Écrit le 07/10/2025
Par deux délibérations en date du 1er septembre 2025, la Commission nationale informatique et libertés (CNIL) a sanctionné les sociétés Shein et Google en raison de leur non-respect des règles sur les traceurs (« cookies »).
Par une première délibération, la Commission nationale de l’informatique et des libertés (CNIL) a infligé à la société Infinite Styles Services co. Limited, filiale irlandaise du groupe Shein, une amende de 150 millions d’euros en raison de son non-respect des règles applicables en matière de cookies, déposés sur le terminal des utilisateurs se rendant sur le site « shein.com ».
Par une seconde délibération, elle a également sanctionné la société Google d’une amende d’un montant de 325 millions d’euros, pour avoir affiché des publicités entre les courriels des utilisateurs de Gmail sans leur accord et déposé des traceurs (cookies), lors de la création de comptes Google, sans consentement valide des utilisateurs français.
Ces amendes s’inscrivent dans la continuité des actions menées par la CNIL pour réguler les pratiques non-conformes en matière de suivi et de ciblage des internautes.
En effet, l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, transposant l’article 5.3 de la directive 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques), prévoit l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs. Il prévoit également que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète par le responsable du traitement de la finalité de telles opérations relatives aux cookies et traceurs.
Dès 2019, la CNIL a intensifié son plan d’action sur le ciblage publicitaire en adoptant des lignes directrices rappelant le droit applicable, ainsi qu’une recommandation destinée à éclairer les acteurs utilisant des traceurs sur les modalités concrètes du recueil du consentement de l’internaute. Cette stratégie vise notamment les acteurs éditant des sites et services à forte fréquentation. Depuis 2020, plusieurs sanctions ont été prononcées à l’encontre d’acteurs ne respectant pas la loi en matière de traceurs publicitaires.
Compétente pour contrôler et sanctionner les opérations liées aux traceurs déposés par les sociétés sur les terminaux des internautes situés en France, la formation restreinte de la CNIL a ainsi sanctionné les sociétés Shein et Google sur le fondement de l’article 82 de la loi Informatique et libertés.
Dans l’affaire relative à la société Shein, la CNIL a sanctionné plusieurs pratiques : l’absence de recueil du consentement des utilisateurs avant le dépôt des traceurs, une information incomplète sur la finalité publicitaire des traceurs, ainsi que des mécanismes de refus et de retrait du consentement défaillants. Le montant de l’amende infligée à la société Shein tient compte du fait que cette société a méconnu plusieurs obligations, ainsi que du caractère massif du traitement en raison de la forte fréquentation du site de vente en ligne. Enfin, la formation restreinte de la CNIL a pris acte des modifications apportées sur le site internet au cours de la procédure, et n’a ainsi prononcé aucune injonction de mise en conformité.
Dans la seconde affaire, relative aux sociétés Google Ireland Limited et Google LLC, la CNIL a considéré que le consentement des utilisateurs lors de la création d’un compte Google n’est pas valable, dès lors qu’ils sont incités à choisir les traceurs liés à l’affichage de publicités personnalisées et qu’ils ne sont pas clairement informés que l’accès aux services de Google est conditionné au dépôt de traceurs à finalité publicitaire. En effet, si l’accès à un service peut être conditionné au dépôt de traceurs publicitaires sur les terminaux des utilisateurs (utilisation de « murs de traceurs »), c’est à la condition que ces derniers aient une compréhension complète et claire de la valeur, de la portée et des conséquences de leurs choix.
Si, en octobre 2023, les sociétés du groupe Google ont ajouté une fonctionnalité permettant de refuser aussi facilement que d’accepter les cookies, la CNIL a néanmoins considéré que le défaut d’un consentement éclairé continue de subsister. En complément de l’amende prononcée, elle a ainsi enjoint à Google de fournir une information suffisante pour permettre aux utilisateurs situés en France de comprendre que des cookies poursuivant une finalité publicitaire seront nécessairement déposés lors de la création d’un compte Google.
La société Google a, en outre, été sanctionnée pour son manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique.
Cette obligation est prévue par les dispositions de l’article L. 34-5 du code des postes et des communications électroniques. Les contrôles effectués par la CNIL ont révélé que lorsque les utilisateurs du service de messagerie Gmail activent les « fonctionnalités intelligentes » structurant la boîte de réception entre trois catégories (principale, promotions, réseaux sociaux), des messages publicitaires sont insérés au sein des onglets « Promotions » et « Réseaux sociaux ». Ces messages prennent la forme de courriels et sont affichés parmi les communications personnelles reçues sous une apparence similaire à celle de véritables messages privés. En s’appuyant sur la jurisprudence de la Cour de justice de l’Union européenne, la CNIL a qualifié ces messages de prospection directe par voie électronique, dès lors qu’ils visent à promouvoir des biens ou des services, qu’ils ne sont pas adressés par un expéditeur identifié par l’utilisateur et qu’ils apparaissent dans un espace réservé à des correspondances privées en adoptant la présentation visuelle de courriels ordinaires. Enfin, elle a précisé que les ajustements d’ordre visuel visant à les différencier des autres courriels, mis en place par Google dès le mois d’avril 2023, ne permettaient pas d’écarter l’application de ce régime juridique, dès lors que les publicités ne se distinguent toujours pas clairement des véritables courriels.
Ainsi, la CNIL a rappelé l’importance du consentement libre, spécifique et éclairé des utilisateurs pour le dépôt de cookies et la prospection électronique, et a réitéré sa vigilance s’agissant de pratiques qui se développent, comme l’utilisation de « murs de traceurs ».