Justice & réglementation Tech

475 millions d'euros d'amendes - La CNIL frappe un grand coup contre Google et Shein

Publié le 4 novembre 2025 à 09:50
par François NORMAND
Commenter cet article
La CNIL a infligé des amendes records à Google (325 millions d'euros) et Shein (150 millions d'euros) pour avoir violé la législation française sur les cookies publicitaires, en collectant des données sans le consentement libre et éclairé de millions d'utilisateurs français. Ces sanctions historiques marquent un durcissement de la régulation numérique en France, Google étant sanctionné pour la troisième fois depuis 2020 pour des manquements similaires.
Actualité

La Commission Nationale de l’Informatique et des Libertés (CNIL) a marqué un tournant décisif dans la régulation du numérique en France en infligeant des sanctions financières d'une ampleur inédite à deux géants mondiaux : Google et Shein. Avec des amendes s'élevant respectivement à 325 et 150 millions d'euros, l'autorité française de protection des données personnelles envoie un message clair sur le respect de la législation concernant les cookies publicitaires. Ces décisions, annoncées le 3 septembre, sanctionnent des manquements jugés graves au consentement des utilisateurs, mettant en lumière les tensions persistantes entre les modèles économiques basés sur la publicité ciblée et le droit à la vie privée des internautes.

Des sanctions exemplaires pour des manquements répétés

Les sanctions prononcées par la CNIL ne sont pas le fruit du hasard, mais l'aboutissement d'enquêtes approfondies et, dans le cas de Google, d'un historique de non-conformité.

Le géant américain, déjà sanctionné à deux reprises en 2020 (100 millions d'euros) et 2021 (150 millions d'euros) pour des motifs similaires, se voit cette fois infliger une amende record de 325 millions d'euros

La CNIL a souligné la "négligence" de l'entreprise face à ses obligations, justifiant le montant par le nombre colossal d'utilisateurs concernés et la pluralité des manquements.

 

De son côté, Shein, le mastodonte de la "fast fashion" en ligne, écope d'une amende de 150 millions d'euros.

 

La CNIL a mis en avant le "caractère massif" des données traitées, avec 12 millions d'utilisateurs mensuels en France. 

 

Ces décisions s'inscrivent dans une stratégie de la CNIL, initiée il y a plus de cinq ans, visant à mettre en conformité les acteurs majeurs du web dont les services sont massivement utilisés sur le territoire français.

Les griefs retenus contre Google : un consentement ni libre, ni éclairé

La formation restreinte de la CNIL a retenu deux manquements principaux à l'encontre de Google, tous deux liés à une violation de l'obligation de recueillir un consentement valide des utilisateurs.

 

Le premier concerne la pratique du "cookie wall" lors de la création d'un compte Google.

 

Si la CNIL ne juge pas cette pratique illégale en soi, elle la conditionne à un consentement "éclairé" de l'utilisateur.

Or, l'enquête a révélé une absence d'information claire sur le fait que l'accès aux services de Google était conditionné au dépôt de traceurs publicitaires. L'utilisateur n'était donc pas en mesure de donner un consentement pleinement informé des conséquences de son choix.

 

Le second manquement, tout aussi significatif, porte sur l'insertion de publicités au sein de la messagerie Gmail.

 

Pour les utilisateurs ayant activé les "fonctionnalités intelligentes" qui trient les emails en différentes catégories (Principale, Promotions, Réseaux sociaux), des messages publicitaires étaient affichés entre les courriels personnels, sans distinction claire.

 

La CNIL, s'appuyant sur une jurisprudence de la Cour de Justice de l'Union Européenne (CJUE), a qualifié cette pratique de "prospection directe par courrier électronique", nécessitant un consentement préalable explicite.

 

Avec 53 millions d'utilisateurs français concernés, l'ampleur de ce manquement a pesé lourd dans la balance.

Shein : un parcours utilisateur semé d'embûches pour refuser les cookies

Pour Shein, les manquements constatés par la CNIL relèvent d'une conception de l'interface utilisateur qui rendait le refus des cookies particulièrement complexe, voire inefficace.

 

L'autorité a d'abord constaté que des traceurs, notamment à finalité publicitaire, étaient déposés sur le terminal de l'utilisateur dès son arrivée sur le site "shein.com", avant même toute action de sa part sur le bandeau d'information. Cette pratique constitue une violation directe de l'exigence de consentement préalable.

 

Ensuite, les bandeaux d'information eux-mêmes étaient jugés incomplets.

 

Ni le premier bandeau, qui proposait pourtant un bouton "Tout refuser", ni la fenêtre surgissante qui apparaissait ensuite, n'informaient l'utilisateur de la finalité publicitaire des traceurs.

 

De plus, le second niveau d'information, accessible via les "Paramètres des cookies", omettait de lister l'identité des entreprises tierces susceptibles de déposer des traceurs.

 

Enfin, et c'est un point crucial, les mécanismes de refus étaient défaillants. Même lorsqu'un utilisateur cliquait sur "Tout refuser" ou tentait de retirer son consentement, de nouveaux traceurs étaient déposés et ceux déjà présents continuaient d'être lus.

 

En somme, le choix de l'utilisateur était tout simplement ignoré.

Des réactions contrastées et des conséquences à venir

Face à ces sanctions, les réactions des deux entreprises ont été radicalement différentes. 

 

Shein a immédiatement annoncé son intention de former un recours devant le Conseil d'État et la Cour de Justice de l'Union Européenne, qualifiant l'amende de "totalement disproportionnée" et l'attribuant à des "considérations politiques".

 

L'entreprise met en avant sa mise en conformité actuelle avec les exigences de la CNIL, intervenue depuis les contrôles.

 

Google, pour sa part, a adopté une posture plus mesurée, déclarant "étudier le contenu de la décision" et rappelant que "les utilisateurs ont toujours eu la possibilité de contrôler les annonces qu'ils voient dans nos produits".

 

L'entreprise a également mentionné avoir effectué des mises à jour pour répondre aux préoccupations de la CNIL. Cependant, cette défense est mise à mal par le caractère répété des infractions.

 

Au-delà des amendes, la décision de la CNIL à l'encontre de Google est assortie d'une injonction de mise en conformité dans un délai de six mois.

 

Passé ce délai, Google et sa filiale irlandaise s'exposent à des astreintes de 100 000 euros par jour de retard. Les deux entreprises disposent d'un délai de quatre mois pour faire appel de la décision devant la justice administrative.

 

Ces sanctions record illustrent la détermination des autorités de régulation européennes, et de la CNIL en particulier, à faire appliquer strictement le Règlement Général sur la Protection des Données (RGPD) et la directive ePrivacy.

 

Elles rappellent aux géants du numérique que l'accès au marché européen est conditionné au respect des droits fondamentaux des citoyens, notamment le droit à la protection de leurs données personnelles.

 

Le bras de fer entre les régulateurs et les plateformes, dont le modèle économique repose en grande partie sur l'exploitation de ces données, est loin d'être terminé.

 

Source CNIL 

francois-n
François
NORMAND
François est un journaliste-rédacteur aguerri aux chiffres et aux sujets économiques.

Articles similaires

Laisser un commentaire

L'exigence au service de l'information économique.logo journal économique2026 © Tous droits réservés
Recherche entrepriseNewsletterMentions LégalesCookies et Politique de confidentialitéContactConditions Générales d'Utilisation et de VenteCitations inspirantes en 2025ArchivesRédaction
Suivez nous