Le 1er septembre 2025, la CNIL a rendu publique une décision sanctionnant la société INFINITE STYLES SERVICES CO. LIMITED, filiale irlandaise du groupe SHEIN, d’une amende de 150 millions d’euros pour manquements à la législation applicable aux témoins (cookies ou traceurs).
Plus précisément, le site shein.com, qui accueille chaque mois près de 12 millions de visiteurs en France, déposait des cookies publicitaires sans recueillir le consentement valable des internautes.
Au-delà de son montant, cette décision illustre surtout les écueils à éviter en matière de gestion du consentement, et quatre enseignements principaux peuvent en être tirés.
Communiquer les finalités des témoins
Lors de ses contrôles, la CNIL a également relevé que les deux interfaces de recueil du consentement présentes sur le site shein.com ne permettaient pas d’informer correctement les utilisateurs sur les finalités des traceurs, c’est-à-dire l’objectif principal du traitement de la donnée.
Pourtant, les utilisateurs pouvaient découvrir deux bandeaux lors de leur première visite. Le premier leur proposait bien les trois options du consentement (“Paramètres des cookies”, “Tout refuser” et “Accepter”) mais n’indiquait toutefois aucune finalité publicitaire.
C’est l’occasion ici de rappeler un premier fondement de la réglementation sur les données personnelles en Europe : le consentement doit porter sur des finalités clairement identifiées. Sans cette transparence, l’utilisateur ne peut donner qu’un accord de façade, dénué de sa valeur juridique.
Éviter la multiplication des interfaces de consentement
Un autre élément relevé par la CNIL concerne la présence simultanée de deux fenêtres de consentement : le bandeau cookies sans finalités déjà mentionné précédemment d’une part, et une fenêtre intitulée “Bienvenue sur le site France” d’autre part.
Cette coexistence a été jugée problématique pour plusieurs raisons. Tout d’abord, elle crée une surcharge informationnelle, et donc une forme de confusion pour l’utilisateur. Ensuite, la seconde fenêtre présentée comme une simple étape d’accueil servait en réalité à recueillir le consentement via le bouton “J’accepte”, sans proposer d’alternative de refus. Enfin, comme le premier bandeau, la seconde fenêtre ne fournissait pas une information suffisamment complète sur les finalités des cookies.
En multipliant les fenêtres non conformes, le parcours proposé ne permettait donc pas d’obtenir un consentement libre et éclairé, tel qu’exigé par la loi.
L’identité des témoins doit être communiquée et aucun cookie publicitaire ne doit être déposé avant consentement
La CNIL a également constaté que le second niveau d’information proposé par Shein ne mentionnait pas les tiers susceptibles de déposer des cookies. Ce défaut d’information a une conséquence directe : l’internaute ignore à qui ses données sont susceptibles d’être transmises.
Là encore, la règle est claire : un consentement n’est valable que si l’utilisateur connaît non seulement la finalité du traitement, mais aussi l’identité des responsables de traitement tiers impliqués.
L’affaire rappelle que la chaîne de responsabilité ne peut rester invisible pour l’utilisateur final. Nommer les partenaires n’est pas une option, mais une condition de licéité du consentement.
En pratique, cela suppose de proposer un écran clair et exhaustif recensant l’ensemble des finalités et des partenaires, comme le permet la CMP d’Axeptio.
Le refus et le retrait du consentement doivent être effectifs
Enfin, la CNIL a relevé un manquement particulièrement problématique : même lorsqu’un utilisateur cliquait sur « Tout refuser », des cookies continuaient d’être déposés.
Les contrôles ont mis en évidence plusieurs types de traceurs installés sans consentement préalable :
- trois témoins publicitaires associés à Pinterest et Microsoft,
- six témoins de capping publicitaire, qui vise la fréquence à laquelle un utilisateur est soumis à une publicité afin de limiter la répétition d’annonces,
- un témoin de mesure d’audience d’une durée de vie de dix ans, destiné selon SHEIN à l'A/B testing.
Pire encore, après un retrait de consentement, de nouveaux traceurs apparaissaient. Lors d’un test, l’autorité française a constaté qu’après avoir accepté les témoins (75 déposés), puis retiré ce consentement, le site les conservait et en ajoutait même dix supplémentaires, dont certains liés à Bing.
En d’autres termes, le choix exprimé par l’utilisateur n’était pas respecté. Or, la validité du consentement repose aussi sur le mécanisme de refus, qui se doit d’être simple, immédiat et techniquement opérationnel.
Vous l’aurez compris, la sanction prononcée contre Shein ne doit pas être lue uniquement à travers le prisme de son montant. Elle souligne surtout trois obligations fondamentales en matière de témoins : informer clairement sur les finalités,identifier les acteurs impliqués, et garantir l’effectivité du refus.
Autant de principes qu’une CMP (Consent Management Platform) correctement paramétrée permet de respecter. Au-delà de la conformité, cette rigueur constitue aussi un levier de confiance et de branding, et in fine, de performance.
Jérôme Perani CRO, Axeptio.
Analysez automatiquement les témoins et la conformité de votre site grâce à Shake !
