Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Cookies, publicité entre les mails : des amendes salées de la CNIL pour Google et Shein

Pas de quoi équilibrer le budget de la France pour 2026

Cookies, publicité entre les mails : des amendes salées de la CNIL pour Google et Shein

La CNIL vient de prononcer deux amendes pour non-respect des règles sur les cookies : 325 millions d’euros pour Google (faux emails publicitaires dans Gmail et dépôt de cookies sans consentement valide) et 150 millions d’euros pour Shein (cookies déposés sans consentement).

Le 04 septembre à 08h58

Après une amende de 100 millions d’euros en 2020 (validée par le Conseil d’État), puis une seconde de 150 millions d’euros en 2021, Google écope d‘une troisième amende de la CNIL de 325 millions d’euros pour « avoir affiché des publicités entre les courriels des utilisateurs de Gmail sans leur accord, et pour avoir déposé des traceurs (cookies) lors de la création de comptes Google, sans consentement valide des utilisateurs français ».

Google : 325 millions pour deux griefs, avec une injonction

Cette sanction fait suite à une plainte de None Of Your Business (noyb) déposée le 24 août 2022. Les équipes de la CNIL ont ensuite constaté que la messagerie de Google affichait, « entre les courriels présents au sein des onglets "Promotions" et "Réseaux sociaux" […] des annonces publicitaires prenant la forme de courriels ».

Dans le détail de la décision, un des axes de défense de Google est d’expliquer que « l’affichage des annonces non sollicitées dans Gmail a été restreint aux seuls onglets "Promotions" et "Réseaux sociaux" afin de préserver une expérience utilisateur qualitative ». Réponse expéditive de la CNIL sur ce point : c’est « sans incidence sur la portée de l’obligation ».

Le délibéré permet aussi de suivre le déroulement des contrôles. Une délégation de la CNIL « a procédé le 20 octobre 2022 à une mission de contrôle en ligne qui s’est terminée le 4 novembre 2022 », puis « les 29 novembre et 6 décembre 2022, deux contrôles sur place ont été réalisés dans les locaux de la société Google France », et enfin « un nouveau contrôle sur place le 5 septembre 2023 ».

Les points 52 à 58 de la décision permettent de suivre « les modalités dans lesquelles les informations ont été recueillies », qui sont contestées pour certaines par Google. Là encore, la CNIL balaye les arguments : « la formation restreinte considère que la collecte d’informations a été réalisée dans le respect des dispositions légales et règlementaires ».

Pour rappel, Orange a écopé fin 2024 de 50 millions d’euros d’amende pour ne pas avoir recueilli le consentement de ses utilisateurs avant de leur afficher, « entre les courriels présents au sein des boîtes de réception des utilisateurs, des annonces publicitaires prenant la forme de courriels ».

Six mois pour corriger deux soucis, avec 100 000 euros par jour de retard

Google est aussi condamné pour un manquement à la loi Informatique et Libertés : « lorsqu’ils créent un compte Google, les utilisateurs sont incités à choisir les traceurs liés à l’affichage de publicités personnalisées, au détriment de ceux liés à l’affichage de publicités génériques, et [...] ils ne sont pas clairement informés que l’accès aux services de Google est conditionné au dépôt de traceurs à finalité publicitaire. Leur consentement recueilli dans ce cadre n’est donc pas valable ».

En plus des 325 millions d’euros, Google est sous le coup d’une astreinte de 100 000 euros par jour de retard si l'entreprise ne corrige pas le tir dans un délai de six mois. Le géant du Net doit donc arrêter d’afficher des publicités entre les courriels sans consentement préalable. Il doit aussi recueillir un consentement valable pour le dépôt de traceurs publicitaires lors de la création d’un compte Google.

Pour justifier ce montant, la CNIL met en avant le nombre important d’utilisateurs en France : le manquement sur les traceurs concerne 74 millions de comptes, dont 53 millions avaient vu s’afficher des publicités de « manière illicite ». Pour la Commission, Google a « fait preuve de négligence » puisque la société avait déjà été sanctionnée en 2020 et 2021, c’est en quelque sorte une circonstance aggravante.

Shein fait n’importe quoi avec les cookies : 150 millions d’euros d’amende

De son côté, Shein écope de 150 millions d’euros pour « non-respect des règles applicables en matière de traceurs (cookies), déposés sur le terminal des utilisateurs se rendant sur le site shein.com ». Les manquements sont nombreux : absence de recueil du consentement avant dépôt des traceurs, bandeaux d’information incomplets, second niveau d’information insuffisant, mécanismes de refus et de retrait du consentement défaillants.

Cela se traduit par des cookies déposés sur le terminal des utilisateurs dès leur arrivée, avant même une interaction avec le « bandeau RGPD ». Mais aussi par des cookies déposés et lus même si l’utilisateur cliquait sur « Tout refuser » ou s’il retirait son consentement.

Dans le délibéré de la décision, on apprend que Shein a tenté de s'opposer à la procédure sur des points de droit, toutefois elle « ne conteste pas le fait que les trois cookies publicitaires mentionnés par le
rapporteur dans le rapport étaient déposés sur le terminal de l’utilisateur avant toute expression de son consentement ». Shein affirme que c’est une « erreur à laquelle elle a remédié en cours de procédure ».

Si la société n’est pas toujours d’accord avec les arguments de la CNIL, elle a modifié ses pratiques afin de se conformer aux demandes. Par exemple : « Elle considère que ces cookies, qui ne sont déposés que lorsque l’utilisateur a refusé le reste des cookies, facilitent la navigation de l’utilisateur en empêchant que soient présentées trop souvent les mêmes publicités à l’utilisateur. Dès lors, elle considère qu’ils ne sont pas soumis au consentement ». Sur d’autres points, Shein plaide l’« erreur technique ».

Pour justifier le montant de l’amende, la CNIL tient compte « de la place centrale occupée par » Shein, avec « en moyenne 12 millions de personnes résidant en France qui se rendent sur le site » chaque mois. De plus, la Commission rappelle que, depuis 2020, elle a rendu publiques de nombreuses sanctions pour des manquements similaires. En filigrane, on comprend que Shein ne pouvait pas ne pas savoir et que c’est une sorte de circonstance aggravante. C’est peut être aussi un message aux autres sites qui ne respectent pas les règles… Faire semblant de ne pas savoir n’est pas un argument recevable, au contraire, c'est même aggravant.

Les 150 millions d’euros ne sont pas assortis d’une injonction de mise en conformité car Shein a « apporté des modifications à son site internet au cours de la procédure ».

La CNIL promet de continuer « d’être vigilante »

La CNIL explique que ces amendes « s’inscrivent dans la continuité des nombreuses actions menées par la CNIL pour réguler les pratiques non-conformes en matière de suivi et de ciblage des internautes ». Une manière de répondre à certains qui accusent l’autorité d’inaction ou de ne pas remplir sa mission « de veiller au respect du RGPD ».

La CNIL affirme enfin qu’elle va continuer d’être vigilante, « en particulier concernant les pratiques non-conformes comme le dépôt de traceurs sans le consentement de l’internaute, mais aussi s’agissant de pratiques qui se développent, comme l’utilisation de "murs de traceurs" » (cookie walls), qui consistent à conditionner l’accès de l’internaute à un service à son acceptation du dépôt de traceurs sur son terminal ».

Cette pratique n’est pas illégale, mais à condition que le consentement soit libre et éclairé, c’est-à-dire sans inciter à prendre une option plutôt qu’une autre (par exemple, avec un choix plus complexe que l’autre).

Pour rappel, et dans un registre un peu différent, Next vous propose une extension pour suivre la multitude de requêtes externes faites par les sites que vous visitez… et il y a parfois de quoi prendre peur.

Commentaires (7)

votre avatar
Pas cher payé ...
votre avatar
Tu veux que l'oncle Sam, vienne nous gratter avec ses frais de douane ou quoi ?
J'attends cependant que les amendes soient effectivement payées car on connait la chanson pour ce genre de choses.
Plus que les montants, c'est surtout l'effet jurisprudence qui va compter. Maintenant, ces boites ne pourront plus ignorer la réglementation. M'enfin...
votre avatar
Oui et non, relativement à ce que la France représente comme revenus pour ces deux géants, c'est sûrement assez adapté. Pour que ça leur fasse réellement mal, il serait en revanche souhaitable que les 27 prennent des sanctions similaires, ça ferait une somme d'amendes qui atteindrait qqch autour des 2.5 à 3 milliards pour Google et la moitié pour Shein (j'ai fait à la louche un calcul proportionnel à la population). Pour taper un géant quand on est des nains, il faut s'y mettre à plusieurs.
votre avatar
Ce sont des amendes, pas des dommages et intérêts.
votre avatar
D'ailleurs, quand est-ce qu'on commence à taper sur le "Consent Mode" de Google, Microsoft et autre ?

(en gros, c'est le truc qui se contente d'envoyer des données "pseudonymifiées" si on refuse le tracking, sous prétexte que "ce sont pas des données personnelles identifiables, donc ont le droit")
votre avatar
poke @francoisbayrou #unbudgetpourmangersvp
votre avatar
Au passage, Noyb fête ses 2 milliards d'euro d'amendes.

Cookies, publicité entre les mails : des amendes salées de la CNIL pour Google et Shein

  • Google : 325 millions pour deux griefs, avec une injonction

  • Six mois pour corriger deux soucis, avec 100 000 euros par jour de retard

  • Shein fait n’importe quoi avec les cookies : 150 millions d’euros d’amende

  • La CNIL promet de continuer « d’être vigilante »

Fermer