La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Vincent LESCLOUS, vice-président, Mmes Laurence FRANCESCHINI et Isabelle LATOURNARIE-WILLEMS, MM. KLING et Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2023-193C du 31 juillet 2023 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte du 30 octobre 2024 ;

Vu le rapport de M. Fabien TARISSAN, commissaire rapporteur, notifié à la société INFINITE STYLES SERVICES CO. LIMITED le 18 février 2025 ;

Vu les observations écrites de la société INFINITE STYLES SERVICES CO. LIMITED reçues le 18 mars 2025 ;

Vu la réponse du rapporteur notifiée à la société INFINITE STYLES SERVICES CO. LIMITED le 18 avril 2025 ;

Vu les observations écrites de la société INFINITE STYLES SERVICES CO. LIMITED reçues le 19 mai 2025 ;

Vu la clôture de l’instruction notifiée à la société INFINITE STYLES SERVICES CO. LIMITED le 10 juin 2025 ;

Vu les observations orales formulées lors de la séance de la formation restreinte du 10 juillet 2025 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 10 juillet 2025 :

- M. Fabien TARISSAN, commissaire, entendu en son rapport ;

En qualité de représentants de la société INFINITE STYLES SERVICES CO. LIMITED :

- […]

Le président ayant vérifié l’identité des représentants du mis en cause, présenté le déroulé de la séance et rappelé que les mis en cause peuvent, s’ils le souhaitent, présenter des observations orales introductives ou en réponse aux questions des membres de la formation restreinte.

La société INFINITE STYLES SERVICES CO. LIMITED ayant été informée, à titre conservatoire et au regard des implications encore incertaines de la jurisprudence du Conseil constitutionnel en cette matière, de son droit de garder le silence sur les faits qui lui étaient reprochés, et celle-ci ayant eu la parole en dernier.

Après en avoir délibéré, a adopté la décision suivante :

I. Faits et procédure

1. L’activité du groupe INFINITE STYLES consiste en la vente, principalement sur son site web " shein.com ", de vêtements, chaussures et accessoires de sa marque " SHEIN ", mais également de marques déposées par des tiers.

2. Le groupe INFINITE STYLES, dont la maison mère ROADGET BUSINESS PTE LTD est située à Singapour, est composé de plusieurs établissements au sein de l’Union européenne, dont les établissements irlandais INFINITE STYLES ECOMMERCE LIMITED et INFINITE STYLES SERVICES CO. LIMITED détenus à 100 % par la maison mère, ainsi que l’établissement français INFINITE STYLES ECOMMERCE FRANCE détenu à 100 % par la société irlandaise INFINITE STYLES ECOMMERCE LIMITED.

3. La distribution, dans l’Union européenne, des produits de la marque " SHEIN " est assurée par la société INFINITE STYLES ECOMMERCE LIMITED. La société INFINITE STYLES SERVICES CO. LIMITED est en charge, depuis le 1er août 2023, de la gestion des sous-domaines européens du nom de domaine " shein.com ". La société INFINITE STYLES ECOMMERCE FRANCE, quant à elle, promeut, en France, les produits de la marque " SHEIN ", notamment en organisant des défilés de mode et des boutiques éphémères.

4. En 2023, le chiffre d’affaires de la société ROADGET BUSINESS PTE LTD était de […] dollars (soit environ […] d’euros) et ses bénéfices de […] dollars (soit environ […] d’euros).

5. Par décision n° 2023-193C du 31 juillet 2023, la Présidente de la Commission nationale de l’informatique et des libertés (ci-après " la Commission " ou " la CNIL ") a chargé le secrétaire général de procéder ou de faire procéder à une mission de contrôle afin de vérifier la conformité à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après " la loi Informatique et Libertés " ou " LIL ") et au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " le RGPD " ou " le Règlement "), de tout traitement accessible à partir du domaine " shein.com " depuis un terminal situé en France.

6. En application de cette décision, le 10 août 2023, une délégation a procédé à un contrôle en ligne sur le site web " shein.com ", au cours de laquelle elle a reproduit le parcours d’un utilisateur se rendant sur le site web " shein.com ".

7. Par courrier du 9 août 2023, la société INFINITE STYLES ECOMMERCE FRANCE a ensuite été convoquée à une audition le 29 août 2023. Celle-ci a été reportée à la demande de la société INFINITE STYLES ECOMMERCE FRANCE. Elle a donc été convoquée, par courrier du 24 août 2023, à une audition le 5 octobre 2023.

8. L’ensemble de ces opérations de contrôle a donné lieu à des échanges entre la délégation et les sociétés contrôlées portant particulièrement sur la finalité des cookies dont le dépôt avait été constaté à l’occasion du contrôle en ligne, sur leurs activités et la gouvernance des traitements de données à caractère personnel.

9. Aux fins d’instruction de ces éléments, la Présidente de la Commission a, le 30 octobre 2024, désigné Monsieur Fabien TARISSAN en qualité de rapporteur sur le fondement de l’article 39 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi Informatique et Libertés.

10. Le 18 février 2025, à l’issue de son instruction, le rapporteur a fait notifier à la société un rapport détaillant le manquement à l’article 82 de la loi Informatique et Libertés modifiée qu’il estimait constitué en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société et une injonction assortie d’une astreinte de mettre en conformité le traitement avec les dispositions de l’article 82 de la loi Informatique et Libertés. Il proposait également que cette décision soit rendue publique.

11. Le 18 mars 2025, la société a produit des observations en réponse au rapport de sanction.

12. Le rapporteur a répondu aux observations de la société le 18 avril 2025.

13. Le 19 mai 2025, la société a produit ses deuxièmes observations en réponse.

14. Par courrier du 10 juin 2025, le rapporteur a, en application du III de l’article 40 du décret n° 2019-536 précité, informé la société et le président de la formation restreinte que l’instruction était close.

15. Par courrier du 11 juin 2025, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 10 juillet 2025.

16. Le rapporteur et la société ont présenté des observations orales lors de la séance de la formation restreinte.

II. Motifs de la décision

A. Sur le traitement en cause et la détermination du responsable de traitement

17. Le traitement objet de la présente procédure est relatif au dépôt de cookies sur le terminal des utilisateurs résidant en France lors de la navigation sur le sous-domaine français du nom de domaine " shein.com ".

18. Le paragraphe 7 de l’article 4 du RGPD - qui s’applique en raison du renvoi fait par l’article 2 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2006/24/CE du 15 mars 2006 et par la directive 2009/136/CE du 25 novembre 2009 (ci-après, directive " ePrivacy ") à l’ancienne directive 95/46/CE à laquelle s’est substitué le RGPD - prévoit que le responsable de traitement est " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ".

19. En l’espèce, la formation restreinte relève que la délégation a été informée, lors du contrôle sur audition, que " la société INFINITE STYLES SERVICES LIMITED […] est devenue le gestionnaire des sous-domaines de " shein.com " dans l’UE " et, par un courrier du 21 mars 2024, que " tous les cookies des sites internet Shein de la région EMEA sont exploités par Infinite Styles Services Co. Limited ".

20. La formation restreinte observe, par ailleurs, que la politique de confidentialité, dans sa version disponible sur le site web " shein.com " au jour du contrôle en ligne, " explique comment Infinite Styles Co., Limited, qui exerce ses activités sous le nom de " SHEIN ", collecte, utilise, partage et traite vos données à caractère personnel lorsque vous utilisez ou accéder au présent site Web (le " Site ") " et précise que " le Site et l’Application sont fournis par Infinite Services Co. Limited, qui est le responsable du traitement et de la protection de vos données à caractère personnel ".

21. Au vu de ce qui précède, la formation restreinte considère, sans que cela ait d’ailleurs été contesté par la société, que la société INFINITE STYLES SERVICES CO. LIMITED agit en qualité de responsable du traitement relatif au dépôt et à la lecture de cookies sur le terminal des utilisateurs du site web " shein.com ".

B. Sur la compétence de la CNIL

1. Sur la compétence matérielle de la CNIL et la non-application du mécanisme de " guichet unique " prévu par le RGPD

22. Le traitement objet de la présente procédure, relatif au dépôt de cookies sur le terminal des utilisateurs résidant en France lors de la navigation sur le sous-domaine français du nom de domaine " shein.com ", est effectué dans le cadre de la fourniture de services de communications électroniques accessibles au public par le biais d’un réseau public de communications électroniques proposés au sein de l’Union européenne. À ce titre, il entre dans le champ d’application matériel de la directive " ePrivacy ".

23. L’article 5, paragraphe 3, de cette directive, relatif au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés, au sein du chapitre IV de la loi relatif aux droits et obligations propres aux traitements dans le secteur des communications électroniques.

24. Aux termes de l’article 16 de la loi Informatique et Libertés, " la formation restreinte prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi ". Selon l’article 20, paragraphe III, de cette même loi, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant […] de la présente loi, le président de la Commission nationale de l'informatique et des libertés […] peut saisir la formation restreinte ".

25. Le rapporteur considère que la CNIL est matériellement compétente pour contrôler et, le cas échéant, sanctionner les opérations d’accès ou d’inscription d’informations mises en œuvre par la société INFINITE STYLES SERVICES CO. LIMITED dans les terminaux des utilisateurs du sous-domaine français du nom de domaine " shein.com ", ce que conteste cette dernière.

26. En défense, la société considère que, dès lors que les cookies qu’elle dépose sur les terminaux des utilisateurs permettent la collecte et le traitement de données à caractère personnel, le traitement en cause relève du RGPD et non de la loi Informatique et Libertés. Elle considère également que le mécanisme du guichet unique s’applique compte tenu du caractère transfrontalier du traitement en cause. Elle en conclut que l’autorité compétente pour se prononcer sur ce traitement est l’autorité irlandaise et non pas la CNIL.

27. La formation restreinte rappelle, d’abord, que dès lors que les traitements objets du contrôle sont effectués dans le cadre de la fourniture de services de communications électroniques accessibles au public par le biais d’un réseau public de communications électroniques proposé au sein de l’Union européenne, ils entrent dans le champ d’application matériel de la directive " ePrivacy ". A cet égard, elle souligne qu’il convient de distinguer, d’une part, le dépôt et la lecture de cookies dans le terminal des utilisateurs se rendant sur le domaine " shein.com ", qui est soumis aux dispositions de l’article 5, paragraphe 3, de la directive " ePrivacy ", transposées en droit français à l’article 82 de la loi Informatique et Libertés, et d’autre part, le traitement subséquent, opéré à partir des données à caractère personnel collectées par l’intermédiaire de ces cookies, qui est soumis aux dispositions du RGPD.

28. Elle relève ensuite qu’il ressort des dispositions précitées que le législateur français a chargé la CNIL de veiller au respect, par les responsables de traitement, des dispositions de la directive " ePrivacy " transposées à l’article 82 de la loi Informatique et Libertés, en lui confiant notamment le pouvoir de sanctionner toute méconnaissance de ces articles.

29. La formation restreinte rappelle enfin que le Conseil d’État a, dans sa décision Société GOOGLE LLC et société GOOGLE IRELAND LIMITED du 28 janvier 2022, confirmé que le contrôle des opérations d’accès ou d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, relève de la compétence de la CNIL et que le système du guichet unique prévu par le RGPD n’est pas applicable : " il n’a pas été prévu l’application du mécanisme dit du " guichet unique " applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive. Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978 […] " (CE, 28 janvier 2022, 10ème et 9ème chambres réunies, société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, au recueil). Le Conseil d’État a réaffirmé cette position dans une décision du 27 juin 2022 (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423, aux Tables).

30. Dès lors, la formation restreinte considère que la CNIL est compétente pour contrôler et engager une procédure de sanction concernant le traitement relatif au dépôt et à la lecture de cookies dans le terminal des utilisateurs se rendant sur le site web français " shein.com ", qui relève du champ d’application de la directive " ePrivacy ", sous réserve que le traitement se rattache à sa compétence territoriale.

2. Sur la compétence territoriale de la CNIL

31. La règle d’application territoriale des exigences figurant à l’article 82 de la loi Informatique et Libertés est fixée à l’article 3, paragraphe I, de la même loi, qui dispose : " sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l'article 3 de ce règlement, l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement […] sur le territoire français, que le traitement ait lieu ou non en France ".

32. Le rapporteur considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement consistant en des opérations d’accès ou d’inscription dans le terminal d’utilisateurs situé en France lors de la navigation sur le site web " shein.com ", est effectué dans le " cadre des activités " de la société INFINITE STYLES ECOMMERCE FRANCE, laquelle constitue " l’établissement " sur le territoire français de la société irlandaise INFINITE STYLES SERVICES CO. LIMITED.

33. La société conteste cette analyse à deux titres. S’agissant de la notion d’établissement, la société soutient qu’elle fait certes partie du même groupe que la société INFINITE STYLES ECOMMERCE FRANCE, mais souligne que les deux sociétés n’ont pas de lien juridique. Elle considère donc que la société INFINITE STYLES ECOMMERCE FRANCE ne peut pas être regardée comme son établissement au sens de la décision Weltimmo de la Cour de justice de l’Union européenne (ci-après " la Cour de justice " ou " la CJUE ") (1er octobre 2015, C-230/14). S’agissant de l’existence d’un traitement effectué dans le cadre des activités de l’établissement français, la société soutient que le traitement en cause n’intervient pas dans le cadre des activités de la société INFINITE STYLES ECOMMERCE FRANCE, dès lors que cette dernière ne promeut ou ne commercialise pas d’espace publicitaire sur le site web " shein.com " sur lequel les cookies sont déposés et qu’elle n’exploite pas et n’a pas accès aux données collectées par ces cookies.

34. A titre liminaire, la formation restreinte rappelle que pour déterminer si la CNIL dispose d’une compétence pour contrôler le respect par la société INFINITE STYLES SERVICES CO. LIMITED des exigences prévues à l’article 82 de la loi Informatique et Libertés dans le cadre du traitement objet de la procédure, il convient d’examiner si les deux critères d’application territoriale prévus au paragraphe I de l’article 3 de cette loi sont réunis, à savoir, d’une part, si cette société dispose d’un " établissement sur le territoire français " et si, d’autre part, le traitement en cause est effectué " dans le cadre des activités de cet établissement ".

35. En premier lieu, s’agissant de l’existence d’un établissement du responsable de traitement sur le territoire français, la formation restreinte rappelle que, de façon constante, la CJUE a considéré que la notion d’établissement doit être appréciée de façon souple et qu’à cette fin, il convenait d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans un État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question.

36. A cet égard, la Cour de justice a relevé que " le considérant 19 de la directive 95/46 précise que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable " et que " la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante " (CJUE, 13 mai 2014, Google Spain, C-131/12, point 48). La Cour a précisé que " la notion d’ " établissement ", au sens de la directive 95/46, s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable ", le critère de stabilité de l’installation étant examiné au regard de la présence de " moyens humains et techniques nécessaires à la fourniture de services concrets en question " (CJUE, 1er octobre 2015, Weltimmo, C 230/14, points 30 et 31).

37. L’appréciation de l’existence d’un " établissement sur le territoire français " au sens du I de l’article 3 de la loi Informatique et Libertés procède donc d’une appréciation in concreto et casuistique.

38. Cette même logique a également été appliquée par la CJUE en matière de droit de la concurrence, pour apprécier la notion " d’entreprise " et " d’unité économique " (voir par exemple CJUE C-41/90 du 23 avril 1991, paragraphe 21 ; CJUE, troisième chambre, 14 décembre 2006, C-217/05, paragraphe 41 ; CJUE, troisième chambre, 10 septembre 2009, C 97/08 P, paragraphes 54 et 55 ; CJUE, grande chambre, 6 octobre 2021, affaire C 882/19, paragraphe 41).

39. En l’occurrence, la formation restreinte relève qu’il ressort des éléments du dossier que la société INFINITE STYLES ECOMMERCE FRANCE, créée le 6 mai 2022, est établie au 13-15 rue Taitbout, à Paris (75009). Cette société constitue donc une installation stable en France, qui compte 23 salariés.

40. Il ressort de son extrait " Kbis " qu’elle a pour objet " [l’]import, [l’]export d’habillement et accessoire, [la] vente en ligne, [la] vente en détail, [l’]opération marketing, [le] marketing digital ". La formation restreinte relève que, malgré la demande de la délégation de contrôle, la société INFINITE STYLES ECOMMERCE FRANCE n’a pas communiqué les contrats encadrant sa relation avec la société INFINITE STYLES SERVICES CO. LIMITED.

41. Lors de son audition à la CNIL le 5 octobre 2023, la société INFINITE STYLES ECOMMERCE FRANCE a précisé que " la principale mission de l’établissement français est de promouvoir la marque " SHEIN " [… ] l’établissement français promeut la marque " SHEIN " par le biais d’activités de marketing hors ligne ou " in person ". Ainsi, il peut : organiser des défilés de mode ; implémenter des boutiques éphémères ; réaliser de la publicité, par exemple par le biais de panneaux publicitaires ; etc. L’établissement français peut aussi lancer des opérations photos et produire du contenu pour le site web " shein.com " ". La formation restreinte considère, dès lors, que la société INFINITE STYLES ECOMMERCE FRANCE exerce une activité économique effective sur le territoire français, laquelle contribue au rayonnement du sous-domaine français du nom de domaine " shein.com " géré par la société INFINITE STYLES SERVICES CO LIMITED. Les sociétés INFINITE STYLES ECOMMERCE FRANCE et INFINITE STYLES SERVICES CO. LIMITED sont ainsi " liées économiquement " (CJUE, 4ème chambre, 17 mai 2018, C-531/16). Elles entretiennent, en effet, des liens étroits d'une nature telle qu'ils rapprochent les deux sociétés au point de les unir dans une entité économique.

42. En outre, et comme cela a été indiqué au paragraphe 2, les sociétés INFINITE STYLES ECOMMERCE FRANCE et INFINITE STYLES SERVICES CO LIMITED font partie du même groupe et sont toutes deux détenues à des degrés différents par leur maison mère, la société ROADGET BUSINESS PTE LTD. En effet, la société INFINITE STYLES ECOMMERCE FRANCE est intégralement et directement détenue par la société INFINITE STYLES ECOMMERCE CO. LTD, elle-même intégralement et directement détenue par la société ROADGET BUSINESS PTE LTD, qui détient intégralement et directement, par ailleurs, la société INFINITE STYLES SERVICES CO LIMITED.

43. Ainsi, la formation restreinte estime, pour les raisons exposées ci-dessus, que la société INFINITE STYLES ECOMMERCE FRANCE constitue un " établissement ", au sens de l’article 3 de la loi Informatique et Libertés, de la société INFINITE STYLES SERVICES CO LIMITED. Elle considère que cette analyse est pleinement conforme à la jurisprudence précitée de la CJUE, qui consacre une approche in concreto et casuistique de la notion " d’établissement ", et invite à considérer les relations entre les différentes entités d’un groupe non pas uniquement au regard de leurs liens capitalistiques mais, plus largement, en tenant compte de leur relation économique. Dans ce contexte, la circonstance que la société INFINITE STYLES ECOMMERCE FRANCE n’est pas une filiale de la société INFINITE STYLES SERVICES CO LIMITED est sans incidence sur sa qualité d’établissement de cette société dès lors qu’elles appartiennent au même groupe, qu’elles sont toutes deux des filiales de leur maison mère, et qu’elles poursuivent des intérêts économiques communs.

44. En second lieu, s’agissant de l’existence d’un traitement effectué dans le cadre des activités de l’établissement français, la formation restreinte rappelle tout d’abord qu’il n’est pas nécessaire que le traitement en cause soit réalisé " par cet établissement " (arrêt précité Google Spain, pt. 57), et qu’il suffit que l’un des établissements facilite ou favorise suffisamment le déploiement dans le territoire français du traitement de données à caractère personnel mis en œuvre par le responsable de traitement établi dans un autre État membre pour qu’il y ait obligation de respecter la loi territorialement applicable en France et pour fonder la compétence de l’autorité de contrôle nationale.

45. Elle souligne que dans le cadre de sa jurisprudence, la Cour de justice a eu l’occasion de préciser à plusieurs reprises que l’expression " dans le cadre des activités d’un établissement " ne devait pas recevoir une interprétation restrictive (voir, arrêts précités Google Spain, pt 53 et Weltimmo, pt 25).

46. Elle relève ensuite que le Conseil d’État, dans sa décision AMAZON EUROPE CORE, a rappelé qu’" il résulte de la jurisprudence de la Cour de justice de l’Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu’au vu de l’objectif poursuivi par cette directive [la directive " ePrivacy "], consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué " dans le cadre des activités " d’un établissement national non seulement si cet établissement intervient lui-même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d’un État membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d’un site " (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423, aux Tables).

47. Le Conseil d’Etat a considéré, dans cette décision, que " la société Amazon Online France, dont il n'est pas contesté qu'elle constitue un établissement de la société Amazon Europe Core en France, exerçait une activité de promotion et de commercialisation d'outils publicitaires contrôlés et exploités par la société Amazon Europe Core, fonctionnant notamment grâce aux données collectées par le biais des traceurs de connexion déposés sur les terminaux des utilisateurs du site " amazon.fr " en France. Il résulte […] qu'en déduisant de ces éléments que le traitement de données mis en œuvre par la société Amazon Europe Core était effectué dans le cadre des activités de son établissement Amazon Online France situé en France, au sens de l'article 3 de la loi du 6 janvier 1978, la formation restreinte de la CNIL, qui n'avait pas à justifier sa propre compétence dans les motifs de sa délibération et n'a donc pas, contrairement à ce qui est soutenu, insuffisamment motivé sa décision sur ce point, a fait une exacte application des dispositions de cet article 3. " (point 15 de la décision précitée).

48. La formation restreinte rappelle tout d’abord que dans la décision susvisée, le Conseil d’Etat a apprécié la compétence territoriale de la CNIL au regard des éléments de l’espèce et qu’il n’a pas entendu considérer que c’est par le seul biais de la promotion et de la commercialisation d’outils publicitaires qu’il peut être considéré qu’un traitement de données est effectué " dans le cadre des activités " d’un établissement.

49. La formation restreinte relève que, lors de l’audition du 5 octobre 2023, la société INFINITE STYLES ECOMMERCE FRANCE a déclaré à la délégation que " la principale mission de l’établissement français est de promouvoir la marque " SHEIN ". Comme indiqué au paragraphe 40, son activité consiste notamment à réaliser de la promotion " hors ligne " de la marque " SHEIN ". A titre d’exemple, la société INFINITE STYLES ECOMMERCE FRANCE signale des évènements locaux, tels que la fête des mères, aux autres entités du groupe SHEIN, lesquelles vont ensuite réaliser des campagnes de publicité en ligne invitant les destinataires à se rendre sur le site web " shein.com " pour effectuer leurs cadeaux. La société INFINITE STYLES ECOMMERCE FRANCE organise également des évènements avec des journalistes et des influenceurs, permettant ainsi d’accroitre la visibilité de la marque " SHEIN " auprès de potentiels clients résidant sur le territoire français, qui se rendront, pour ceux qui veulent réaliser un achat, sur le site web " shein.com ".

50. En effet, la formation restreinte note que mis à part quelques boutiques éphémères, les produits vendus par la société sont quasi-exclusivement vendus par le biais de son site web. Ainsi, la promotion " hors ligne " réalisée par la société INFINITE STYLES ECOMMERCE FRANCE a pour objectif d’inciter les personnes à se rendre sur le site web de la société, à partir duquel seront déposés des cookies qui serviront, en partie, à tracer leur navigation afin de leur afficher des publicités pour des produits qu’elle vend.

51. Dès lors, selon la formation restreinte, le critère relatif au traitement effectué " dans le cadre des activités " de l’établissement français est également rempli.

52. Il résulte de ce qui précède que la loi Informatique et Libertés modifiée est applicable en l’espèce et la CNIL compétente pour exercer ses pouvoirs.

C. Sur les griefs tirés de l’irrégularité de la procédure

1. Sur le grief tiré du défaut d’impartialité de la formation restreinte

53. La société fait valoir un grief tiré de l’impartialité des membres de la formation restreinte de la CNIL. Elle relève, d’une part, une absence de stricte séparation des pouvoirs entre les membres de la formation plénière, organe qui fixe la doctrine de la CNIL, et ceux de la formation restreinte, organe de jugement, au motif que les membres de la formation restreinte siègent en formation plénière. Elle note, d’autre part, l’autorité exercée par le président de la CNIL, organe de poursuite, sur les membres de la formation restreinte, organe de jugement.

54. En premier lieu, la formation restreinte relève que la composition de la formation restreinte de la CNIL est définie par la loi Informatique et Libertés, son article 9-I prévoyant qu’elle " est composée d'un président et de cinq autres membres élus par la commission en son sein ".

55. Elle rappelle en outre que dans sa décision du 21 avril 2023, le Conseil d’Etat s’est déjà prononcé sur l’organisation interne d’une autorité administrative indépendante, en l’occurrence l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, dont l’organisation est similaire à celle de la CNIL. Il a considéré que le grief tiré de la méconnaissance du principe d’impartialité était dépourvu de caractère sérieux, estimant, d’une part, que " la circonstance que le collège […] émette un avis sur les propositions d’engagements formulées par les opérateurs […] n’a ni pour objet ni pour effet de conduire ses membres à préjuger la réalité et la qualification des faits dont il appartiendra, le cas échéant à la formation […], composée d’une partie d’entre eux, d’apprécier la suite à donner dans le cadre d’une procédure de contrôle du respect de ces engagements […] ", et d’autre part, que " dans le cadre des objectifs de régulation qui lui ont été assignés et qui figurent à l'article L. 32-1 du même code, l'ARCEP est compétente pour contrôler le respect des obligations résultant des dispositions législatives et réglementaires et des textes et décisions pris en application de ces dispositions au respect desquelles l'autorité a pour mission de veiller. En outre, l'attribution par la loi à une autorité administrative indépendante du pouvoir de fixer les règles dans un domaine déterminé et d'en assurer elle-même le respect, par l'exercice d'un pouvoir de contrôle des activités exercées et de sanction des manquements constatés, ne contrevient pas aux exigences découlant de l'article 16 de la Déclaration des droits de l'homme et du citoyen dès lors que ce pouvoir de sanction est aménagé de telle façon que soient assurés le respect des droits de la défense, le caractère contradictoire de la procédure et les principes d'indépendance et d'impartialité " (soulignement ajouté). Le Conseil d’Etat ajoute enfin qu’ " une sanction prononcée par [cette autorité] peut faire l’objet d’un contrôle juridictionnel dans des conditions dont il n’est pas sérieusement contesté qu’elles sont propres à garantir les droits de la personne sanctionnée " (CE, 21 avril 2023, n° 464349 pts 9 et 11).

56. A la lumière de la décision précitée du Conseil d’Etat, et compte tenu du fait que l’ARCEP et la CNIL ont des organisations similaires, la formation restreinte considère que son impartialité ne saurait être raisonnablement remise en cause sur la base des arguments de la société. Sa seule composition ne permet en rien d’établir que la formation restreinte ne serait pas en mesure d’exercer les missions qui lui sont confiées de manière impartiale et d’apprécier le respect, par les organismes mis en cause, des règles applicables en matière de protection des données, règles qui peuvent être éclairées, le cas échéant, par des recommandations ou lignes directrices adoptées par la formation plénière de la CNIL.

57. Dès lors, la formation restreinte écarte l’argument de la société relatif à l’absence d’impartialité des membres de la formation restreinte de la CNIL, compte tenu de l’absence de stricte séparation des pouvoirs entre leurs qualités de membres de la formation plénière et de la formation restreinte.

58. En second lieu, s’agissant de la prétendue autorité que le président de la CNIL exercerait sur la formation restreinte, celle-ci observe que la composition et le rôle des différents organes de la CNIL sont prévus par la loi Informatique et Libertés. L’article 9 de la loi prévoit ainsi que la formation restreinte " est composée d'un président et de cinq autres membres élus par la commission en son sein ", et que " le président [de la CNIL] et les vice-présidents composent le bureau. […] Les membres du bureau ne sont pas éligibles à la formation restreinte ". Par conséquent, les dispositions applicables prévoient que le président de la CNIL ne peut pas participer à la formation restreinte.

59. S’agissant de la répartition des pouvoirs entre le président de la CNIL et la formation restreinte, l’article 20-IV de la loi prévoit en outre que " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes […] ". L’article 20 de la loi Informatique et Libertés détaille ensuite les différentes mesures que la formation restreinte peut prononcer lorsqu’elle est saisie. Ainsi, la répartition des pouvoirs au sein de la CNIL entre les fonctions de poursuite, exercées par le président, et celles de sanction, relevant des membres de la formation restreinte, est clairement matérialisée à l’article 20 de la loi susvisée.

60. La formation restreinte considère que la loi institue des garanties procédurales suffisantes pour assurer la séparation des pouvoirs entre le président de la CNIL et les membres de la formation restreinte pour assurer l'indépenance de cette formation de jugement.

61. Compte tenu de ce qui précède, la formation restreinte considère que les arguments de la société ne sont de nature à remettre en cause ni l’impartialité ni l’indépendance des membres de la formation restreinte en tant qu’organe de jugement au sein de la Commission.

2. Sur le grief tiré de l’atteinte aux droits de la défense

62. La société soutient que ses droits de la défense ont été méconnus, compte tenu notamment de l’absence d’octroi d’un délai supplémentaire lui permettant de disposer du temps nécessaire à la préparation de sa défense, de la consultation tardive du dossier de procédure dans les locaux de la CNIL et de l’absence de communication d’une version anglaise du rapport de sanction et de ses pièces.

63. La formation restreinte rappelle tout d’abord qu’il résulte de l’article 40 du décret n° 2019-536 du 29 mai 2019 que l’organisme à qui est notifié un rapport proposant une sanction à son égard dispose d’un délai d’un mois pour transmettre ses observations au rapporteur et au président de la formation restreinte. Il ressort en outre de ces dispositions que le président de la formation restreinte peut, sur demande du mis en cause et selon les circonstances de l’affaire, décider de prolonger ce délai. L’octroi d’un délai supplémentaire n’est donc pas un droit pour le mis en cause mais une possibilité qui lui est offerte, sous réserve d’être justifiée, et dont le bénéfice relève de la décision du président de la formation restreinte.

64. La formation restreinte rappelle également que le Conseil d’Etat a déjà eu l’occasion d’écarter l’exception d’illégalité concernant le délai légal d’un mois prévu à l’article 75 du décret du 20 octobre 2005 (désormais l’article 40 du décret n° 2019-536 du 29 mai 2019) (CE, 19 juin 2020, n° 430810 pt 13). Dans cette affaire, le Conseil d’État a considéré que la société avait été mise à même de préparer et de présenter utilement sa défense dès lors qu’elle avait disposé d’un délai d’un mois pour répondre au rapport du rapporteur.

65. En outre, la formation restreinte relève, qu’en l’espèce, le refus du président de la formation restreinte d’octroyer un délai supplémentaire à la société est justifié compte tenu de l’absence de complexité de l’affaire. En effet, elle note tout d’abord que le manquement reproché à la société ne présente pas de caractère novateur et qu’il s’inscrit dans une série de sanctions publiques rendues par la formation restreinte en matière de cookies depuis 2020.

66. Ensuite, s’agissant de la consultation du dossier dans les locaux de la CNIL, la formation restreinte observe que le rapport de sanction du rapporteur a été notifié à la société le 18 février 2025, et ce n’est que le 5 mars 2025, soit deux semaines et demi après la notification du rapport, que la société a demandé à consulter le dossier. La consultation du dossier s’est tenue le 13 mars 2025. Dans ce contexte, la formation restreinte considère que, contrairement à ce qu’invoque la société, le caractère présenté comme tardif de la consultation du dossier ne saurait être uniquement imputable aux services de la CNIL.

67. En tout état de cause, la formation restreinte note que la société avait déjà connaissance de la quasi-intégralité des pièces annexées au rapport de sanction du rapporteur sur lesquelles il s’est fondé pour établir ses propositions. Elle constate en effet que la plupart des pièces ont été transmises par la société au cours de la procédure de contrôle (comme par exemple, des réponses à des questions posées par la délégation) ou résulte du contrôle en ligne du site web de la société, dont elle a la totale maitrise. Ainsi, la formation restreinte considère que le délai d’un mois octroyé à la société étant suffisant pour lui permettre de se familiariser avec le dossier et de répondre aux griefs contenus dans le rapport de sanction, qui portent sur une seule catégorie de manquements à l’article 82 de la loi Informatique et Libertés. Elle considère également que, dans ces circonstances, l’accès présenté comme tardif au dossier n’est pas non plus de nature à entacher la régularité de la procédure, celui-ci étant composé des éléments de procédure dont la société disposait déjà (rapport de sanction et ses pièces, procès-verbal de contrôle et ses pièces, éléments communiqués par la société à l’issue du contrôle, etc.). En tout état de cause, la société a pu présenter ses observations sur les éléments constituant le dossier de procédure lors des deux tours de contradictoire et lors de la séance.

68. Enfin, la formation restreinte rappelle que la langue de la procédure de sanction devant la CNIL est le français. Elle relève qu’il ne résulte d’aucune disposition légale ou réglementaire que le rapport de sanction et ses pièces doivent être notifiés au mis en cause dans une autre langue que celle-ci. En ce sens, le Conseil d’Etat a déjà eu l’occasion de retenir, à l’égard d’une procédure de sanction de la CNIL, que " la circonstance que la plus grande part des pièces de la procédure était rédigée en langue française " n’a pas d’incidence sur les droits de la défense du mis en cause (CE 19 juin 2020, n° 430810, point 14). En l’espèce, compte tenu des importantes ressources matérielles et humaines dont dispose la société, de ce qu’elle dispose d’un établissement en France et de ce qu’elle a fait appel à un cabinet d’avocat implanté à la fois en Irlande et en France, la formation restreinte considère que le fait de disposer du rapport de sanction et des pièces uniquement en langue française n’a pas fait obstacle à la compréhension des griefs qui lui étaient reprochés par le rapporteur. Dès lors, la formation restreinte considère que l’absence de traduction en langue anglaise du rapport de sanction et de ses pièces, n’a pas eu d’incidence sur les droits de la défense de la société. Au surplus, la formation restreinte relève qu’au cours de la séance, les représentants de la société étaient assistés d’interprètes en langue anglaise.

69. Par conséquent, le grief de procédure tiré de l’atteinte aux droits de la défense doit être écarté.

D. Sur le manquement aux obligations en matière de cookies

70. Les règles régissant l’utilisation, par un service de communications électroniques, des cookies et autres traceurs sur les équipements terminaux utilisés dans l’Union européenne sont fixées à l’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2009/136/CE du 25 novembre 2009.

71. Ces règles ont été transposées en droit français à l’article 32, paragraphe II, de la loi Informatique et Libertés, devenu l’article 82 depuis la réécriture de cette loi par l’ordonnance n° 2018-1125 du 12 décembre 2018. Celui-ci prévoit que " Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l’utilisateur ".

72. La formation restreinte observe que le rapporteur a identifié quatre volets au manquement aux obligations en matière de cookies qu’il estime constitué. Il convient donc d’examiner successivement ces quatre branches.

1. Sur l’obligation de recueillir le consentement de l’utilisateur au dépôt et à la lecture de cookies sur son terminal

73. Le rapporteur soutient que, lors de la mission de contrôle en ligne réalisée le 10 août 2023, la délégation de la CNIL a constaté le dépôt sur le terminal, dès son arrivée sur la page d’accueil du site et avant toute interaction avec le bandeau cookies, de plusieurs cookies pour lesquels le consentement de l’utilisateur aurait dû être préalablement requis. Il s’agit de trois cookies publicitaires (" _pinterest_ct_ua ", " _pin_unauth " et " muc_ads "), de six cookies relatifs au plafonnement de l’affichage publicitaire (également appelé " capping " publicitaire et ci-après dénommés " cookies de plafonnement " ; cookies " no_pop_up_fr ", " hideCoupon ", " hideCouponId_time ", " hideCouponWithRequest ", " revisit_canshow " et " have_show ") et d’un cookie de mesure d’audience (" cookieId "), dont la durée de vie était de 10 ans. Il considère ainsi que la société a méconnu les dispositions de l’article 82 de la loi Informatique et Libertés en ne recueillant pas le consentement de l’utilisateur préalablement au dépôt de ces cookies. Le rapporteur relève que la société s’est mise en conformité en cours de procédure en cessant de déposer ces cookies sans recueil préalable du consentement.

74. La société ne conteste pas le fait que les trois cookies publicitaires mentionnés par le rapporteur dans le rapport étaient déposés sur le terminal de l’utilisateur avant toute expression de son consentement. Elle indique que ce dépôt sans consentement relève d’une erreur à laquelle elle a remédié en cours de procédure.

75. S’agissant des cookies de plafonnement publicitaire, la société conteste avoir déposé sur le terminal de l’utilisateur, au jour du contrôle, le cookie " have_show " mais reconnaît le dépôt des autres cookies et ce, sans le consentement de l’utilisateur. Elle considère que ces cookies, qui ne sont déposés que lorsque l’utilisateur a refusé le reste des cookies, facilitent la navigation de l’utilisateur en empêchant que soient présentées trop souvent les mêmes publicités à l’utilisateur. Dès lors, elle considère qu’ils ne sont pas soumis au consentement. Elle précise que, bien qu’elle ne partage pas la position du rapporteur, elle a modifié sa pratique en cours de procédure afin que les cookies de plafonnement publicitaire ne soient plus déposés sans consentement.

76. S’agissant du cookie de mesure d’audience " cookieId " qui permet notamment de réaliser des " A/B testing " (qui consiste à présenter deux versions d’un site web variant légèrement à deux groupes d’utilisateurs, pour évaluer les impacts de cette variation) la société reproche au rapporteur de se fonder sur les lignes directrices et recommandations de la CNIL en matière de cookies, dépourvues de valeur normative, pour considérer qu’il est soumis au consentement. Elle conteste la nécessité de recueillir le consentement de l’utilisateur pour déposer ce cookie et soutient que la formation restreinte n’a pas retenu de manquement à l’égard du dépôt d’un cookie similaire de test A/B dans sa délibération SAN-2022-027 du 29 décembre 2022. Elle souligne que si la durée de vie de ce cookie a pu être de 10 ans, le rapporteur n’a pas tenu compte de l’existence de mécanismes de purge automatique intégrés dans les navigateurs. Elle précise avoir toutefois, en cours de procédure, décidé de remplacer le dépôt de ce cookie en migrant vers une autre solution.

77. La formation restreinte rappelle que l’article 82 de la loi n° 78-17 du 6 janvier 1978 impose le recueil d’un consentement préalable avant de procéder à des opérations de lecture ou d’écriture sur l’équipement terminal (ordinateur, téléphone, etc.) de la personne concernée. Toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur est en principe soumise à cette exigence. Ces mêmes dispositions prévoient des exceptions à cette obligation pour les opérations, soit ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Ces dispositions ont été interprétées par la CNIL dans ses lignes directrices et sa recommandation du 17 septembre 2020 (délibérations nos 2020-091 et 2020-092 du 17 septembre 2020).

78. A titre liminaire, la formation restreinte rappelle, que si les lignes directrices et la recommandation de la Commission du 17 septembre 2020 (délibérations susvisées) n’ont certes pas de caractère impératif, elles visent à interpréter les dispositions législatives applicables et à éclairer les acteurs sur les mesures concrètes permettant de garantir le respect des dispositions légales, afin qu’ils mettent en œuvre ces mesures ou des mesures d’effet équivalent. En ce sens, il est précisé dans les lignes directrices que celles-ci " ont pour objet principal de rappeler et d’expliciter le droit applicable aux opérations de lecture et/ou d’écriture d’informations […] dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur, et notamment à l’usage des témoins de connexion ". Dès lors, la formation restreinte rappelle qu’elle retient, à l’encontre du mis en cause, un manquement aux obligations découlant de l’article 82 de la loi Informatique et Libertés et non aux lignes directrices et recommandations, qui ne constituent pas un élément légal d’incrimination mais offrent un éclairage pertinent pour apprécier comment respecter les obligations prévues par les législateurs européen et français.

79. En premier lieu, s’agissant des cookies publicitaires, la formation restreinte rappelle que, n’étant pas des traceurs ayant pour finalité de permettre ou faciliter la communication par voie électronique, et n’étant pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, ceux-ci ne peuvent être déposés ou lus sur le terminal de la personne, conformément à l’article 82 de la loi Informatique et Libertés, tant qu’elle n’a pas fourni son consentement. Cette solution a été adoptée par une jurisprudence constante du Conseil d’Etat (CE, 14 mai 2024, n° 472221 point 5 ; CE, 27 juin 2022, n° 451423, points 26 et 27 ; CE, 28 janvier 2022, n° 449209 points 18 et 19).

80. La formation restreinte observe qu’au cours du contrôle réalisé sur le site web " shein.com " le 10 août 2023, les cookies publicitaires " _pinterest_ct_ua ", " pin_unauth " et " muc_ads " ont été déposés sur le terminal de la délégation sans recueil préalable du consentement, ce que ne conteste pas la société.

81. La formation restreinte considère qu’en permettant, au jour du contrôle en ligne, le dépôt et la lecture de ces cookies publicitaires sur le terminal de l’utilisateur, lors de son arrivée sur le site web " shein.com ", sans recueillir préalablement son consentement, la société INFINITE STYLES SERVICE CO. LIMITED a méconnu les obligations de l’article 82 de la loi Informatique et Libertés modifiée, les cookies et autres traceurs à finalité publicitaire ne faisant pas partie des cookies exemptés de consentement au titre de l’article précité. Elle rappelle par ailleurs que depuis 2020, elle a déjà rendu publiques plusieurs sanctions à l’encontre d’organismes déposant des cookies publicitaires avant tout recueil du consentement de l’utilisateur, ce que la société ne pouvait donc pas ignorer (délibération n° SAN-2020-012 du 7 décembre 2020 validée par le Conseil d’État dans sa décision n° 44209 du 28 janvier 2022 ; délibération n° SAN-2020-013 du 7 décembre 2020 validée par le Conseil d’État dans sa décision n° 451423 du 27 juin 2022).

82. En deuxième lieu, la formation restreinte observe qu’il ressort du contrôle en ligne du 10 août 2023 qu’après avoir fermé plusieurs fenêtres surgissantes apparaissant sur la page d’arrivée, les cookies " no_pop_up_fr ", " hideCoupon ", " hideCouponId_time ", " hideCouponWithRequest ", " revisit_canshow ", mais également le cookie " have_show ", lequel est déposé après un court laps de temps, sont également déposés sur le terminal de l’utilisateur du site web " shein.com ", et ce avant toute interaction avec le bandeau relatif aux cookies.

83. La formation restreinte note qu’il résulte des éléments fournis par la société les 7 septembre et 2 novembre 2023, ainsi que de la politique de confidentialité dans sa version accessible au jour du contrôle, que ces cookies permettent d’enregistrer l’information selon laquelle l’utilisateur a interagi avec une fenêtre surgissante publicitaire afin qu’elle ne lui soit plus proposée pendant une certaine période (par exemple, 10 minutes, 30 jours). A l’expiration de cette période prédéfinie, la fenêtre surgissante publicitaire sera de nouveau présentée à l’utilisateur lors de sa navigation sur le site web " shein.com ".

84. Ces cookies ont pour objectif de limiter le nombre de présentation d’un contenu publicitaire à un même utilisateur (cet objectif est souvent décrit comme du " capping " publicitaire ou " plafonnement publicitaire "). Ils ne rentrent dès lors pas dans les exceptions au consentement. Au surplus la formation restreinte rappelle que le dépôt de ces cookies, dès lors qu’ils concourent à la finalité plus large de la publicité en ligne, est soumis au recueil préalable du consentement de l’utilisateur.

85. Elle rappelle que la CNIL a déjà communiqué sur la nécessite de recueillir le consentement des utilisateurs pour ce type de cookies, notamment au travers de sa FAQ " Questions-réponses sur les lignes directrices modificatives et la recommandation " cookie et autres traceurs " publiée sur son site web le 30 septembre 2020 (question 33), laquelle précise que " dans de nombreux cas, des traceurs nécessitant le consentement de l’utilisateur sont utilisés afin de mesurer la performance de la publicité (par exemple des cookies de " capping ", de mesure de l’audience publicitaire ou encore de lutte contre la fraude au clic). " En outre, la formation restreinte rappelle également avoir déjà sanctionné, compte tenu de l’absence de consentement, le dépôt de cookies dont elle considérait qu'ils permettaient certes de lutter contre la fraude, mais qu’ils s’inscrivaient aussi, à l’instar des cookies de plafonnement, dans une finalité plus large de publicité (délibération SAN-2022-023 du 19 décembre 2022, paragraphes 51 à 53).

86. Par conséquent, la formation restreinte considère qu’en déposant les cookies de plafonnement publicitaire sur le terminal de l’utilisateur sans recueillir au préalable son consentement, la société a méconnu les dispositions de l’article 82 de la loi Informatique et Libertés.

87. En troisième lieu, s’agissant du cookie intitulé " cookieId ", la formation restreinte rappelle que les cookies de " A/B testing " (qui consiste à présenter deux versions d’un site web variant légèrement à deux groupes d’utilisateurs pour évaluer les impacts de cette variation) peuvent être exemptés du recueil du consentement lorsqu’ils ont pour finalité exclusive de réaliser des statistiques sur l’utilisation du site, dans les conditions précisées par la CNIL dans sa délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices en matière de cookies, aux termes de laquelle " ces mesures sont dans de nombreux cas indispensables au bon fonctionnement du site ou de l’application et donc à la fourniture du service. En conséquence, la Commission considère que les traceurs dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse de contenus consultés, etc.) sont strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application et ne sont donc pas soumis, en application de l’article 82 de la loi " Informatique et Libertés ", à l’obligation légale de recueil préalable du consentement de l’internaute. Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, la Commission souligne que ces traceurs doivent avoir une finalité strictement limitée à la seule mesure de l’audience sur le site ou l’application pour le compte exclusif de l’éditeur. Ces traceurs ne doivent notamment pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web " (§50 et 51). Par ailleurs, dans sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation en matière de cookies, la Commission recommande que " la durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois […] " (§50).

88. En l’espèce, la formation restreinte relève qu’il ressort d’un document communiqué par la société à la délégation le 2 novembre 2023 concernant notamment les caractéristiques du cookie " cookieId ", que celui-ci a une valeur identifiante, c’est-à-dire qu’il permet d’identifier individuellement chaque utilisateur sur une période de 10 ans. En défense, la société argue que, dans l’appréciation de cette durée, le rapporteur ne tient pas compte de l’existence de mécanismes de purge automatique intégrés dans les navigateurs. Sur ce point, la formation restreinte considère d’abord que la société ne peut faire reposer sur l’utilisateur la charge de paramétrer son navigateur afin qu’il efface les cookies à intervalle régulier. La formation restreinte considère ensuite que les caractéristiques de ce cookie sont particulièrement intrusives pour l’utilisateur, en ce qu’elles permettent de tracer l'utilisateur sur une durée particulièrement longue et outrepassent ainsi ce qui est nécessaire pour déterminer quelle version du site web est plus efficace pour la société. En effet, les cookies de " A/B testing " nécessitent uniquement d’identifier la cohorte (groupe A ou B) à laquelle appartient un utilisateur et cela sur une période très limitée. Ce cookie, au vu de ses caractéristiques, ne peut dès lors pas être considéré comme ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ne peut pas non plus être considéré comme strictement nécessaire à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur.

89. La formation restreinte observe ensuite que, contrairement à ce que soutient la société, dans sa délibération SAN-2022-027 du 29 décembre 2022, elle n’a pas considéré que les cookies de " A/B testing " déposés par les sociétés étaient exemptés du recueil du consentement. La formation restreinte ne s’est pas prononcée sur ce point, faute de disposer, dans le dossier, des éléments nécessaires relatifs aux caractéristiques de ces cookies, ce qui n’est pas le cas en l’espèce s’agissant du cookie déposé par la société INFINITE STYLES SERVICES CO LTD.

90. La formation restreinte considère donc qu’en déposant le cookie " cookieId " sur le terminal de l’utilisateur, sans recueillir préalablement son consentement, la société a méconnu les dispositions de l’article 82 de la loi Informatique et Libertés.

91. Au vu de l’ensemble de ce qui précède, la formation restreinte considère, qu’au jour du contrôle, la société déposait 10 cookies sur le terminal de l’utilisateur, sans recueillir préalablement son consentement, ce qui constitue un manquement à l’article 82 de la loi Informatique et Libertés modifiée.

92. Au regard des mesures prises par la société au cours de la procédure, la formation restreinte note qu’elle s’est mise en conformité sur ce point en cessant de déposer les cookies en cause sans recueil préalable du consentement de l’utilisateur.

2. Sur l’obligation de recueillir un consentement de l’utilisateur libre et éclairé

93. En droit, pour être valable, le consentement de l’internaute doit répondre aux caractéristiques requises par le RGPD, la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 renvoyant en effet à la définition du consentement telle que prévue au RGPD.

94. La formation restreinte souligne que les travaux conduits par la Commission sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé. A cet égard, la formation restreinte observe que la délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives aux " cookies et autres traceurs " rappelle expressément que le consentement exigé par l’article 82 de la loi Informatique et Libertés renvoie à la définition et aux conditions prévues aux articles 4.11 et 7 du RGPD (§ 5 et 6).

95. L’article 4, paragraphe 11 du RGPD définit le consentement comme " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ".

96. Le considérant 32 du RGPD prévoit également que " le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant […] ".

97. S’agissant du caractère éclairé du consentement, le considérant 42 du RGPD précise que " pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel ". S’agissant de son caractère libre, il indique que " le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ".

98. En vertu de ces dispositions combinées, il incombe au responsable du traitement d’informer les personnes concernées et de mettre en œuvre un mécanisme valable de recueil du consentement des personnes à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci.

2.1 Sur le premier niveau d’information fournie aux utilisateurs du site web " shein.com " : le bandeau cookies et la fenêtre surgissante " Bienvenue sur le site France "

99. Afin d’accompagner les responsables de traitement sur la manière d’assurer le caractère éclairé du consentement, la Commission a formulé des recommandations dans sa délibération n° 2020-092 du 17 septembre 2020. Il y est notamment indiqué au paragraphe 10 que " de manière générale, afin d’être compréhensible et de ne pas induire en erreur les utilisateurs, la Commission recommande aux organismes concernés de s’assurer que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée ". En outre, au paragraphe 13, il est proposé que " chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif " et elle recommande au paragraphe 14 " de faire figurer, en complément de la liste des finalités présentées sur le premier écran, une description plus détaillée de ces finalités, de manière aisément accessible depuis l’interface de recueil du consentement. Cette information peut, par exemple, être affichée sous un bouton de déroulement que l’internaute peut activer directement au premier niveau d’information. Elle peut également être rendue disponible en cliquant sur un lien hypertexte présent au premier niveau d’information ".

100. S’agissant du caractère libre du consentement, la CNIL indique aux paragraphes 30 et 31 dans la délibération susvisée que " le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité. […] Ainsi, la Commission recommande fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d'exprimer un consentement ".

101. Le rapporteur soutient, qu’au jour du contrôle en ligne, la société présentait aux utilisateurs de son site web " shein.com " deux modes de recueil du consentement au dépôt et à la lecture de cookies sur leurs terminaux. Elle faisait coexister, d’une part, un bandeau cookies, dont les mentions d’information étaient incomplètes et imprécises et, d’autre part, une fenêtre surgissante publicitaire, qui comportait une mention d’information à l’égard des cookies déposés sans préciser leurs finalités et qui ne proposait pas de les refuser. Il considère donc, qu’au jour du contrôle en ligne, la société ne recueillait pas le consentement libre et éclairé de l’utilisateur préalablement au dépôt et à la lecture de cookies sur son terminal. Il considère également que le fait de proposer à l’utilisateur deux interfaces de recueil du consentement (bandeau et fenêtre surgissante) est de nature à créer la confusion chez ce dernier. Le rapporteur note que la société s’est mise en conformité sur ce point en cours de procédure.

102. En défense, la société indique que la mention d’information relative aux cookies présente sur la fenêtre surgissante résulte d’une erreur technique, qu’elle a corrigée en cours de procédure. Elle précise que l’interaction de l’utilisateur avec cette fenêtre n’a pas pour conséquence le dépôt de nouveaux cookies sur son terminal, c’est-à-dire de cookies autres que ceux qui ont été déposés lors de l’accès au site web " shein.com ". Elle soutient que seul son bandeau cookies constitue un mode de recueil du consentement et considère, qu’au jour du contrôle, celui-ci était conforme à ses obligations dès lors que l’information selon laquelle les cookies déposés visent à " offrir un contenu taillé sur mesure en fonction de vos intérêts " est compréhensible pour l’utilisateur d’un site de prêt-à-porter. Bien qu’elle ne partage pas la position du rapporteur, la société indique avoir toutefois précisé les finalités poursuivies par les cookies déposés sur le terminal de l’utilisateur.

103. En premier lieu, la formation restreinte relève qu’il ressort des pièces du dossier que lors de l’arrivée sur le site web " shein.com ", deux interfaces comportant des informations relatives aux cookies et des boutons ou case à cocher étaient effectivement présentées à l’utilisateur.

104. S’agissant du bandeau cookie figurant en bas à gauche de la page d’accueil, celui-ci comporte une mention d’information sur les cookies accompagnée de trois boutons " Paramètres des cookies ", " Tout refuser " et " Accepter ". Il n’est pas contesté que ce bandeau constitue une modalité de recueil du consentement.

105. S’agissant ensuite de la fenêtre surgissante, celle-ci est intitulée " Bienvenue sur le site France " et propose une offre de " livraison gratuite sur tout pour les nouveaux clients " comportant une mention d’information sur les cookies, accompagnée d’un bouton " J’accepte ". La formation restreinte observe que, contrairement à ce que soutient la société, il ressort des pièces du dossier que lorsque l’utilisateur clique sur le bouton " J’accepte ", qui figure sur cette fenêtre, des cookies de plafonnement publicitaire sont déposés. Compte tenu de ce que cette interface invite expressément l’utilisateur à accepter le dépôt de cookie et qu’un clic sur le bouton " J’accepte " entraine le dépôt de cookies, la formation restreinte considère qu’elle constitue une modalité de recueil du consentement, contrairement à ce que soutient la société.

106. En deuxième lieu, la formation restreinte rappelle que l’ensemble des finalités poursuivies par les cookies doit être porté à la connaissance de l’utilisateur, avant de recueillir son consentement, dès le premier niveau d’information (délibération n° 2020-092 du 17 septembre 2020 paragraphes 13 et 14). Elle rappelle également avoir déjà sanctionné à plusieurs reprises des organismes qui ne fournissaient pas une information complète s’agissant des finalités poursuivies par les opérations de dépôt et de lecture des cookies (délibération SAN-2022-027 du 29 décembre 2022, paragraphes 82 à 85 ; délibération SAN-2020-013 du 7 décembre 2020, paragraphes 92 à 94).

107. En l’espèce, la formation restreinte relève, s’agissant du bandeau cookie, que la mention d’information présente indique qu’" afin d’améliorer votre expérience, nous utilisons des cookies pour enregistrer les détails de connexion, collecter des statistiques et vous offrir un contenu taillé sur mesure en fonction de vos intérêts. Cliquez sur " Accepter pour accepter les cookies, ou cliquez sur " Paramètres des cookies " pour choisir quels cookies accepter sur le site. Cliquez ici pour voir notre Politique de confidentialité ".

108. La formation restreinte considère que, bien que la formulation " offrir un contenu taillé sur mesure en fonction de vos intérêts " fasse référence au monde du prêt-à-porter, comme le soulève la société, celle-ci ne permet pas pour autant, sans plus de précisions, d’éclairer l’utilisateur sur le fait que des cookies publicitaires seront déposés sur son terminal en cas d’acceptation des cookies, notamment afin de suivre sa navigation entre plusieurs sites web et de pouvoir ainsi lui proposer de la publicité personnalisée sur la base de sa navigation.

109. La formation restreinte considère qu’en ne fournissant pas des informations précises sur les finalités poursuivies par les cookies publicitaires et de plafonnement publicitaire sur le bandeau cookies, la société ne recueillait pas, au jour du contrôle, le consentement éclairé de l’utilisateur lorsque celui-ci acceptait le dépôt de cookies sur son terminal, en méconnaissance des dispositions applicables. Elle relève cependant que la société a modifié la mention d’information présente sur son bandeau cookies en précisant les finalités poursuivies par les cookies déposés sur le terminal de l’utilisateur lorsque celui-ci accepte l’écriture et/ou la lecture de cookies.

110. En troisième lieu, s’agissant de la fenêtre surgissante, la formation restreinte, relève que la mention d’information présente sur cette fenêtre indique " Nous avons recours aux cookies afin de vous fournir une meilleure expérience d’achat. En continuant à utiliser nos services ou en créant un compte sur notre site, vous acceptez notre Politique de Confidentialité et notre Politique d’utilisation des cookies ".

111. La formation restreinte considère que cette mention d’information ne comportait pas, au jour du contrôle, l’ensemble des informations obligatoires pour recueillir un consentement éclairé dès lors qu’elle ne fournissait pas aux utilisateurs des informations relatives aux finalités des cookies déposés sur leurs terminaux. Elle relève que cette mention est particulièrement vague et qu’elle ne permet ainsi pas à l’utilisateur de comprendre si l’amélioration de son expérience d’achat se traduira, par exemple, par le recours à des cookies permettant de garder en mémoire le contenu d’un panier d’achat ou la langue choisie sur le site, et/ou s’il s’agit de cookies permettant de lui afficher des publicités personnalisées. La mention en cause ne présentant pas de manière suffisamment précise les finalités poursuivies par les cookies, le consentement sollicité ne saurait dès lors être considéré comme éclairé.

112. La formation restreinte considère que le consentement recueilli par la société via cette fenêtre n’est pas libre pour deux raisons. D’une part, l’acceptation inconditionnelle de l’ensemble des cookies est en effet présentée par la société comme étant la seule option des utilisateurs s’ils souhaitent poursuivre la navigation sur le site " shein.com ". D’autre part, la fenêtre ne fait pas état des moyens dont disposent les utilisateurs pour refuser le dépôt de cookies. La formation restreinte relève notamment la présence d’un bouton permettant d’accepter immédiatement les cookies mais l’absence d’un moyen analogue pour pouvoir les refuser aussi facilement et en un seul clic. La formation restreinte rappelle avoir déjà sanctionné un organisme qui ne fournissait pas aux utilisateurs un moyen, auquel la FR attache une grande importance, pour s’opposer au dépôt de cookies soumis à consentement (délibération SAN-2020-013 du 7 décembre 2020, paragraphe 95).

113. Au vu de ce qui précède, la formation restreinte considère, qu’au jour du contrôle, la fenêtre surgissante ne permettait pas un recueil valable du consentement des utilisateurs avant de déposer des cookies sur leur terminal. Elle note en revanche que la société a pris des mesures au cours de la procédure pour se mettre en conformité sur ce point, la fenêtre surgissante ne permettant plus à la société de collecter le consentement de l’utilisateur au dépôt de cookies sur son terminal et la mention d’information ayant été supprimée.

114. En dernier lieu, la formation restreinte considère que la coexistence de plusieurs modes de recueil du consentement lors de l’accès au site web " shein.com " constitue une surcharge informationnelle pour l’utilisateur, de nature à influencer son choix en matière de cookies, sans que celui-ci en maîtrise la portée. En effet, la formation restreinte rappelle qu’il n’existe aucun bouton permettant à l’utilisateur de refuser les cookies et que lorsque l’utilisateur clique sur le seul bouton disponible " J’accepte ", puis interagit avec le bandeau cookie, il aura tendance à répéter son choix en cliquant sur le bouton " Accepter ".

115. Au vu de ce qui précède, la formation restreinte considère qu’au jour du contrôle, les conditions de recueil du consentement mis en œuvre par la société sur le site " shein.com " n’étaient pas conformes aux dispositions de l’article 82 de la loi Informatique et Libertés, telles qu’éclairées par l’article 4 paragraphe 11 du RGPD et les considérants 32 et 42 sur le caractère libre et éclairé du consentement.

2.2 Sur le deuxième niveau d’information fournie aux utilisateurs du site web " shein.com " : la plateforme de gestion du consentement

116. En droit, le considérant 42 du RGPD précise notamment que " pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel ".

117. La Commission a formulé des recommandations dans sa délibération n° 2020-092 du 17 septembre 2020. Il y est notamment indiqué aux paragraphes 18 à 21 que " les utilisateurs doivent pouvoir prendre connaissance de l’identité de l’ensemble des responsables du ou des traitements, y compris les responsables de traitement conjoints, avant de donner leur consentement ou de refuser. Ainsi, comme explicité dans les lignes directrices du 17 septembre 2020, la liste exhaustive et régulièrement mise à jour des responsables du ou des traitements doit être mise à la disposition des utilisateurs au moment du recueil de leur consentement. En pratique, afin de concilier les exigences de clarté et de concision des informations avec la nécessité d’identifier l’ensemble des responsables du ou des traitements, les informations spécifiques sur ces entités (identité, lien vers leur politique de traitement des données à caractère personnel), régulièrement mises à jour, peuvent par exemple être fournies à un second niveau d’information. Elles peuvent ainsi être mises à disposition depuis le premier niveau via, par exemple, un lien hypertexte ou un bouton accessible depuis ce niveau. La Commission recommande en outre d’utiliser une dénomination descriptive et utilisant des termes clairs, telle que " liste des sociétés utilisant des traceurs sur notre site / application ". Enfin, la Commission recommande qu’une telle liste soit également mise à la disposition des utilisateurs de manière permanente, à un endroit aisément accessible à tout moment sur le site web ou l’application mobile. […] Afin d’accroître la lecture de l’information par les utilisateurs, le nombre de responsables du ou des traitements impliqués pourrait être indiqué au premier niveau d’information. De même, le rôle des responsables du ou des traitements pourrait être mis en évidence en les regroupant par catégories, lesquelles seraient définies en fonction de leur activité et de la finalité des traceurs utilisés ".

118. Le rapporteur considère, qu’au jour du contrôle en ligne, le consentement de l’utilisateur n’était pas recueilli de manière éclairée dès lors que le second niveau d’information qui lui était fourni ne mentionnait pas l’identité des responsables de traitement déposant des cookies " tiers " sur le terminal des utilisateurs. Le rapporteur relève que la société s’est toutefois mise en conformité en cours de procédure.

119. En défense, la société ne conteste pas le caractère incomplet, au jour du contrôle, de la mention d’information fournie au deuxième niveau et rappelle s’être mise en conformité en cours de procédure.

120. La formation restreinte relève qu’après avoir cliqué sur le bouton " Paramètres des cookies " présent sur le bandeau cookies, la plateforme de gestion du consentement présente ensuite les différents types de cookies qui peuvent notamment être déposés par des tiers, tels que les cookies de performance ou les cookies de publicité ciblée. Or, aucune information n’est délivrée quant à l’identité de ces tiers, ce qui ne permet pas d’éclairer suffisamment l’utilisateur avant qu’il décide de consentir ou non, sur la portée du consentement donné.

121. Il résulte de ce qui précède qu’en ne mentionnant pas l’identité des responsables du traitement déposant des cookies publicitaires tiers sur le terminal de l’utilisateur au moment où son consentement est sollicité, celui-ci n’est pas mis en mesure de consentir de manière éclairée, ce qui constitue un manquement à l’article 82 de la loi Informatique et Libertés modifiée, éclairé par l’article 4 paragraphe 11 du RGPD et son considérant 42.

122. La formation restreinte relève que la société a cependant pris des mesures de mise en conformité sur ce point au cours de la procédure.

3. Sur l’obligation d’assurer l’effectivité du refus de l’utilisateur au dépôt et à la lecture de cookies sur son terminal

123. Le rapporteur relève que, lors du contrôle en ligne, la délégation a constaté que la société procède à des opérations de lecture et d’écriture d’informations dans le terminal de l’utilisateur après que celui-ci a cliqué sur le bouton " Tout refuser " présent sur le bandeau cookies et continué sa navigation sur le site. Il note que la société s’est mise en conformité en cours de procédure.

124. En défense, la société soutient que le refus de l’utilisateur avait uniquement pour conséquence, au jour du contrôle, d’entrainer le dépôt de cookies de plafonnement publicitaire et du cookie de mesure d’audience " cookieId ", qui ne sont pas soumis au consentement. Elle considère donc que cette branche du manquement n’est pas caractérisée.

125. La formation restreinte relève que dans le scénario suivi par la délégation de contrôle dédié au refus des cookies, cette dernière s’est rendue sur le site web " shein.com ", a ensuite cliqué sur le bouton " Tout refuser ", a constaté la présence de 32 cookies sur son terminal, puis a fermé les fenêtres surgissantes intitulées " Vous avez reçu les réductions suivantes " et " Se connecter avec Google " et a constaté, malgré le refus préalablement exprimé, l’inscription des cookies de plafonnement publicitaire " hideCouponId_time ", " hideCouponWithRequest ", " hideCoupon ". La formation restreinte rappelle que ces cookies ne sont pas exemptés du recueil du consentement pour les raisons exprimées aux paragraphes 82 à 86. La formation restreinte relève que la délégation a également constaté, à la suite de l’expression de son refus à l’écriture et la lecture de cookies sur son terminal, que certains cookies de plafonnement publicitaire, préalablement déposés sur son terminal, continuaient d’être lus.

126. Or, dans la mesure où l’utilisateur a exprimé sans la moindre ambiguïté sa volonté de ne pas voir des cookies inscrits et/ou lus sur le terminal, le fait que des cookies soumis au consentement continuent d’être lus et que des cookies supplémentaires soient malgré tout déposés après qu’il a fermé les fenêtres surgissantes a pour effet de priver d’effectivité le choix exprimé par l’utilisateur. Ainsi, le mécanisme mis en place par la société était défaillant au jour du contrôle dès lors que la société a procédé à des opérations d’écriture et/ou lecture de cookies sur le terminal de l’utilisateur malgré son refus. Ces faits constituent, selon la formation restreinte, un manquement à l’article 82 de la loi Informatique et Libertés modifiée.

127. Au demeurant, la formation restreinte rappelle qu’elle a déjà sanctionné des organismes qui ne rendaient pas effectif le choix exprimé par les utilisateurs en matière de cookies (délibération n°SAN-2021-013 du 27 juillet 2021 et délibération n°SAN-2023-024 du 29 décembre 2023).

128. La formation restreinte relève que la société a pris des mesures au cours de la procédure permettant de mettre fin au manquement constaté. Elle considère, dès lors, qu’il n’y a pas lieu de prononcer une injonction de mise en conformité, comme initialement proposé par le rapporteur.

4. Sur l’obligation d’assurer l’effectivité du retrait du consentement de l’utilisateur au dépôt et à la lecture de cookies sur son terminal

129. En droit, la loi Informatique et Libertés prévoit expressément que, dès lors qu’elles n’entrent pas dans le champ des exceptions mentionnées aux deux derniers alinéas de l’article 82, les opérations d’accès ou d’inscription d’informations dans le terminal d’un utilisateur ne peuvent avoir lieu qu’après que ce dernier a exprimé son consentement.

130. Ces dispositions, telles qu’interprétées de manière constante par la Commission depuis sa recommandation relative aux cookies et autres traceurs du 5 décembre 2013 (délibération no 2013-378) et, en tout dernier lieu, dans sa recommandation du 17 septembre 2020 (délibération n°2020-092 du 17 septembre 2020), impliquent non seulement que les personnes concernées donnent leur consentement à l’accès ou à l’inscription d’informations dans leur terminal, mais également que celles ayant donné leur consentement soient en mesure de le retirer de manière simple et à tout moment.

131. Dans une décision du 29 décembre 2023, la formation restreinte a ainsi expressément rappelé que, " si l’article 82 de la loi Informatique et Libertés conditionne le dépôt de cookies au consentement de l’abonné ou de l’utilisateur, il offre nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement et de revenir ainsi sur son choix d’accepter que des cookies soient déposés sur son terminal " (CNIL, FR, 29 décembre 2023, Sanction, SAN-2023-024, publié).

132. Le rapporteur relève qu’il ressort des constatations réalisées par la délégation sur le site web " shein.com " que, malgré le retrait du consentement, les cookies déposés ont continué d’être lus et que des cookies supplémentaires soumis au consentement ont été déposés. À titre d’exemple, il indique à la société que pour rendre effectif le retrait du consentement des utilisateurs, celle-ci peut notamment modifier la durée de vie du cookie pour l’indiquer comme expiré. Dans le cadre de la procédure contradictoire écrite, le rapporteur observe ensuite que la société s’est mise en conformité en cours de procédure sur ce point.

133. En défense, la société soutient que l’absence de recueil du consentement et l’absence d’effectivité du retrait du consentement constituent un manquement unique qui ne peut pas être sanctionné deux fois par la formation restreinte.

134. La société considère en outre que, au jour du contrôle, aucun cookie soumis au consentement ne continuait d’être lu après le retrait du consentement, à l’exception des cookies publicitaires à l’égard desquels elle a déjà reconnu une erreur. S’agissant des cookies de plafonnement publicitaire et du cookie de mesure d’audience non exempté, la société rappelle considérer qu’ils ne sont pas soumis au consentement, de sorte que la lecture de ces cookies malgré le retrait du consentement ne constitue pas un manquement au titre de l’article 82 de la loi Informatique et Libertés modifiée. Elle soutient enfin que les mesures visées par le rapporteur pour rendre effectif le retrait du consentement ne permettent pas de se conformer à l’article susvisé puisqu’elles impliquent nécessairement que le cookie soit lu afin de modifier ses caractéristiques.

135. A titre liminaire, la formation restreinte distingue, d’une part, l’absence de recueil préalable du consentement de l’utilisateur avant de déposer des cookies soumis à consentement sur son terminal et, d’autre part, l’absence d’effectivité du retrait du consentement. La formation restreinte considère qu’il s’agit de deux obligations distinctes trouvant certes toutes deux leur origine dans l’article 82 de la loi Informatique et Libertés mais s’appliquant à des phases différentes du parcours utilisateur. En outre, contrairement à ce que soutient la société, un non-respect de la première obligation – recueillir le consentement avant le dépôt de cookies – n’entraine pas nécessairement la défaillance de la seconde, s’assurer que les cookies ne sont plus lus lorsque le consentement est retiré. En effet, un mécanisme de retrait du consentement pourrait être tout à fait effectif quand bien même, à l’origine, les cookies auraient été déposés illégalement.

136. La formation restreinte rappelle que les opérations d’accès ou d’inscription d’informations sur le terminal de l’utilisateur sont, en tant que telles (et sauf exceptions), expressément prohibées par l’article 82 de la loi Informatique et Libertés, en l’absence de consentement de la personne concernée. Cet article vise en effet " toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans [un] équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ". Il prévoit que " ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement ".

137. Elle relève que cette interprétation des dispositions de l’article 82 de la loi Informatique et Libertés concernant le droit et les modalités de retrait du consentement de l’utilisateur converge avec les dispositions du 3 de l’article 7 du RGPD, qui constituent une source d’inspiration concernant l’application des dispositions de l’article 82 de la loi Informatique et Libertés, tout comme les lignes directrices n° 5/2020 sur le consentement au sens du RGPD adoptées le 4 mai 2020 par le Comité européen de la protection des données (ci-après : " CEPD ").

138. Elle rappelle sur ce point que le 3 de l’article 7 du RGPD dispose que : " La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement " et que, dans les lignes directrices du RGPD précitées, le CEPD indique que : " La personne concernée devrait également être en mesure de retirer son consentement sans subir de préjudice. Cela signifie, entre autres, qu’un responsable du traitement doit proposer la possibilité de retirer son consentement gratuitement ou sans entraîner la diminution du niveau de service " (point 114).

139. En l’espèce, la formation restreinte relève que, lors du contrôle en ligne du 10 août 2023, la délégation a effectué des constatations en plusieurs étapes afin de vérifier le respect par la société de son obligation d’assurer l’effectivité du retrait du consentement. Elle a d’abord accepté les cookies via le bandeau relatif aux cookies et constaté le dépôt sur son terminal de 75 cookies, puis procédé au retrait de son consentement via la plateforme de gestion du consentement et constaté la présence de 85 cookies sur son terminal, en enregistrant l’ensemble des requêtes http dans des fichiers " HAR ". La délégation a ensuite vérifié la présence dans un fichier " HAR " d’opérations de lecture des cookies après le retrait du consentement.

140. S’agissant des opérations de lecture après le retrait du consentement, la formation restreinte relève qu’il ressort d’un fichier " HAR " compilé par la délégation que les cookies publicitaires, les cookies de plafonnement publicitaire et le cookie de mesure d’audience non exempté déposés illégalement lors de l’accès au site web, continuent d’être lus dans le navigateur puisqu’ils apparaissent dans des requêtes http envoyées vers le domaine " shein.com ".

141. S’agissant des opérations d’écriture après le retrait du consentement, la formation restreinte relève que 10 cookies supplémentaires étaient en outre déposés sur le terminal de l’utilisateur après ce retrait, parmi lesquels des cookies poursuivant une finalité publicitaire déposés par " .shein.com " (dont les cookies " _uetsid " et " _uetvid ") et des tiers (comme le cookie " MUID " déposé par le nom de domaine " .bing.com "), pour lesquels le consentement de l’utilisateur est nécessaire à leur dépôt.

142. La formation restreinte considère que le dépôt, sur les terminaux des utilisateurs, de nouveaux cookies publicitaires tiers, alors même qu’ils ont retiré leur consentement (et en l’absence de tout nouveau consentement), est particulièrement grave. En effet, par cette pratique, la société ne tient pas compte du choix des utilisateurs et va permettre, au contraire, le dépôt de nouveaux cookies sur leurs terminaux par des tiers alors même que les utilisateurs s’attendent à ce que plus aucun cookie non exempté n’y soit déposé, ayant exprimé un choix clair en la matière.

143. En réponse à l’argument de la société selon lequel le dépôt sans consentement et l’ineffectivité du mécanisme de retrait constitueraient un seul et même manquement, la formation restreinte rappelle qu’elle a considéré que le mécanisme de recueil du consentement des utilisateurs était défaillant dans la mesure où la société déposait des cookies sur le terminal de l’utilisateur avant même qu’ils puissent exprimer leur choix. Elle note ensuite que, même dans l’hypothèse où la société collectait leur consentement, elle ne se conformait toujours pas à ses obligations car elle n’offrait pas à ses utilisateurs un mécanisme de retrait du consentement effectif puisque des cookies non exemptés continuent d’être lus après ce retrait. La formation restreinte considère qu’il s’agit ici de deux pratiques distinctes engendrant des manquements à deux branches différentes de l’article 82 de la loi Informatique et Libertés.

144. Dès lors, au vu de ce qui précède, la formation restreinte considère qu’en procédant à des opérations de dépôt et de lecture d’informations dans l’équipement terminal de communications électroniques de l’utilisateur après le retrait de son consentement, la société méconnait les dispositions de l’article 82 de la loi Informatique et Libertés.

145. Enfin, s’agissant des modalités techniques permettant d’assurer l’effectivité du retrait du consentement, et en réponse à l’argument de la société relatif à l’impossibilité de se mettre en conformité sur le retrait du consentement, la formation restreinte relève que des solutions techniques existent et que la CNIL a pris soin de préciser, dans sa recommandation du 17 septembre 2020, que " pour que le retrait du consentement soit effectif, il peut être nécessaire de mettre en place des solutions spécifiques pour garantir l’absence de lecture ou d’écriture des traceurs précédemment utilisés ". Une première solution peut consister à modifier la date d’expiration du cookie, qui a pour conséquence de ne plus permettre la lecture du cookie en cause une fois l’action réalisée. Même si le cookie ne sera supprimé qu’à la fermeture du navigateur, ce dernier empêche la lecture du cookie par les requêtes réseaux émises puisqu’il est considéré comme non valide. A défaut de pouvoir modifier les paramètres des cookies déposés par des domaines tiers, une autre solution peut consister à bloquer les requêtes http vers ces domaines tiers appelés afin de s’assurer qu’aucune opération de lecture ne soit réalisée depuis son site.

146. Concernant d’abord les cookies liés au domaine " shein.com " qui continuaient d’être lus après le retrait du consentement, la formation restreinte considère que la société, qui maîtrise l’ensemble des opérations réalisées à partir des cookies liés au domaine " shein.com ", pouvait implémenter sans difficulté l’une des mesures susvisées pour assurer l’effectivité du retrait du consentement de l’utilisateur.

147. Concernant ensuite les cookies déposés par des tiers, la formation restreinte rappelle que, selon le Conseil d’Etat, " les éditeurs de site qui autorisent le dépôt et l'utilisation [… de] " cookies " par des tiers à l'occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu'ils ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis le " cookie ", notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des " cookies " qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements " (CE, 10ème et 9ème CR, 6 juin 2018, n° 412589, Rec.). Ainsi, même si la société n’avait pas la possibilité d’assurer elle-même la suppression des cookies tiers, il lui appartenait de mettre en œuvre les mesures nécessaires afin de s’assurer de l’arrêt de réalisation de nouvelles requêtes à des domaines tiers depuis le site web " shein.com ", une fois le consentement de l’utilisateur retiré et de porter à la connaissance de ses partenaires le fait qu’une fois son consentement retiré par l’utilisateur, les cookies qu’ils avaient déposés sur son terminal à l’occasion de sa visite sur le site " shein.com " devaient être retirés. La formation restreinte rappelle avoir déjà sanctionné un organisme qui n’avait pas effectué ces vérifications auprès de ses partenaires (délibération SAN-2024-019 du 14 novembre 2024 §99 et 100).

148. Il résulte de ce qui précède qu’en continuant à réaliser, sur le terminal de l’utilisateur, des opérations de lecture et d’écriture soumises au consentement de l’intéressé, malgré le retrait de ce consentement, la société a commis un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés.

149. La formation restreinte prend toutefois acte du fait que la société a cessé en cours de procédure d’envoyer des requêtes contenant l’identifiant des cookies vers des domaines tiers ne permettant plus leur lecture depuis son site et que le manquement n’est plus en cours au jour de la présente délibération. Si la société n’est responsable que des opérations de lecture effectuées depuis son site, la formation restreinte considère qu’il conviendrait que la société appelle l’attention de ses partenaires sur le fait que le consentement aux cookies dont ils sont responsables a été retiré.

III. Sur les mesures correctrices et leur publicité

150. Aux termes de l’article 20-IV de la loi n° 78-17 du 6 janvier 1978 modifiée, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]

151. 2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans les cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte ;

152. 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".

153. L’article 83 du RGPD prévoit en outre que " chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

154. L’article 22, alinéa 2 de la loi Informatique et Libertés dispose ensuite que " la formation restreinte peut rendre publique les mesures qu’elle prend ".

155. Le considérant 150 du RGPD prévoit que " lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l'Union européenne ".

156. Les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 précisent que la notion d’entreprise doit s’entendre comme " une unité économique pouvant être formée par la société mère et toutes les filiales concernées. Conformément au droit et à la jurisprudence de l’Union, il y a lieu d’entendre par entreprise l’unité économique engagée dans des activités commerciales ou économiques, quelle que soit la personne morale impliquée ".

157. Dans un arrêt du 5 décembre 2023 (CJUE, grande chambre, C-807/21), la CUJE a considéré, s’agissant de la notion d’ " entreprise " qu’" ainsi que l’a relevé M. l’avocat général au point 45 de ses conclusions, c’est dans ce contexte spécifique du calcul des amendes administratives imposées pour des violations visées à l’article 83, paragraphes 4 à 6, du RGPD qu’il y a lieu d’appréhender le renvoi, effectué au considérant 150 de ce règlement, à la notion d’" entreprise ", au sens des articles 101 et 102 TFUE. À cet égard, il convient de souligner que, aux fins de l’application des règles de la concurrence, visées par les articles 101 et 102 TFUE, cette notion comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement. Elle désigne ainsi une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales. Cette unité économique consiste en une organisation unitaire d’éléments personnels, matériels et immatériels poursuivant de façon durable un but économique déterminé (arrêt du 6 octobre 2021, Sumal, C 882/19, EU:C:2021:800, point 41 et jurisprudence citée). Ainsi, il ressort de l’article 83, paragraphes 4 à 6, du RGPD, qui vise le calcul des amendes administratives pour les violations énumérées dans ces paragraphes, que, dans le cas où le destinataire de l’amende administrative est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, le montant maximal de l’amende administrative est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise concernée. En définitive, ainsi que M. l’avocat général l’a relevé au point 47 de ses conclusions, seule une amende administrative dont le montant est déterminé en fonction de la capacité économique réelle ou matérielle de son destinataire, et donc imposée par l’autorité de contrôle en se fondant, en ce qui concerne le montant de celle-ci, sur la notion d’unité économique au sens de la jurisprudence citée au point 56 du présent arrêt, est susceptible de réunir les trois conditions énoncées à l’article 83, paragraphe 1, du RGPD, à savoir d’être à la fois effective, proportionnée et dissuasive. Dès lors, lorsqu’une autorité de contrôle décide, au titre des pouvoirs qu’elle détient en vertu de l’article 58, paragraphe 2, du RGPD, d’imposer à un responsable du traitement, qui est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, une amende administrative en application de l’article 83 dudit règlement, cette autorité est tenue de se fonder, en vertu de cette dernière disposition, lue à la lumière du considérant 150 du même règlement, lors du calcul des amendes administratives pour les violations visées aux paragraphes 4 à 6 de cet article 83, sur la notion d’" entreprise ", au sens de ces articles 101 et 102 TFUE " (paragraphes 55 à 59).

158. Cette position a été confirmée par la Cour dans son arrêt du 13 février 2025 (CJUE, cinquième chambre, C-383/23).

A. Sur le prononcé d’une amende administrative et son montant

1. Sur le prononcé d’une amende administrative

159. Le rapporteur propose à la formation restreinte de prononcer à l’encontre de la société une amende administrative au regard du manquement constitué à l’article 82 de la loi Informatique et Libertés.

160. En défense, la société soutient que l’ensemble des critères énoncés à l’article 83 du RGPD doit être apprécié pour déterminer s’il y a lieu de prononcer une amende. Elle fait valoir que le rapporteur a uniquement pris en compte trois de ces critères et estime qu’il les a appréciés de manière erronée. Elle conteste la volumétrie de 20 millions de visites en provenance du territoire français entre janvier et juillet 2023, retenue par le rapporteur, au motif que plusieurs visites ont été effectuées par un même utilisateur. Elle considère, qu’en moyenne, ce sont 12 millions de visiteurs uniques localisés en France qui ont visités le site web " shein.com " chaque mois, entre janvier et juillet 2023. Elle considère également que le manquement allégué n’a causé aucun dommage aux utilisateurs. Elle rappelle avoir procédé à une mise en conformité avant même la réception du rapport du rapporteur. Elle considère enfin que le rapporteur n’a pas démontré qu’elle avait tiré un avantage financier du manquement allégué.

161. A titre liminaire, la formation restreinte rappelle que l’exigence de motivation d’une sanction administrative n’impose ni à la formation restreinte, ni au rapporteur de se prononcer sur l’ensemble des critères prévus à l’article 83 du RGPD, et qu’elle n’implique pas non plus que soient indiqués les éléments chiffrés relatifs au mode de détermination du montant de la sanction proposée ou prononcée (CE, 10e/9e, 19 juin 2020, n° 430810 ; CE, 10e/9e, 14 mai 2024, n° 472221).

162. La formation restreinte considère qu’en l’espèce, le rapporteur a fait apparaître de façon claire et détaillée les éléments lui ayant permis d’apprécier la gravité avérée du manquement retenu. La société a pu se défendre au regard de ces éléments.

163. Ceci étant rappelé, la formation restreinte considère qu’il convient, en l’espèce, d’examiner les critères pertinents de l’article 83 du RGPD pour décider s’il y a lieu d’imposer une amende administrative aux sociétés et, le cas échéant, pour déterminer son montant.

164. En premier lieu, la formation restreinte considère qu’il y a lieu de tenir compte, en application de l’article 83, paragraphe 2, a) du RGPD, de la nature, de la gravité et de la durée des violations, compte tenu de la nature, de la portée ou de la finalité des traitements concernés, ainsi que du nombre de personnes concernées affectées.

165. La formation restreinte rappelle qu’au jour du contrôle, la société traitait les données de ses utilisateurs à leur insu, en déposant sur leurs terminaux, et ce sans leur consentement, des cookies pourtant soumis au recueil préalable du consentement. Elle rappelle également l’absence d’effectivité, au jour du contrôle, des mécanismes de refus et de retrait du consentement proposés par la société à ses utilisateurs, ceux-ci n’empêchant pas les opérations d’écriture et de lecture de cookies sur les terminaux. Ainsi, même lorsque les utilisateurs effectuaient un choix sur les cookies, celui-ci n’était pas respecté. La formation restreinte rappelle également que lorsque la société recueillait le consentement des utilisateurs au dépôt de cookies sur leurs terminaux, celui-ci n’était pas libre et éclairé, notamment parce qu’ils n’étaient pas informés de l’identité des sociétés qui déposaient des cookies publicitaires sur leurs terminaux. La formation restreinte considère, qu’au jour du contrôle en ligne, les pratiques de la société constituaient une atteinte substantielle au droit au respect à la vie privée des personnes concernées.

166. Il en résulte pour la formation restreinte que les carences de la société en matière de recueil, de refus et de retrait du consentement, ne permettaient pas à l’utilisateur de comprendre raisonnablement l’ampleur des opérations qui étaient effectuées sur son terminal.

167. La formation restreinte considère que le traitement, à l’égard duquel la société a commis de nombreux manquements à l’article 82 de la loi Informatique et Libertés, présente un caractère massif. Elle relève à cet effet que la société a indiqué à la délégation de contrôle que le site web " shein.com " a reçu plus de 20 millions de visites en provenance du territoire français entre les mois de janvier et juillet 2023. Elle relève que la société a ensuite déclaré au rapporteur qu’elle estime qu’en moyenne, environ 12 millions de visiteurs uniques par mois se sont rendus sur son site web pendant cette période. La formation restreinte observe que ce volume de visiteurs, pour un seul mois, reflète la place centrale occupée par la société dans le secteur de la vente en ligne de prêt-à-porter en France.

168. En deuxième lieu, la formation restreinte estime qu’il convient de tenir compte du critère prévu à l’article 83, paragraphe 2, b) et e) du RGPD, relatif au fait que la violation ait été commise délibérément ou par négligence.

169. La formation restreinte relève que les sociétés spécialistes dans la vente en ligne de prêt-à-porter, dont la société est l’un des leaders en France, ont pour pratique courante de recourir aux cookies. Dans ces conditions, elle estime que la société a fait preuve de négligence en ne respectant pas ses obligations au titre de l’article 82 de la loi Informatique et Libertés. La formation restreinte considère que la société ne pouvait pas les ignorer. Elle rappelle que la CNIL a accompagné les acteurs en matière de cookies en rendant publique une recommandation rappelant les principes qu’il convenait de respecter pour permettre l’utilisation des cookies, tout en respectant la loi " Informatique et Libertés " et que dans ses lignes directrices du 4 juillet 2019, la CNIL rappelait que les opérateurs devaient en particulier respecter le caractère préalable du consentement au dépôt de traceurs. La formation restreinte rappelle également avoir déjà sanctionné à de nombreuses reprises des organismes pour non-respect de l’obligation de recueillir le consentement de l’utilisateur avant toute action de lecture et/ou d’écriture (délibération n° SAN-2020-012 du 7 décembre 2020 validée par le Conseil d’État dans sa décision n° 44209 du 28 janvier 2022 ; délibération n° SAN-2020-013 du 7 décembre 2020 validée par le Conseil d’État dans sa décision n° 451423 du 27 juin 2022).

170. En troisième lieu, la formation restreinte estime qu’il convient de faire application du critère prévu à l’alinéa k) du paragraphe 2 de l’article 83 du RGPD, relatif aux avantages financiers obtenus du fait du manquement.

171. La formation restreinte note que si l’activité principale de la société réside dans la vente de prêt-à-porter, la personnalisation des annonces, rendue possible par les cookies, permet justement d’augmenter considérablement la visibilité de ces biens et d’augmenter la probabilité qu’ils soient achetés. Or, en déposant les cookies publicitaires avant que les personnes y consentent et en ne leur délivrant pas d’informations de manière claire et complète, la société réduit le risque que ces cookies soient refusés.

172. Elle relève également que les cookies " _pinterest_ct_ua " et " _pin_unauth " permettent à la société d’identifier les utilisateurs qui arrivent sur le site web " shein.com " depuis un lien présent sur le site web pinterest. Elle considère que cette analyse de campagne marketing permet à la société d’optimiser ses dépenses allouées au marketing.

173. En conséquence, la formation restreinte estime, au vu de l’ensemble de ces éléments et au regard des critères fixés à l’article 83 du RGPD, qu’il y a lieu de prononcer une amende administrative au titre du manquement en cause.

2. Sur le montant de l’amende administrative

174. En défense, la société conteste la prise en compte du chiffre d’affaires de sa maison mère comme assiette du calcul de l’amende, alors qu’elle n’est pas partie à la procédure, ni responsable du traitement en cause. Elle estime qu’il résulte de la jurisprudence de la CJUE que ce chiffre d’affaires ne peut être utilisé que pour apprécier si la sanction envisagée est susceptible de dépasser le plafond légal maximum de l’amende et non pour calculer son montant.

175. La formation restreinte relève qu’en application des dispositions de l’article 20-IV-7° de la loi Informatique et Libertés, elle peut prononcer à l’encontre d’un responsable du traitement ayant commis les manquements constatés, une " amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ". Elle rappelle ensuite que les amendes administratives doivent être dissuasives et proportionnées, au sens de l’article 83, paragraphe 1, du RGPD.

176. La formation restreinte considère qu’en visant le RGPD à l’article 20 de la loi Informatique et Libertés, le législateur français a fait le choix d’harmoniser les règles relatives à la détermination du montant des amendes en matière de protection des données à caractère personnel, que l’amende ait vocation à sanctionner un manquement au titre du RGPD ou de la loi Informatique et Libertés. La formation restreinte relève en outre que compte tenu de la proximité entre le RGPD et la directive ePrivacy, il est cohérent que les règles régissant l’imposition d’amendes aux organismes soient uniformes qu’il s’agisse d’un manquement trouvant son origine dans le RGPD ou dans la directive ePrivacy.

177. Elle considère qu’il convient donc en l’espèce de recourir à la notion d’" entreprise " en droit de la concurrence, en vertu de la référence directe et explicite opérée à cette notion par le considérant 150 du RGPD ainsi que par les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679. Elle souligne en effet que dans des arrêts rendus au titre du RGPD, la CJUE a confirmé que la notion d’ " entreprise " contenue à l’article 83 du RGPD devait bien s’appréhender au regard du droit de la concurrence, régit par les articles 101 et 102 du TFUE (CJUE, grande chambre, 5 décembre 2023, C-807/21 et CJUE, cinquième chambre, 13 février 2025, C-383/23).

178. S’agissant ensuite de ce que recouvre la notion d’" entreprise ", la formation restreinte relève que dans son arrêt précité du 5 décembre 2023, la CJUE retient qu’une entreprise est une unité économique, même si du point de vue juridique cette unité économique est constituée de plusieurs personnes morales. La CJUE précise qu’à l’instar du droit de la concurrence (Cour de Cassation, ch. com., 7 juin 2023, pourvoi n° 22-10.545 ; Autorité de la concurrence, décisions n° 21-D-10 du 3 mai 2021 et n° 21-D-28 du 9 décembre 2021), lorsqu’une filiale est détenue directement ou indirectement à 100% par sa maison mère, il existe une présomption réfragable selon laquelle la maison mère exerce une influence déterminante sur le comportement de la société. Pour déterminer le montant de l’amende envisagée, et qu’il corresponde à la capacité économique réelle de son destinataire, il convient alors, selon les deux arrêts précités, si les deux sociétés peuvent matériellement être regardées comme relevant de la même unité économique, de prendre en compte le chiffre d’affaire de la maison mère afin que l’amende soit effective, proportionnée et dissuasive.

179. En l’espèce, la formation restreinte rappelle que la société ROADGET BUSINESS PTE LTD détient à 100% la société INFINITE STYLES SERVICES CO LIMITED et considère ainsi, à l’instar du droit de la concurrence, qu’il existe une présomption selon laquelle la société ROADGET BUSINESS PTE LTD exerce une influence déterminante sur le comportement de la société INFINITE STYLES SERVICES CO LIMITED sur le marché (CJUE, grande chambre, 5 décembre 2023, C-807/21 ; également CJUE, troisième chambre, 10 septembre 2009, Akzo C 97/08 P, paragraphes 58 à 61. Voir également, pour l’application de la présomption d’influence déterminante en cas de détention en chaîne : CJUE, Eni c/ Commission, 8 mai 2013 (C-508/11 P, § 48). Par conséquent, les sociétés ROADGET BUSINESS PTE LTD et INFINITE STYLES SERVICES CO LIMITED constituent une seule entité économique et forment donc une seule entreprise au sens de l’article 101 du TFUE.

180. Compte tenu de ce qui précède, la formation restreinte considère qu’il y a lieu de retenir le chiffre d’affaires de l’entreprise au sens d’" unité économique ", à savoir celui de la maison mère du groupe. Elle rappelle qu’en 2023 le chiffre d’affaires de la société ROADGET BUSINESS PTE LTD était de […] dollars (soit environ […] d’euros) et ses bénéfices de […] dollars (soit environ […] d’euros) selon le cours EUR/USD en 2023.

181. S’agissant du montant de l’amende qui doit être proportionnée et dissuasive, au regard des responsabilités et capacités financières des sociétés et des critères pertinents de l’article 83 du RGPD la formation restreinte considère qu’apparait adapté de prononcer à l’encontre de la société INFINITE STYLES SERVICES CO. LIMITED une amende administrative d’un montant de 150 000 000 euros, au regard du manquement constitué à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

B. Sur le prononcé d’une injonction

182. Dans son rapport initial, le rapporteur a proposé à la formation restreinte de prononcer une injonction de mettre en conformité le traitement avec les dispositions de l’article 82 de la loi Informatique et Libertés, assortie d’une astreinte d’un montant de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de deux mois à compter de la notification de la délibération.

183. En défense, la société soutenait que le prononcé d’une injonction est sans objet, dès lors qu’elle a déployé des mesures de mise en conformité en cours de procédure.

184. Compte tenu des modifications effectuées par la société au cours de la procédure, le rapporteur a considéré, dans sa réponse, qu’il n’y avait plus lieu de proposer à la formation restreinte de prononcer une injonction.

185. Compte tenu des éléments développés ci-avant, la formation restreinte considère qu’il n’y a en effet pas lieu de prononcer d’injonction.

C. Sur la publicité de la sanction

186. En défense, la société soutient que la publicité de la sanction n’est pas justifiée. Elle considère notamment que la publication de la sanction serait dépourvue d’effet auprès des utilisateurs, compte tenu des mesures qu’elle a prises pour remédier au manquement. Par ailleurs, selon la société, une publicité entraînerait des conséquences importantes en termes de réputation.

187. Elle demande à la formation restreinte, dans le cas où celle-ci déciderait de rendre sa délibération publique, de l’anonymiser.

188. La formation restreinte considère qu’une telle mesure de publicité se justifie au regard de la gravité avérée du manquement en cause, de la position de la société sur le marché et du nombre de personnes concernées, lesquelles doivent être informées.

189. Elle estime en outre que cette mesure apparait proportionnée dès lors que la décision n’identifiera plus nommément la société à l’issue d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

- de prononcer à l’encontre de la société INFINITE STYLES SERVICES CO. LIMITED, une amende administrative d’un montant de cent cinquante millions d’euros (150 000 000 €) au regard du manquement constitué à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique ;

- de rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de 2 ans à compter de sa publication.

Le Vice-Président

Vincent LESCLOUS

Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de quatre mois à compter de sa notification.