Cnil/Cookies : Shein sous la menace d’une amende de 150 millions d’euros

Rédigé par Haas Avocats | Jul 11, 2025 9:03:33 AM

Par Haas Avocats

Shein, géant mondial du e-commerce ultra fast fashion, est au cœur d’une procédure de sanction initiée par la CNIL.

Le 10 août 2023, l’autorité française a mené un contrôle sur le site shein.com, à la suite de plusieurs plaintes d’utilisateurs. Ce contrôle a permis de constater que des cookies publicitaires étaient déposés sans consentement, y compris avant l’affichage du bandeau d’information, et qu’aucun mécanisme de refus équivalent à l’acceptation n’était proposé.

À l’issue de l’instruction, le rapporteur désigné par la présidente de la CNIL a requis une amende administrative de 150 millions d’euros à l’encontre de la société, pour manquements graves aux obligations du RGPD, notamment en matière de consentement, de transparence et de coopération.

🚨 Important : cette sanction n’est pas encore définitive. Elle devra être examinée par la formation restreinte de la CNIL, seule compétente pour prononcer une sanction, à l’issue d’une procédure contradictoire.

Cette procédure s’inscrit dans un contexte plus large : Shein a déjà été sanctionnée début juillet 2025 par la DGCCRF à hauteur de 40 millions d’euros pour pratiques commerciales trompeuses, notamment sur la traçabilité et la loyauté des informations données aux consommateurs.

Cette affaire illustre l’exigence croissante des autorités de protection des données à l’égard des pratiques numériques trompeuses, et le niveau de risque auquel s’exposent les entreprises en cas de non-conformité sur des sujets aussi sensibles que les cookies.

Ce que la CNIL reproche à Shein

Saisie depuis 2022 sur la base de multiples plaintes, la CNIL a mené plusieurs contrôles qui ont mis au jour des violations graves et persistantes :

Dépôt de cookies publicitaires sans consentement préalable des utilisateurs ;

Absence de bouton "refuser tout" clairement accessible et équivalent au bouton "accepter tout" ;

Paramétrage complexe ou trompeur, visant à décourager l’exercice du droit de refus (dark patterns) ;

Inertie face aux relances de la CNIL, malgré une mise en demeure restée lettre morte.

La formation restreinte de la CNIL est aujourd’hui appelée à se prononcer sur cette sanction record. Si elle est confirmée, il s’agira de l’une des plus importantes jamais infligées pour des manquements en matière de cookies.

Les obligations en matière de cookies : rappel juridique

Les règles applicables sont claires depuis l’entrée en vigueur du RGPD et la mise à jour des lignes directrices de la CNIL :

Le consentement doit être libre, spécifique, éclairé et univoque (article 4.11 RGPD) ;

Le refus doit être aussi simple que l’acceptation (principe d’équilibre d’ergonomie) ;

Le bandeau cookies ne doit pas conditionner l’accès au site à une acceptation (« cookie wall » interdit sauf exception) ;

Le recueil du consentement doit être tracé, documenté, réversible à tout moment ;

Toute utilisation de traceurs publicitaires ou analytiques non strictement nécessaires doit être suspendue tant que le consentement n’a pas été donné.

Les enseignements clés pour les entreprises

Cette affaire Shein agit comme un révélateur pour l’ensemble des professionnels du numérique. Elle illustre les erreurs à ne pas commettre, mais surtout les nouvelles attentes des régulateurs.

1. L’UX devient un enjeu juridique

La conception des interfaces utilisateurs (UX) est désormais un sujet de conformité, pas seulement de marketing. Des choix de design ambigus peuvent être requalifiés en pratiques trompeuses, voire en violations du RGPD.

2. Le RGPD s’applique à tous, y compris hors UE

Shein, bien que société chinoise, est soumise au RGPD dès lors qu’elle cible des utilisateurs européens. Le principe d’extraterritorialité (article 3 RGPD) permet aux autorités européennes de sanctionner des entreprises établies hors UE dès lors qu’elles traitent des données de résidents européens.

3. L’inaction face à une mise en demeure aggrave la situation

L’un des éléments ayant motivé le montant élevé de la sanction requise est l’absence de coopération de Shein. En matière de RGPD, collaborer avec les autorités est une obligation (article 31 RGPD), et un défaut de réponse peut être considéré comme une circonstance aggravante.

Risques juridiques et réputationnels

Outre l’amende administrative, une telle affaire peut avoir des conséquences réputationnelles considérables : perte de confiance des utilisateurs, retrait de partenaires, baisse du taux de conversion, mobilisation de collectifs de consommateurs, etc.

En parallèle, la plateforme est également visée par une amende distincte de 40 millions d’euros, infligée récemment par la DGCCRF pour pratiques commerciales trompeuses sur l’origine de ses produits. Le cumul de ces procédures démontre que la compliance numérique est désormais multidimensionnelle : RGPD, droit de la consommation, transparence, éthique, environnement.

Se mettre en conformité : les actions à engager

Face à ce durcissement de la régulation, les entreprises doivent anticiper et structurer leur stratégie de mise en conformité. Voici les leviers prioritaires à activer :

Réaliser un audit de conformité cookies ;

Mettre en place une solution de gestion du consentement (CMP) conforme ;

Revoir les interfaces et parcours utilisateurs sous l’angle juridique (Privacy UX, Legal Design) ;

Former les équipes (techniques, marketing, produit) à la culture de la conformité ;

Documenter les choix techniques, les preuves de consentement, les paramètres par défaut.

***

Si vous souhaitez bénéficier d’un accompagnement personnalisé : le cabinet Haas Avocats est spécialisé depuis près de 30 ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

Voir l'article complet