La CNIL sanctionne Shein pour violation des règles sur les cookies

Dans une délibération SAN-2025-005 du 1er septembre 2025, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné la société INFINITE STYLES SERVICES CO. LIMITED, qui opère notamment sous la marque «SHEIN», pour des manquements graves à la réglementation sur les cookies. Cette société irlandaise, responsable depuis août 2023 de la gestion des sous-domaines européens du site shein.com, se trouvait au cœur d’un litige portant sur le respect des obligations de consentement préalable au dépôt de traceurs. Comme l’indique la formation restreinte: «les pratiques de la société constituaient une atteinte substantielle au droit au respect à la vie privée des personnes concernées».

La CNIL sanctionne Google notamment pour l'insertion de publicités entre les e-mails reçus dans Gmail

Dans une délibération SAN-2025-004 du 1er septembre 2025, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED pour des manquements graves aux règles de protection des données personnelles.

Les faits et le contexte

Cette procédure trouve son origine dans une plainte déposée le 24 août 2022 par l’organisation None Of Your Business (NOYB), mandatée pour le compte de trois plaignants dénonçant «des courriels publicitaires dans l’onglet “Promotions” de leur messagerie électronique Gmail sans consentement». L’enjeu central porte sur le respect des obligations de consentement, tant pour le dépôt de cookies publicitaires que pour la prospection commerciale par voie électronique.

Publicité ciblée et médias en ligne : un mal facultatif ?

L’avenir des médias n’est pas rose. La numérisation et les contenus “gratuits”, pour ne citer que ces deux éléments, ont exigé des médias traditionnels qu’ils repensent leurs activités, diversifient leurs sources de revenus, proposent de nouveaux services adaptés non seulement aux envies et besoins du lectorat, mais aussi aux nouveaux canaux de distribution de l’information.

Des abonnements ad nauseam

Il y a encore une dizaine d’années, le journal (papier) était, avec le téléphone mobile et l’ADSL, un des seuls services à être proposé par le biais d’abonnements, notamment annuels. Depuis, Netflix est passé par là, tout comme Spotify et Apple pour la musique, Microsoft et Sony pour le jeu en ligne, et d’autres encore. Les gens croulent sous les abonnements, ceux-ci représentant des frais fixes qui, cumulés, constituent une charge financière importante. Ainsi, on ne s’abonne plus qu’à un seul média, au lieu de deux ou trois il y a encore quelques années, par exemple Le Temps, L’Hebdo (paix à son âme), Vigousse, Bilan. Le Monde relaie d’ailleurs une étude de l’Institut Reuters du mois de juin 2019 dont les auteurs

GDPR et le Web Analytics Tracking (comme Google Analytics)

Après m’être intéressé au consentement dans le cadre du marketing (digital), je vous propose de me pencher, en souplesse, sur les conséquences du Règlement général sur la protection des données (RGPD, ou GDPR en anglais) sur les outils d’analyse de trafic web, comme Google Analytics. Ces outils sont extrêmement répandus, en particulier celui de Google.

NB. Ce blog utilise un système d’analyse (Matomo) qui ne vous piste pas et respecte votre vie privée. Plus d’information ici.

L’administrateur d’une page Facebook serait coresponsable de traitement

Ces dernières années, la Cour de justice de l’Union européenne (CJUE) a rendu bon nombre de décisions en matière de protection des données et de la sphère privée. On se souvient notamment de l’annulation du Safe Harbour, de l’instauration d’un droit à l’oubli sur les moteurs de recherche et de l’invalidation d’une directive sur la conservation des données de communication. Et comme elle ne semble pas vouloir s’arrêter là, elle s’érige de plus en plus comme le dernier rempart européen de la protection des données des citoyens quand le Parlement et la Commission, ainsi que les États membres, font défaut. Mais va-t-elle un peu trop loin ?

Que vaut l'Intelligent Tracking Prevention de Safari 11 ?

À la conférence des développeurs (WWDC) de cette année, Apple a dévoilé une nouvelle version de son navigateur web Safari, dont le moteur (WebKit) intègrera désormais un système intelligent de prévention du tracking à travers plusieurs sites web. Apple vante ce système sur son site, mais que vaut-il réellement ?

Vous vous rappelez avoir regardé en ligne ce joli VTT vert ? Et avoir vu ensuite fleurir partout, sur tous les sites que vous avez visités, des pubs pour des VTT verts ? Désormais, Safari utilise une technologie d’apprentissage automatique pour identifier les publicitaires et tous ceux qui suivent à la trace votre comportement en ligne, et supprimer les données de traçage d’un site à l’autre. Parce que votre navigation ne regarde que vous.

continuer la lecture

[Vidéo Lightbeam] Voilà ce qu'il se passe quand vous visitez un site

Dans le cadre de l’opération spéciale Big Data de la RTS, j’avais réalisé le 19 avril 2016 une vidéo montrant une utilisation de Lightbeam pour l’émission A bon entendeur, qui ne l’a finalement pas utilisée. Qu’à cela ne tienne, je vous la propose donc ici.

Lightbeam

Cette vidéo montre un écran d’ordinateur (Apple) où sont affichées deux fenêtres de navigation Firefox (version 45), l’une affichant les sites que je visite, l’autre montrant les résultats du plug-in Lightbeam. Selon ses concepteurs,

Lignes directrices pour obtenir le consentement des internautes pour l'utilisation de cookies

Le groupe de travail “article 29” sur la protection des données (ci-après : G29) a émis le mois dernier une opinion comprenant des lignes directrices (en anglais uniquement) concernant les méthodes d’obtention du consentement des internautes quant à l’utilisation de cookies. Je vous propose de vous en faire une synthèse avec les principaux points.

Pour rappel, le G29 a été institué par la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il comprend notamment un membre de chaque autorité nationale de contrôle des Etats membres (soit l’équivalent du Préposé fédéral à la protection des données et à la transparence).

Ghostery, un plug-in qui empêche d'être suivi à la trace sur le web

Depuis quelque temps, je râle beaucoup contre la diminution de la vie privée sur Internet. Voyez-vous, si je n’ai pas nécessairement des choses à cacher, je n’apprécie pas qu’on collecte des données à mon sujet et à tout bout de champ, même si cela permet à Google ou Facebook d’être gratuits. J’ai donc cherché un moyen de savoir ce qui se cache derrière chaque site que je visite, et d’empêcher que cela collecte des données et me suive partout.

Communication de données personnelles par un FAI, notamment l'adresse IP

Il y a plusieurs jours, @MlleFunambuline m’a demandé ce qu’il en était au sujet de la “protection des données concernant les accès au web en Suisse”, en particulier si une adresse IP peut être divulguée par un fournisseur d’accès à Internet (FAI), par exemple si ses clients violent la loi sur le droit d’auteur. Je vais tenter d’y apporter une réponse détaillée.

Le cadre juridique international

En ce qui concerne la protection des données à l’échelon européen et/ou international, plusieurs textes doivent être pris en compte.