Publicité et données : la CNIL frappe fort avec 475 M€ d’amendes contre Google et Shein

CNIL frappe fort avec 475 M€ d’amendes contre Google et Shein

La CNIL poursuit son plan d’action lancé en 2019 pour encadrer l’usage des traceurs publicitaires. Le 1er septembre 2025, l’autorité a sanctionné Google (325 millions d’euros) et Shein (150 millions d’euros) pour non-respect des règles liées aux cookies et à la prospection électronique. Des décisions lourdes qui rappellent l’importance d’une conformité stricte en matière de données personnelles et de respect du consentement.

SOMMAIRE

51 millions de Français concernés par les traceurs publicitaires

La régulation des cookies n’est pas un combat nouveau pour la CNIL. Depuis 2019, l’autorité a publié des lignes directrices, multiplié les contrôles et prononcé plusieurs sanctions contre les plateformes en ligne ne respectant pas les règles. Objectif : garantir que les internautes soient correctement informés et puissent donner un consentement libre, éclairé et réversible avant tout dépôt de traceurs publicitaires.

La stratégie est claire : cibler les grands acteurs du numérique et de l’e-commerce, ceux dont les pratiques ont un impact massif sur des millions de Français. En 2025, plus de 51 millions d’internautes consultent chaque mois des sites marchands. L’enjeu est donc crucial, tant pour la protection des consommateurs que pour la confiance indispensable aux transactions en ligne.

Google sanctionné : 325 millions d’euros pour Gmail et les comptes utilisateurs

La première décision concerne Google. Après une plainte déposée par l’ONG NOYB en août 2022, la CNIL a mené plusieurs contrôles entre 2022 et 2023 sur la messagerie Gmail et le processus de création de compte Google. Résultat : deux manquements majeurs.

Des publicités insérées dans Gmail sans consentement

Les utilisateurs de Gmail ayant activé les “fonctionnalités intelligentes” pour organiser leurs courriels en onglets (« Principale », « Promotions », « Réseaux sociaux ») ont vu apparaître des publicités au sein de ces onglets. Ces messages, prenant la forme de véritables e-mails, s’affichaient sans accord préalable des utilisateurs.

Pour la CNIL, il s’agit bien de prospection directe par courrier électronique, soumise à l’article L.34-5 du Code des postes et communications électroniques. En clair : ces publicités nécessitaient un consentement explicite qui n’a jamais été recueilli.

Des cookies imposés lors de la création d’un compte

Autre grief : lors de la création d’un compte Google, les utilisateurs étaient incités à accepter les traceurs liés à la publicité personnalisée plutôt qu’à choisir l’option de publicités génériques. L’information fournie était jugée incomplète, puisque rien n’indiquait clairement que l’accès aux services de Google dépendait de l’acceptation de traceurs publicitaires.

Ce consentement biaisé et non éclairé constitue une violation de l’article 82 de la loi Informatique et Libertés.

Une sanction exemplaire

Au total, la CNIL inflige à Google 325 millions d’euros d’amende (200 millions pour Google LLC, 125 millions pour Google Ireland Limited). Elle ordonne également la mise en conformité dans un délai de 6 mois, sous peine d’une astreinte de 100 000 € par jour de retard.

Le poids de cette sanction tient à l’ampleur du manquement : plus de 74 millions de comptes en France étaient concernés, dont 53 millions d’utilisateurs de Gmail exposés à ces publicités.

Shein sanctionné : 150 millions d’euros pour des cookies déposés sans accord

La seconde décision concerne le géant de la fast fashion Shein, dont le site attire chaque mois 12 millions de visiteurs en France. Après un contrôle en août 2023, la CNIL a relevé plusieurs manquements graves. Deux mois auparavant, en juillet 2025, la DGCCRF avait condamné Shein à une amende de 40 M€ pour des pratiques commerciales trompeuses :

Des cookies publicitaires déposés avant tout consentement

Sur le site shein.com, des traceurs étaient installés sur les terminaux des visiteurs dès leur arrivée, avant même qu’ils n’aient interagi avec le bandeau d’information. Certains cookies continuaient même d’être déposés après un clic sur “Tout refuser”.

Des bandeaux incomplets et trompeurs

La CNIL a constaté que le site affichait deux bandeaux différents pour la gestion des cookies. Le premier proposait bien les options “Tout refuser”, “Paramètres” et “Accepter”, mais sans expliquer la finalité publicitaire des traceurs. Le second, sous forme de fenêtre surgissante, ne comportait qu’un bouton “Accepter”, sans information complémentaire.

Un retrait du consentement inefficace

Même lorsqu’un utilisateur retirait son consentement, certains traceurs continuaient à être déposés. Un manquement particulièrement problématique pour une entreprise de l’ampleur de Shein.

Une sanction proportionnée à l’impact

La CNIL a fixé l’amende à 150 millions d’euros, tenant compte du caractère massif de ces pratiques et de la place centrale de Shein sur le marché européen du prêt-à-porter en ligne.

Impact sur le e-commerce et la publicité digitale

Au-delà du rappel juridique, ces décisions traduisent une évolution profonde du paysage publicitaire en ligne. Les “dark patterns” visant à pousser les utilisateurs à accepter les traceurs sont désormais sous haute surveillance. Les marques doivent repenser leur stratégie de collecte et d’utilisation des données.

Pour les e-commerçants, l’enjeu est double :

  • Maintenir la performance marketing malgré la fin progressive du cookie tiers.
  • Conserver la confiance des consommateurs, qui se montrent de plus en plus sensibles à la transparence et à la protection de leurs données.

Vers une régulation accrue

La CNIL a annoncé poursuivre sa stratégie de contrôles, en particulier sur les pratiques émergentes comme les “cookie walls”, qui conditionnent l’accès à un site à l’acceptation des traceurs. L’autorité insiste : ces pratiques ne sont pas illégales en soi, mais elles doivent respecter la condition du consentement libre et éclairé.

Avec ces nouvelles sanctions, la France s’impose une nouvelle fois comme l’un des pays les plus stricts d’Europe en matière de régulation numérique. Une tendance qui devrait se renforcer avec l’entrée en vigueur du DMA (Digital Markets Act) et du DSA (Digital Services Act).

Lilian Grandrie-Kalinowski

Lilian Grandrie-Kalinowski

COO chez E-Commerce Nation depuis plus de 6 ans. En charge de la partie acquisition et rédaction des contenus médias.
Voir le profil LinkedIn