Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.
🟠 Depuis 2019, la CNIL s’est engagée dans une stratégie de régulation des cookies, en publiant des lignes directrices et des recommandations visant à garantir un consentement libre, éclairé et préalable des utilisateurs. Ce plan a donné lieu à plusieurs contrôles et sanctions, ciblant notamment les pratiques de dépôt de cookies sans accord explicite.
🟠 Le 1er septembre 2025, la CNIL a infligé une amende de 325 millions d’euros à Google et de 150 millions d’euros à Shein. Ces sanctions reposent sur des constats accablants :
- Google est sanctionnée pour deux manquements majeurs :
- Le dépôt de cookies publicitaires lors de la création de comptes, sans consentement valide.
- L’insertion de publicités dans Gmail, prenant la forme de courriels dans les onglets « Promotions » et « Réseaux sociaux », sans accord préalable des utilisateurs.
- Shein est accusée d’avoir déposé des cookies publicitaires avant que les internautes n’aient pu exprimer leur choix. De plus, les bandeaux d’information étaient jugés incomplets, et certains cookies continuaient à transmettre des données même après refus.
🟠 Ces décisions s’inscrivent dans une dynamique de responsabilisation des géants du numérique. La CNIL a souligné la position dominante de Google sur le marché publicitaire et l’impact massif de ses pratiques sur plus de 74 millions de comptes en France. Elle a également rappelé que le consentement ne peut être considéré comme libre si l’utilisateur est incité à accepter les cookies par des interfaces biaisées ou des alternatives déséquilibrées
🟠 Shein a annoncé son intention de contester la décision devant le Conseil d’État et la Cour de justice de l’Union européenne, dénonçant une sanction « politique » et « disproportionnée ». De son côté, Google affirme avoir pris des mesures correctives, notamment en modifiant l’apparence des publicités dans Gmail et en facilitant le refus des cookies.
🟠 Conclusion : Ces sanctions rappellent aux entreprises que le respect du consentement et la transparence ne sont pas des options, mais des obligations légales.
Pour en savoir plus / sources : https://www.cnil.fr/fr/publicites-inserees-entre-les-courriels-et-cookies-la-cnil-sanctionne-google-dune-amende-de-325 https://cnil.fr/fr/regulation-des-cookies-la-cnil-poursuit-le-plan-daction-initie-en-2019-et-prononce-deux-amendes |
Dans un contexte européen marqué par l’évolution constante des réglementations numériques, le Comité européen de la protection des données (CEPD) poursuit ses efforts pour garantir une meilleure transparence dans le traitement des données personnelles. Deux initiatives récentes illustrent cette dynamique : la publication de lignes directrices sur l’interaction entre le RGPD et le Digital Markets Act (DMA), et le lancement d’une action coordonnée sur la transparence en 2026.
Le 10 juillet 2025, la Commission européenne a publié la version finale du Code de bonnes pratiques pour l’intelligence artificielle à usage général (GPAI), marquant une nouvelle étape dans la régulation de l’intelligence artificielle en Europe. Ce Code, bien que volontaire, s’inscrit dans un contexte de montée en puissance du Règlement sur l’IA (AI Act), dont certaines dispositions, notamment celles concernant les GPAI, sont applicables depuis le 2 août 2025.
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.