CNIL : deux nouvelles amendes dans le cadre de son plan d’action sur les cookies.

Depuis 2019, la CNIL mène une stratégie d’envergure pour encadrer l’utilisation des cookies et autres traceurs en ligne. Ce plan, destiné à renforcer la transparence et à protéger la vie privée des internautes, s’est déjà traduit par de nombreuses recommandations et sanctions. Le 3 septembre 2025, l’autorité française a franchi une nouvelle étape en prononçant deux amendes significatives à l’encontre de Google et Shein, soulignant sa volonté de faire respecter un cadre clair et exigeant. Ces décisions confirment l’importance accordée par le régulateur à la notion de consentement et à la loyauté des pratiques numériques. 

Un plan d’action engagé depuis 2019 

La question des cookies, longtemps perçue comme technique et secondaire, est devenue un enjeu central de la régulation numérique. Dès 2019, la CNIL a élaboré un plan d’action destiné à encadrer l’usage des traceurs utilisés par les sites et applications. Ces outils permettent de suivre la navigation, de mesurer l’audience ou de cibler les publicités. Mal employés, ils peuvent porter atteinte à la vie privée des utilisateurs. 

Pour répondre à ces préoccupations, la CNIL a adopté des lignes directrices et une recommandation pratique, fixant des règles de transparence et de consentement. Les internautes doivent être clairement informés de la finalité des cookies, et disposer d’un choix réel et équilibré entre l’acceptation et le refus. Les entreprises, quant à elles, sont appelées à revoir leurs interfaces afin de respecter ces principes. 

Depuis la mise en œuvre de ce plan, plusieurs vagues de contrôles ont été réalisées. Elles ont abouti à des mises en demeure, puis à des sanctions financières parfois très lourdes. L’objectif affiché est double : éduquer les acteurs du numérique et sanctionner les pratiques persistantes qui bafouent les droits des internautes. 

Google et Shein sanctionnés pour manquements répétés 

La formation restreinte de la CNIL, chargée de prononcer les sanctions, a décidé d’infliger deux amendes d’un montant exceptionnel : 325 millions d’euros à Google et 150 millions d’euros à Shein. Ces sanctions visent principalement le dépôt de cookies sans recueil du consentement explicite des utilisateurs, ce qui constitue une violation de l’article 82 de la loi Informatique et Libertés. 

Au-delà de la question des cookies, Google a également été sanctionné pour une pratique spécifique : l’affichage d’annonces publicitaires directement dans les onglets « Promotions » et « Réseaux sociaux » de la messagerie Gmail. Selon la CNIL, ces messages s’analysent comme de véritables courriels commerciaux, soumis à l’obligation de consentement préalable prévue par l’article L. 34-5 du Code des postes et des communications électroniques. L’entreprise n’ayant pas recueilli ce consentement, elle a été condamnée pour publicité non sollicitée. 

Du côté de Shein, l’autorité a pointé du doigt des interfaces trompeuses incitant fortement à l’acceptation des cookies. Ce que l’on appelle les « dark patterns » ou pratiques de design manipulatrices sont ici sanctionnées, car elles ne permettent pas un consentement libre et éclairé. La CNIL a rappelé que les utilisateurs doivent pouvoir refuser aussi facilement qu’accepter. 

La question sensible des « murs de traceurs » 

Au-delà des cas particuliers de Google et Shein, la CNIL a profité de cette décision pour clarifier sa position sur les fameux « murs de traceurs », parfois appelés cookie walls. Ceux-ci conditionnent l’accès à un contenu ou un service à l’acceptation des cookies. 

L’autorité a rappelé que cette pratique n’est pas systématiquement interdite. Toutefois, elle n’est conforme que si le consentement est véritablement libre : l’utilisateur doit avoir le choix entre plusieurs options, dont une alternative sans traceurs. La CNIL insiste également sur la nécessité de présenter ces choix de manière équitable, sans recourir à des formulations ou à des interfaces incitant artificiellement au « oui ». 

Cette mise au point illustre la difficulté de concilier les intérêts économiques des plateformes numériques, souvent fondés sur la publicité ciblée, et la protection des droits fondamentaux des internautes. Les entreprises devront donc repenser leurs modèles pour s’adapter à ces exigences croissantes. 

Un signal fort pour l’avenir de la régulation numérique 

Avec ces nouvelles sanctions, la CNIL confirme son rôle central dans la régulation du numérique en France et en Europe. L’autorité démontre qu’elle ne se contente pas de recommandations théoriques, mais qu’elle dispose d’un véritable pouvoir de contrainte. Pour les acteurs économiques, le message est clair : le respect des règles en matière de cookies et de consentement n’est plus une option, mais une obligation assortie de sanctions lourdes en cas de manquement. 

Ces décisions interviennent dans un contexte de prise de conscience accrue autour des enjeux liés à la vie privée et à l’économie des données. Alors que les internautes deviennent plus attentifs à l’usage de leurs informations, la pression réglementaire ne peut qu’augmenter. Pour les entreprises, il s’agit d’anticiper ces évolutions, non seulement pour éviter des sanctions, mais aussi pour instaurer une relation de confiance durable avec leurs utilisateurs.