctionné l’absence d’information claire sur les finalités des traceurs.

Sur les mécanismes de refus défaillants : la délibération SAN-2024-019 (ORANGE SA, 50 M€, 14 novembre 2024) avait retenu le grief selon lequel « lorsque les utilisateurs du site orange.fr retiraient leur consentement, de nouveaux cookies étaient tout de même déposés » — grief identique à celui retenu dans l’affaire SHEIN. La délibération SAN-2025-007 du 11 septembre 2025 a prononcé la clôture de l’injonction à l’encontre d’ORANGE SA, témoignant de la mise en conformité effective et du suivi exercé par la CNIL.

---

JURISPRUDENCES POSTÉRIEURES CONFIRMANT LA CONSTANCE

 

SAN-2025-010 (LES PUBLICATIONS CONDÉ NAST, 750 000 euros, 20 novembre 2025) : manquements similaires à l’article 82, incluant absence de consentement préalable et mécanismes de refus défaillants. La formation restreinte a relevé que « la société a déjà fait l’objet d’une mise en demeure qui aurait dû la conduire à se mettre en conformité ».

SAN-2025-011 (AMERICAN EXPRESS CARTE FRANCE, 1,5 M€, 27 novembre 2025) : manquements à l’article 82 et au principe de minimisation (article 5-1-c du RGPD), illustrant que le cumul de fondements normatifs aggrave le montant de la sanction.

SAN-2025-017 (INTERSPORTS, 3,5 M€, 30 décembre 2025) : la délibération retient notamment un manquement à l’article 82 pour dépôt de cookies sans consentement préalable, dans des circonstances très proches de celles de l’affaire SHEIN. La formation restreinte y rappelle avec une particulière netteté que « la Commission a accompagné les acteurs du numérique dès 2013, en publiant une recommandation et des lignes directrices rappelant les principes qu’il convient de respecter pour permettre l’utilisation des cookies et autres traceurs » et que « de nouvelles recommandations et lignes directrices ont été adoptées en 2020 et ont, elles aussi, fait l’objet d’une large diffusion ». Elle rappelle également que « les mesures de mise en conformité adoptées ne sauraient exonérer la société de sa responsabilité pour les faits passés ».

L’ensemble de ce corpus jurisprudentiel, antérieur et postérieur à la délibération SAN-2025-005, atteste de la parfaite cohérence de la politique répressive de la CNIL en matière de cookies : tolérance zéro pour l’absence de consentement préalable, exigence de mécanismes de refus effectifs, et prise en compte du nombre de personnes concernées comme principal facteur d’aggravation du montant des amendes.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-005 du 1er septembre 2025, par laquelle la formation restreinte de la CNIL a infligé à la société INFINITE STYLES SERVICES CO. LIMITED — filiale irlandaise du groupe SHEIN, opérant le site shein.com fréquenté par 12 millions de visiteurs mensuels en France — une amende historique de 150 millions d’euros sur le seul fondement de l’article 82 de la loi Informatique et Libertés, constitue un jalon jurisprudentiel majeur de l’année 2025 en matière de protection des données dans le domaine des communications électroniques. La décision confirme, avec une rigueur sans faille, la compétence pleine et entière de la CNIL à l’égard de tout opérateur déposant des traceurs sur les terminaux d’utilisateurs résidant en France, indépendamment de la localisation de son siège social dans un autre État membre de l’Union européenne et nonobstant l’existence d’un établissement principal en Irlande, le mécanisme du guichet unique du RGPD n’ayant aucune vocation à s’appliquer aux opérations relevant de la directive ePrivacy — « transposée en droit interne à l’article 82 de la loi Informatique et Libertés » —, ainsi que l’avait définitivement consacré le Conseil d’État dans ses arrêts GOOGLE LLC (n° 449209, 28 janvier 2022) et AMAZON EUROPE CORE (n° 451423, 27 juin 2022). Sur le fond, la formation restreinte a retenu quatre manquements distincts à l’article 82, tous d’une gravité caractérisée : dépôt automatique de traceurs publicitaires dès l’arrivée sur le site, avant tout consentement exprimé ; deux bandeaux d’information « ne contenant aucune information sur la finalité publicitaire des traceurs » ; absence totale d’identification nominative des partenaires tiers au second niveau d’information ; et, le plus grave, mécanisme de refus techniquement inopérant — cliquer sur « Tout refuser » ne produisant aucun effet réel, « de nouveaux traceurs étaient pourtant déposés et d’autres, déjà présents, continuaient d’être lus » —, privant ainsi le consentement de toute substance et transformant le bandeau cookies en un instrument de conformité illusoire. Pour fixer le quantum de la sanction, la formation restreinte a mobilisé les critères de l’article 83 du RGPD, en tenant compte de l’ampleur exceptionnelle du traitement, de la pluralité et de la persistance des manquements malgré les lignes directrices publiées dès 2013 et la jurisprudence abondante de la CNIL depuis SAN-2020-012 (GOOGLE, 100 M€) et SAN-2020-013 (FACEBOOK, 60 M€) jusqu’aux plus récentes décisions SAN-2024-019 (ORANGE, 50 M€), SAN-2025-010 (CONDÉ NAST, 750 K€) et SAN-2025-017 (INTERSPORTS, 3,5 M€), tout en prenant en compte, conformément aux exigences de la CJUE formulées dans les arrêts Deutsche Wohnen (C-807/21, 5 décembre 2023) et Ilva A/S (C-383/23, 13 février 2025), la capacité économique réelle de la société — sans que la dégradation financière invoquée par SHEIN pour l’année 2024 n’emporte une réduction significative du montant —, les mesures correctives apportées en cours d’instruction ayant conduit à l’absence de prononcé d’injonction sans pour autant exonérer la société de sa responsabilité pour les faits passés ; cette décision, prononcée le même jour que la sanction de 325 millions d’euros à l’encontre de GOOGLE (SAN-2025-004), traduit une politique répressive de pleine maturité de l’autorité française de protection des données, qui entend désormais peser de tout son poids sur les grandes plateformes du e-commerce international opérant sur le marché français, en leur signifiant que l’obligation de recueil du consentement préalable en matière de cookies n’est ni négociable, ni susceptible d’être contournée par une architecture juridique ou technique de façade.