Cookies et consentements : les sanctions exemplaires de la CNIL envers Google et Shein
Article RGPDMinute RGPD
Depuis 2019, la CNIL mène un plan d’action sur les traceurs (cookies & autres dispositifs de suivi), pour s’assurer que les sites et services web soient conformes, notamment en matière d’information des internautes, de consentement, et de transparence.
Le 3 septembre 2025, la CNIL a annoncé deux amendes majeures : 325 millions d’euros contre Google, 150 millions d’euros contre Shein. Ces sanctions s’inscrivent dans la continuité des décisions prises depuis 2020 pour non-respect des règles sur les cookies.
Manquements constatés
Voici ce que la CNIL a retenu spécifiquement pour chaque entreprise :
Google
Publicités insérées dans les onglets Gmail (“Promotions”, “Social”) sans consentement préalable des utilisateurs
Lors de la création de compte Google, le consentement aux cookies publicitaires personnalisés n’était pas présenté librement : l’utilisateur était incité à accepter, le refus étant plus difficile, et sans information claire que l’accès aux services pouvait dépendre de ce choix.
Consentement non éclairé, absence d’information suffisante sur les finalités des traceurs, sur les Tiers, etc.
Shein
– Des cookies, notamment publicitaires, placés dès l’arrivée sur le site avant que l’utilisateur ait pu exprimer un choix via le bandeau d’information. – Le bandeau d’information initial était incomplet : absence de mention claire de l’objectif publicitaire, manque de seconde couche d’information sur les tiers – Même lorsque l’utilisateur clique sur “Refuser tout” ou retire son consentement, certains traceurs continuent d’être déposés ou lus. CNIL
Ce que dit le RGPD
Pour bien comprendre les fondements juridiques :
Le RGPD (Règlement général sur la protection des données) exige que le consentement soit libre, spécifique, éclairé et univoque. Le traitement des données à caractère personnel (et cela inclut les traceurs qui identifient ou filent le profilage) sans consentement valide viole ces principes.
Toutefois, les dispositions concernant les cookies et traceurs sont surtout encadrées en Europe par la directive ePrivacy (Directive 2002/58/CE), transposée en droit français via l’article 82 de la loi Informatique et Libertés.
En plus, le Code des postes et communications électroniques (CPCE), notamment l’article L.34-5, encadre la prospection commerciale par voie électronique. L’insertion de publicités dans Gmail sans consentement relève de ce cadre.
Le droit français précise aussi la compétence territoriale de la CNIL pour les traceurs placés sur des terminaux d’utilisateurs situés en France, même si la société responsable est étrangère, tant que l’activité cible ou touche des personnes en France.
Pour éviter ce genre de situation
Ces décisions montrent que les enjeux juridiques en matière de données, cookies et consentement ne sont plus théoriques et voici ce qu’une formation RGPD & marketing permettrait de maîtriser — et comment elle est directement liée aux manquements sanctionnés :
Comprendre les textes légaux
Mise en place de bannières / pop-ups de consentement conformes : objectifs clairs, tiers identifiés, refuser aussi facilement qu’accepter, retrait de consentement effectif.
Audit des pratiques actuelles de collecte / utilisation des cookies : identifier les cookies déposés avant consentement, analyser les cookie walls, les bannières incomplètes, les mécanismes défaillants.
Veille réglementaire & mise à jour continue : les autorités comme la CNIL ajustent les attentes, la jurisprudence évolue. Être formé permet d’anticiper et réagir rapidement pour éviter des sanctions lourdes.
Meta et l’IA : une enquête révèle que seuls 7 % des utilisateurs européens soutiennent l’usage de leurs données
Meta s’expose à une nouvelle tempête réglementaire en Europe. Le groupe de Mark Zuckerberg a commencé à utiliser les données personnelles des utilisateurs européens de Facebook et Instagram pour entraîner ses modèles d’intelligence artificielle. Contrairement à ce que prévoit le Règlement général sur la protection des données (RGPD), l’entreprise n’a pas sollicité de consentement explicite. Elle invoque plutôt la base juridique de "l’intérêt légitime".
IA ACT : que risquent les entreprises non conformes ?
Adopté en 2024, le règlement européen sur l’intelligence artificielle (IA Act) marque un tournant pour toutes les organisations qui conçoivent, utilisent ou intègrent de l’intelligence artificielle. Mais quelles sont les vraies conséquences en cas de non-conformité ? Et surtout, quelles sont les dates à ne pas manquer pour éviter les sanctions ?
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
