Cookies déposés sans consentement : la CNIL sanctionne SHEIN d’une amende de 150 millions d’euros
Le 1er septembre 2025, la CNIL a sanctionné la société INFINITE STYLES SERVICES CO. LIMITED, filiale irlandaise du groupe SHEIN, d’une amende de 150 millions d’euros pour le non-respect des règles applicables en matière de traceurs (cookies), déposés sur le terminal des utilisateurs se rendant sur le site « shein.com ».

Le contexte
Le groupe SHEIN a pour activité la vente de vêtements, chaussures et accessoires à partir du site web « shein.com », qui est géré pour le territoire européen par la société INFINITE STYLES SERVICES CO. LIMITED, située en Irlande.
En août 2023, la CNIL a effectué un contrôle sur le site web « shein.com ». Sur la base des constatations, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société INFINITE STYLES SERVICES CO. LIMITED avait manqué aux obligations sur les traceurs (article 82 de la loi Informatique et Libertés) et a prononcé à son encontre une amende de 150 millions d’euros.
Le montant de cette amende tient compte du fait que la société a méconnu plusieurs obligations, en déposant certains traceurs sans le consentement des internautes, en ne respectant pas leur choix et en ne les informant pas correctement. La formation restreinte a rappelé que, depuis 2020, elle a sanctionné à de nombreuses reprises des organismes pour des manquement similaires, en rendant ses décisions publiques. Le caractère massif du traitement en cause - compte tenu de la place centrale occupée par la société dans le secteur vente en ligne de prêt-à-porter, avec en moyenne 12 millions de personnes résidant en France qui se rendent sur le site « shein.com » chaque mois - a également été pris en compte.
Les manquements sanctionnés
La formation restreinte a sanctionné plusieurs pratiques de la société contraires à la loi Informatique et Libertés (article 82) :
- Absence de recueil du consentement des utilisateurs avant dépôt des traceurs : la CNIL a constaté que plusieurs traceurs, notamment à finalité publicitaire, étaient déposés sur le terminal des utilisateurs se rendant sur « shein.com » dès leur arrivée sur le site, avant même qu’ils n’interagissent avec le bandeau d’information pour exprimer un choix.
- Deux bandeaux d’information incomplets : deux interfaces liées à la gestion des traceurs étaient présentes sur le site « shein.com », mais elles étaient toutes les deux incomplètes. Le premier bandeau comportait trois boutons intitulés « Paramètres des cookies », « Tout refuser » et « Accepter » mais il ne contenait aucune information sur la finalité publicitaire des traceurs. Une seconde fenêtre surgissante, contenant uniquement un bouton permettant d’accepter les traceurs, ne comportait pas non plus d’information sur leur finalité.
- Un second niveau d’information insuffisant : aucune information sur l’identité des tiers susceptibles de déposer des traceurs n’était délivrée à ce second niveau d’information, accessible en cliquant sur le bouton « Paramètres des cookies ».
- Des mécanismes de refus et de retrait du consentement défaillants : lorsqu’un utilisateur se rendant sur le site « shein.com » cliquait sur le bouton « Tout refuser » présent dans le bandeau, ou quand il décidait de retirer son consentement à l’inscription de traceurs sur son terminal, de nouveaux traceurs étaient pourtant déposés et d’autres, déjà présents, continuaient d’être lus.
La formation restreinte a relevé dans sa délibération que la société avait apporté des modifications à son site internet au cours de la procédure et qu’il n’était donc pas nécessaire de prononcer des injonctions de mise en conformité.
La compétence de la CNIL
La CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux traceurs déposés sur les terminaux des internautes situés en France. Le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’a pas vocation à s’appliquer dans cette procédure dans la mesure où les opérations liées à l’utilisation de traceurs relève non pas du RGPD mais de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.
La formation restreinte a considéré que la CNIL est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours aux traceurs est effectué dans le « cadre des activités » de la société INFINITE STYLES ECOMMERCE FRANCE, qui constitue « l’établissement » sur le territoire français de la société INFINITE STYLES SERVICES CO. LIMITED.