RGPD, COOKIES & PUBLICITÉ

La CNIL a prononcé des amendes record contre Shein (150 millions d’euros) et Google (325 millions d’euros) pour manquements aux règles en matière de cookies et de publicité (Délibération de la formation restreinte n°SAN-2025-005 du 1er septembre 2025 concernant la société Infinite styles services Co. ltd et Délibération de la formation restreinte n°SAN-2025-004 du 1er septembre 2025 concernant les sociétés Google LLC et Google Ireland ltd).

Par deux délibérations du 1er septembre 2025, la formation restreinte de la CNIL a lourdement sanctionné Shein et Google, pour violation des règles en matière de cookies (et autres traceurs) et de publicité électronique.

La filiale irlandaise du groupe Shein a ainsi été condamnée à une amende de 150 millions d’euros pour avoir déposé des cookies publicitaires sur le site shein.com, sans consentement valable des uFlisateurs. En effet, certains cookies étaient déposés dès l’arrivée sur la page d’accueil, avant toute action de l’internaute sur le bandeau cookies prévu à cet effet. Par ailleurs, le dispositif de recueil du consentement prévu sur le site n’était pas conforme à la réglementation. En effet, les internautes pouvaient donner leur accord soit via un bandeau ne précisant pas la finalité publicitaire des traceurs, soit via une fenêtre proposant un seul bouton « J’accepte », sans opFon de refus. Selon la CNIL, ce double disposiFf était de nature à orienter indûment le choix de l’utilisateur. De plus, l’information donnée à l’internaute, dans l’onglet « Paramètres des cookies », se limitait à la description des types de cookies utilisés, sans mentionner l’identité des éditeurs Fers. Enfin, certains cookies continuaient d’être déposés ou lus, même après un refus ou un retrait du consentement de l’internaute.

Le même jour, la CNIL a également infligé une amende (la plus élevée jamais prononcée par elle) de 325 millions à l’encontre de Google Ireland Limited et Google LLC, pour avoir déposé des traceurs publicitaires, sans consentement valide des utilisateurs, lors de la création de comptes Google. La CNIL a ainsi relevé que l’utilisateur n’était pas clairement informé que l’accès aux services Google était

conditionné au dépôt de traceurs pour de la publicité personnalisée ou générique. De surcroît, l’utilisateur ne pouvait pas refuser les cookies liés à la personnalisation des annonces aussi simplement qu’il pouvait les accepter. Par ailleurs, la CNIL a également reproché à Google d’avoir affiché des publicités, sous forme de courriels, dans les onglets « Promotions » et « Réseaux sociaux » de la messagerie électronique Gmail, sans avoir recueilli l’accord préalable des utilisateurs, par exemple via une case d’opt-in.

La CNIL justifie le montant exceptionnellement élevé de ces amendes par le nombre particulièrement important de personnes concernées, la gravité et la répétition des manquements reprochés (Google avait déjà été sanctionnée par la CNIL, pour des pratiques similaires, à hauteur de 100 millions d’euros en 2020 et 150 millions d’euros en 2021), la position dominante des deux acteurs, les bénéfices

économiques Frés de ces pratiques illicites, et leurs fortes capacités financières.