François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

La CNIL sanctionne Shein pour violation des règles sur les cookies

05/09/2025 6 Min. lecture Droit François Charlet

Dans une délibération SAN-2025-005 du 1er septembre 2025, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné la société INFINITE STYLES SERVICES CO. LIMITED, qui opère notamment sous la marque «SHEIN», pour des manquements graves à la réglementation sur les cookies. Cette société irlandaise, responsable depuis août 2023 de la gestion des sous-domaines européens du site shein.com, se trouvait au cœur d’un litige portant sur le respect des obligations de consentement préalable au dépôt de traceurs. Comme l’indique la formation restreinte: «les pratiques de la société constituaient une atteinte substantielle au droit au respect à la vie privée des personnes concernées».

Les faits et le contexte

L’affaire trouve son origine dans un contrôle en ligne effectué le 10 août 2023 sur le site web shein.com, au cours duquel la délégation de la CNIL a reproduit le parcours d’un utilisateur français. Le groupe INFINITE STYLES, dont la maison mère ROADGET BUSINESS PTE LTD est située à Singapour, développe ses activités de vente de vêtements et accessoires principalement via son site web, générant plus de 20 millions de visites depuis la France entre janvier et juillet 2023.

La structure complexe du groupe révèle une organisation transnationale où la société INFINITE STYLES ECOMMERCE FRANCE, établie à Paris avec 23 salariés, «promeut la marque SHEIN par le biais d’activités de marketing hors ligne», tandis qu’INFINITE STYLES SERVICES CO. LIMITED gère techniquement les cookies sur les sites européens. Cette répartition des rôles constituera un enjeu central pour déterminer la compétence territoriale de la CNIL.

Le contrôle a révélé des dysfonctionnements majeurs dans la gestion des cookies: dépôt automatique de traceurs publicitaires dès l’arrivée sur le site, coexistence confuse de deux interfaces de recueil du consentement, et ineffectivité des mécanismes de refus et de retrait. Ces constats techniques s’inscrivent dans un contexte réglementaire précis, la directive «ePrivacy» étant transposée en France par l’article 82 de la loi Informatique et Libertés.

La défense de Shein

La société INFINITE STYLES SERVICES CO. LIMITED a déployé une stratégie de défense articulée autour de plusieurs axes. Concernant la compétence de la CNIL, elle soutenait que «dès lors que les cookies qu’elle dépose sur les terminaux des utilisateurs permettent la collecte et le traitement de données à caractère personnel, le traitement en cause relève du RGPD et non de la loi Informatique et Libertés». Elle argumentait également que le mécanisme du guichet unique européen s’appliquait, rendant l’autorité irlandaise seule compétente.

Sur le fond, la société minimisait la portée des manquements constatés. Elle considérait que certains cookies de plafonnement publicitaire «facilitent la navigation de l’utilisateur en empêchant que soient présentées trop souvent les mêmes publicités» et ne nécessitaient donc pas de consentement. Concernant le cookie de mesure d’audience «cookieId», elle reprochait au rapporteur de «se fonder sur les lignes directrices et recommandations de la CNIL en matière de cookies, dépourvues de valeur normative».

Les arguments de la CNIL

La formation restreinte de la CNIL a fermement répondu à ces arguments. Sur la compétence, elle rappelait que «le Conseil d’État a, dans sa décision Société GOOGLE LLC du 28 janvier 2022, confirmé que le contrôle des opérations d’accès ou d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, relève de la compétence de la CNIL». Le point de désaccord portait essentiellement sur l’articulation entre les régimes RGPD et «ePrivacy», la CNIL défendant une approche distincte selon la nature des opérations.

Concernant la compétence territoriale, elle a développé une argumentation approfondie sur la notion d’«établissement». Reprenant la jurisprudence européenne, elle considère que «la notion d’établissement doit être appréciée de façon souple» et que «la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante» (CJUE, 1er octobre 2015, Weltimmo, C 230/14)

L’autorité a estimé que la société française INFINITE STYLES ECOMMERCE FRANCE constituait un établissement d’INFINITE STYLES SERVICES CO. LIMITED, les deux entités étant «liées économiquement» et «entretenant des liens étroits d’une nature telle qu’ils rapprochent les deux sociétés au point de les unir dans une entité économique». Cette qualification permettait d’établir que le traitement était effectué «dans le cadre des activités» de l’établissement français.

Sur les manquements substantiels, la CNIL a procédé à une analyse détaillée des obligations en matière de cookies. Elle a relevé que l’article 82 de la loi Informatique et Libertés «impose le recueil d’un consentement préalable avant de procéder à des opérations de lecture ou d’écriture sur l’équipement terminal». Concernant les cookies publicitaires déposés sans consentement, elle a rappelé qu’«une jurisprudence constante du Conseil d’État» confirme cette obligation (CE, 14 mai 2024, n° 472221 ; CE, 27 juin 2022, n° 451423 ; CE, 28 janvier 2022, n° 449209).

L’autorité a particulièrement insisté sur l’inefficacité des mécanismes de choix des utilisateurs. Elle a souligné que «le fait que des cookies soumis au consentement continuent d’être lus et que des cookies supplémentaires soient malgré tout déposés après qu’il a fermé les fenêtres surgissantes a pour effet de priver d’effectivité le choix exprimé par l’utilisateur».

Les conclusions de la CNIL

La formation restreinte a prononcé une sanction sévère: une amende administrative de 150 millions d’euros, accompagnée de la publication de la décision. Pour justifier ce montant, elle s’est appuyée sur la notion d’«entreprise» au sens du droit de la concurrence, permettant de retenir le chiffre d’affaires de la maison mère du groupe.

Cette sanction s’appuie sur plusieurs critères aggravants: le caractère massif du traitement avec «plus de 20 millions de visites en provenance du territoire français entre les mois de janvier et juillet 2023», la négligence de la société qui «ne pouvait pas ignorer» ses obligations, et les avantages financiers tirés du manquement. La formation restreinte a estimé que «en déposant les cookies publicitaires avant que les personnes y consentent et en ne leur délivrant pas d’informations de manière claire et complète, la société réduit le risque que ces cookies soient refusés».

Enfin, la décision confirme la compétence territoriale de la CNIL pour les cookies déposés en France, même par des groupes internationaux, et précise les modalités d’application de la notion d’«établissement» dans un contexte transnational. Elle rappelle également que «les lignes directrices et la recommandation de la Commission du 17 septembre 2020 n’ont certes pas de caractère impératif», mais «visent à interpréter les dispositions législatives applicables».

La formation restreinte a toutefois pris acte des mesures correctives déployées par la société en cours de procédure, ce qui l’a conduite à ne pas prononcer d’injonction de mise en conformité.

Cette délibération peut faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.

(Résumé assisté par l’IA)

Jurisprudence Protection des données Cookies Publicité
© 2008 - 2025 François Charlet
This work is licensed under a Creative Commons Attribution 4.0 International License