En septembre 2025, la CNIL a frappé fort : 150 millions d’euros d’amende contre SHEIN pour dépôt de cookies publicitaires sans consentement valide, absence d’information claire et mécanismes de refus inefficaces.

Au-delà du montant record, cette décision est un signal fort envoyé à toutes les entreprises, petites ou grandes :
🔹 la conformité RGPD n’est plus une option,
🔹 les obligations d’information et de transparence sont au centre du radar des autorités,
🔹 et la gestion des cookies est devenue un des terrains privilégiés des contrôles.

Dans cet article, on analyse ce que la sanction SHEIN dit du RGPD aujourd’hui, et comment les entreprises peuvent sécuriser leur conformité en renforçant leurs outils essentiels : registres de traitement, politiques d’information, contrats et obligations internes.

1. Pourquoi SHEIN a été sanctionné ?

Selon la CNIL, trois manquements majeurs :

• Cookies déposés sans consentement valide
  Des cookies publicitaires étaient installés avant tout choix de l’utilisateur : il n’existait pas de véritable choix libre, éclairé et opposable.
• Information insuffisante ou trompeuse
  Les bandeaux cookies ne présentaient pas clairement les finalités, ni la possibilité de refuser.
  Certaines actions faisaient croire à un refus, alors que des traceurs continuaient à se déposer.
• Non-conformité persistante malgré les mises en demeure
  La CNIL a relevé des manquements répétés, malgré plusieurs alertes.
  C’est ce qui explique le niveau exceptionnel de l’amende.

2. Les enseignements clés pour toutes les entreprises

Même si votre activité n’a rien à voir avec SHEIN, la logique de la CNIL est claire et s’applique à tous les sites web, y compris les PME :

🔹 A. Transparence + consentement = socle fondamental

La gestion des cookies doit respecter trois règles :

✔️ Consentement avant dépôt
✔️ Refus aussi simple que l’acceptation
✔️ Preuve du consentement

Les entreprises qui utilisent Google Analytics, Meta Pixel, ou tout cookie publicitaire doivent être particulièrement vigilantes.

🔹 B. Politique de confidentialité et information des personnes

L’affaire SHEIN rappelle que la transparence est un pilier du RGPD.
Les utilisateurs doivent savoir :

• quelles données vous collectez,
• pourquoi,
• pendant combien de temps,
• qui y a accès,
• quels sont leurs droits et comment les exercer.

Une politique de confidentialité n’est pas un “bonus légal” : c’est une obligation.

🔹 C. Les registres de traitement : votre preuve de conformité

On l’oublie souvent, mais la première chose que la CNIL demande lors d’un contrôle, c’est :

👉 « Montrez-nous votre registre des activités de traitement. »

C’est le socle du RGPD, celui qui prouve que vous maîtrisez vos données, vos finalités et vos risques.

Pour aller plus loin ou démarrer sa mise en conformité :
🔹 Registres des activités de traitement : https://jurisphera.fr/registres-des-activites-de-traitements/

Le cas SHEIN montre que lorsque les traitements sont mal documentés, la conformité des cookies et de l’information s’effondre derrière.

🔹 D. Informer toutes les personnes concernées et prévoir les clauses nécessaires

Le RGPD ne concerne pas uniquement vos clients. Il s’applique à toutes les personnes dont vous traitez les données :

• Salariés et collaborateurs internes
• Prospects et clients
• Sous-traitants et partenaires externes
• Toute autre personne dont les données sont collectées ou traitées

Informer ces personnes est une obligation, notamment via des clauses et documents internes qui précisent leurs droits et l’usage de leurs données, ainsi que les finalités de chaque traitement.

Pour structurer cet aspect et vous assurer que toutes les personnes concernées sont correctement informées :
🔹 Clauses d’informations des personnes (RGPD, confidentialité, salariés, clients, partenaires) : https://jurisphera.fr/clauses-dinformations-des-personnes-rgpd/

3. Le RGPD en 2025 : un cadre de plus en plus exigeant

À travers la sanction SHEIN, la CNIL envoie un message clair :

• Le consentement doit être authentique, pas cosmétique.
• Les bandeaux cookies doivent être honnêtes et équilibrés.
• L’information doit être précise, accessible et vérifiable.
• Les entreprises doivent démontrer leur conformité via des documents traçables.

Avec les évolutions réglementaires, l’IA générative, la biométrie et la multiplication des traceurs, l’exigence de transparence est plus forte que jamais.

4. Comment éviter de devenir le prochain “cas SHEIN” ?

Voici les 5 mesures prioritaires à retenir :

✔️ Mettre en place un réel système de consentement cookies
✔️ Mettre à jour votre politique de confidentialité et vos mentions obligatoires
✔️ Tenir un registre de traitement clair et complet
✔️ Encadrer les relations internes et externes : salariés, sous-traitants, prestataires
✔️ Former, vérifier, documenter — le RGPD repose sur la preuve

Conclusion : l’affaire SHEIN, un rappel à l’ordre utile

Cette sanction spectaculaire n’est pas qu’un cas isolé : c’est un message adressé à tout l’écosystème numérique.

La conformité RGPD n’est pas réservée aux multinationales.
C’est un enjeu quotidien pour toutes les entreprises : transparence, maîtrise, documentation.
C’est aussi un levier de confiance pour les utilisateurs, les clients et les partenaires.

Si vous devez retenir une seule chose de l’affaire SHEIN :

👉 La conformité RGPD commence par des fondamentaux simples : informer, obtenir un vrai consentement, et tenir un registre clair.

FAQ – RGPD et sanction SHEIN

Q1 : Pourquoi SHEIN a-t-elle été sanctionnée par la CNIL ?
🔹 SHEIN a été condamnée à 150 millions d’euros pour cookies publicitaires déposés sans consentement valide, information insuffisante, et refus des cookies non respecté.
🔹 La sanction souligne l’importance d’un consentement clair et vérifiable pour tous les sites web.

Q2 : Qu’est-ce que le consentement valable selon le RGPD ?
✔️ Libre : l’utilisateur peut accepter ou refuser sans pression.
✔️ Éclairé : il comprend exactement à quoi il consent (finalité des cookies).
✔️ Spécifique : chaque finalité doit être acceptée séparément.
✔️ Documenté : l’entreprise doit pouvoir prouver le consentement.

Q3 : Qu’est-ce qu’un registre des activités de traitement ?
👉 C’est un document qui recense tous les traitements de données dans l’entreprise : finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité, etc.
🔹 C’est le socle du RGPD et la première chose que la CNIL demande lors d’un contrôle : Registres des activités de traitement

Q4 : Le RGPD concerne-t-il uniquement les clients ?
Non. Le RGPD s’applique à toutes les personnes dont vous traitez les données : salariés, prospects, clients, partenaires, sous-traitants, etc.
🔹 L’information doit être claire pour chacun, avec des clauses adaptées : Clauses d’informations des personnes

Q5 : Quelles sont les obligations pour les cookies sur un site internet ?
✔️ Obtenir le consentement avant tout dépôt.
✔️ Permettre le refus aussi facilement que l’acceptation.
✔️ Documenter et conserver les choix des utilisateurs.
✔️ Fournir une politique de confidentialité complète et accessible.

Q6 : Quels risques si mon entreprise n’est pas conforme ?
🔹 Amendes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial ou des montants records comme l’affaire SHEIN.
🔹 Réputation entachée et perte de confiance des clients ou partenaires.
🔹 Contrôles et mises en demeure récurrentes par la CNIL.

Q7 : Comment sécuriser la conformité RGPD ?
✔️ Mettre en place un registre des traitements précis et à jour.
✔️ Informer toutes les personnes concernées via des clauses et politiques de confidentialité.
✔️ Installer un système de consentement cookies fiable.
✔️ Former et sensibiliser les salariés et collaborateurs.
✔️ Documenter toutes les actions pour pouvoir justifier votre conformité en cas de contrôle.

Q8 : L’affaire SHEIN concerne-t-elle toutes les entreprises ?
Oui et non. Même si SHEIN est une grande entreprise internationale, le principe de conformité s’applique à toutes les structures, y compris PME et sites web locaux. Toute entreprise qui collecte ou traite des données doit respecter les mêmes règles de consentement et d’information.

#RGPD #shein #registredestraitements #cookies #sanction #CNIL