Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.
🟠 Depuis 2019, la CNIL s’est engagée dans une stratégie de régulation des cookies, en publiant des lignes directrices et des recommandations visant à garantir un consentement libre, éclairé et préalable des utilisateurs. Ce plan a donné lieu à plusieurs contrôles et sanctions, ciblant notamment les pratiques de dépôt de cookies sans accord explicite.
🟠 Le 1er septembre 2025, la CNIL a infligé une amende de 325 millions d’euros à Google et de 150 millions d’euros à Shein. Ces sanctions reposent sur des constats accablants :
- Google est sanctionnée pour deux manquements majeurs :
- Le dépôt de cookies publicitaires lors de la création de comptes, sans consentement valide.
- L’insertion de publicités dans Gmail, prenant la forme de courriels dans les onglets « Promotions » et « Réseaux sociaux », sans accord préalable des utilisateurs.
- Shein est accusée d’avoir déposé des cookies publicitaires avant que les internautes n’aient pu exprimer leur choix. De plus, les bandeaux d’information étaient jugés incomplets, et certains cookies continuaient à transmettre des données même après refus.
🟠 Ces décisions s’inscrivent dans une dynamique de responsabilisation des géants du numérique. La CNIL a souligné la position dominante de Google sur le marché publicitaire et l’impact massif de ses pratiques sur plus de 74 millions de comptes en France. Elle a également rappelé que le consentement ne peut être considéré comme libre si l’utilisateur est incité à accepter les cookies par des interfaces biaisées ou des alternatives déséquilibrées
🟠 Shein a annoncé son intention de contester la décision devant le Conseil d’État et la Cour de justice de l’Union européenne, dénonçant une sanction « politique » et « disproportionnée ». De son côté, Google affirme avoir pris des mesures correctives, notamment en modifiant l’apparence des publicités dans Gmail et en facilitant le refus des cookies.
🟠 Conclusion : Ces sanctions rappellent aux entreprises que le respect du consentement et la transparence ne sont pas des options, mais des obligations légales.
Pour en savoir plus / sources : https://www.cnil.fr/fr/publicites-inserees-entre-les-courriels-et-cookies-la-cnil-sanctionne-google-dune-amende-de-325 https://cnil.fr/fr/regulation-des-cookies-la-cnil-poursuit-le-plan-daction-initie-en-2019-et-prononce-deux-amendes |
Cour d’appel de Paris, 26 septembre 2025 (n° 24/17222)- La cour d’appel de Paris a récemment jugé que la désactivation d’un compte Instagram pour violation des conditions d’utilisation de la plateforme ne constituait pas, en l’espèce, une atteinte disproportionnée à la liberté d’expression de son titulaire.
La Cour de cassation, dans un arrêt du 13 janvier 2026, apporte une clarification importante sur le champ d’application des infractions pénales relatives aux données personnelles, prévues aux articles 226-21 et 226-22 du Code pénal. La décision rappelle que ces deux textes ne visent pas les mêmes types de traitements.
Alors que le règlement européen sur l’intelligence artificielle n’est pas encore pleinement entré en application, la Commission européenne a présenté une proposition de modification destinée à en faciliter la mise en œuvre. Inscrite dans un ensemble plus large de mesures dites « omnibus », cette initiative vise à répondre aux inquiétudes exprimées par les acteurs du numérique. Elle soulève toutefois une question centrale : s’agit-il d’une simplification technique ou d’une inflexion plus profonde des ambitions initiales du texte ?
Le Conseil d’État a rejeté le recours formé par Yahoo EMEA contre la sanction prononcée par la CNIL le 29 décembre 2023 : l’amende de 10 millions d’euros est définitivement confirmée. Une décision structurante, tant sur la compétence de la CNIL que sur les exigences de consentement libre et effectif en matière de cookies.