La CNIL, notre gardienne de la vie privée en ligne, vient de frapper fort. Elle a infligé des amendes record à deux géants : Google et Shein. On parle de 325 millions d’euros pour Google et 150 millions pour Shein. Le point commun ? Les cookies publicitaires et le consentement des utilisateurs. C’est un signal fort envoyé à toutes les entreprises qui gèrent nos données personnelles. On fait le point sur cette affaire Google et Shein VS CNIL.

Google Et Shein VS CNIL: Sanctions Record Sur Les Cookies Publicitaires

Façade institutionnelle française, campus technologique, entrepôt mode, euros, badges rouges.

Deux amendes, 325 M€ pour Google et 150 M€ pour Shein, marquent un tournant pour les cookies publicitaires en France. On parle de montants hors norme, liés à des pratiques jugées non conformes: collecte de données publicitaires sans accord valable, information pas assez claire, et retrait du consentement compliqué. Ce n’est pas une affaire isolée, c’est la suite logique d’un contrôle serré sur les traceurs depuis plusieurs années.

La CNIL Renforce Son Contrôle Des Traceurs

La CNIL ne lâche plus le sujet. Elle cible en priorité les services utilisés par des millions de personnes, là où un mauvais paramétrage impacte tout le monde. Les contrôles sont plus techniques, plus fréquents, et assortis d’injonctions avec des délais courts.

  • Pas de cookies publicitaires avant un « oui » clair, point barre.
  • Refus aussi simple que l’acceptation (pas de chemins cachés ou trompeurs).
  • Information lisible: finalités, partenaires, durée de vie des traceurs.
  • Preuve du consentement conservée et vérifiable.
  • Durées et portées des cookies alignées avec l’usage annoncé, pas plus.

Quand ça dérape, l’autorité sanctionne et peut ajouter une astreinte par jour de retard si les pratiques ne changent pas vite.

Les Deux Groupes Violent Le Consentement Libre Et Éclairé

Le cadre est clair: consentement préalable, spécifique, éclairé, et univoque. Dans les faits, plusieurs points ont coincé chez Google et chez Shein.

  • Dépôt de traceurs avant toute action de l’utilisateur, ou malgré un refus.
  • Parcours déséquilibrés: choix biaisés, écrans confus, ou cases pré-cochées.
  • Information incomplète sur qui collecte quoi, pourquoi, et pendant combien de temps.
  • Mécanisme de retrait qui ne marche pas bien, ou qui n’efface pas réellement les traceurs.
  • Pratiques assimilées à de la prospection directe sans opt‑in préalable (ex: insertions publicitaires dans un service de messagerie).

Résultat: le consentement n’est ni libre, ni éclairé, ni prouvé. Et quand on parle de dizaines de millions d’utilisateurs, l’addition grimpe vite.

La Publicité Ciblée Reste Au Cœur Des Enjeux

Soyons honnêtes: tout l’écosystème vit grâce à la pub ciblée. Mesurer une campagne, limiter la répétition, faire du retargeting… tout ça dépend des traceurs. Mais la règle a changé de ton: mieux vaut réduire les données que de mal recueillir le consentement.

  • Les plateformes revoient leurs bannières, rendent le refus visible, et coupent le dépôt par défaut.
  • Les annonceurs testent plus de contextuel, du ciblage first‑party, et des solutions « consent‑aware ».
  • Les équipes produit retirent les dark patterns et chiffrent les flux superflus.
  • Les utilisateurs prennent l’habitude de dire non, parfois souvent, et demandent des réglages simples.
  • La mesure devient plus frugale: moins de granularité, mais des signaux plus propres.

En clair, le marché n’abandonne pas la pub, il l’assainit. Et ça se joue maintenant, dans les interfaces de consentement, le code des tags, et la manière d’expliquer les choses au public.

Manquements Reprochés À Google: Consentement Et Prospection Directe

La CNIL a pointé du doigt plusieurs pratiques de Google qui ne respectent pas le consentement des utilisateurs. D’abord, lors de la création d’un compte, Google mettait en place ce qu’on appelle un « mur de traceurs ». En gros, c’était une sorte de barrage qui obligeait les gens à accepter les cookies pour pouvoir utiliser le service. La CNIL dit que ce n’est pas illégal en soi, mais ça doit être fait en informant clairement les utilisateurs, ce qui n’était pas le cas. Ils n’ont pas bien expliqué ce qu’ils faisaient avec ces traceurs.

Ensuite, il y a eu le problème avec Gmail. Pour certains utilisateurs qui avaient activé les « fonctionnalités intelligentes », Google affichait des publicités directement entre leurs e-mails. La CNIL considère que ces publicités, c’est de la prospection directe. Et pour ça, il faut un accord clair avant, ce que Google n’a pas demandé. Ça a touché pas moins de 53 millions de Français.

Ce qui a aussi joué dans la décision, c’est que Google a déjà été sanctionné pour des choses similaires en 2020 et 2021. La CNIL parle donc d’une « négligence persistante ».

Pour résumer les problèmes:

  • Un « mur de traceurs » qui rendait l’acceptation des cookies quasi obligatoire sans information claire.
  • Des publicités dans Gmail sans avoir demandé l’accord préalable des utilisateurs.
  • Une répétition des manquements, montrant une certaine négligence de la part de Google.

Manquements Reprochés À Shein: Cookies Et Transparence

La CNIL reproche à Shein d’avoir déposé des traceurs publicitaires sans accord valable, fourni une information trop floue et mis en place un retrait du consentement qui ne fonctionne pas correctement.

Shein Dépose Des Traceurs Sans Accord Valide

  • Des cookies marketing se déclenchent dès l’arrivée sur le site, avant tout clic sur la bannière. Même en restant passif, des partenaires publicitaires peuvent déjà recevoir des signaux.
  • Le choix « Accepter tout » est mis en avant, tandis que le refus demande plus d’étapes. On sent que le parcours pousse à dire oui.
  • Des tags tiers (retargeting, mesure d’audience publicitaire) sont chargés via un gestionnaire de balises avant l’accord explicite, parfois sous couvert de « mesure ».
  • Après un refus, certains traceurs reviennent à la prochaine visite, comme si le site oubliait le choix de l’utilisateur.
  • Des durées de vie longues sont observées pour des cookies non essentiels, ce qui étend la collecte bien au-delà de ce que l’utilisateur pourrait penser.

Shein Présente Une Information Insuffisante Aux Utilisateurs

  • La bannière reste vague : finalités trop générales, bénéfices business mis en avant, impacts concrets (profilage, reciblage) à peine évoqués.
  • La liste des partenaires n’est pas complète ou difficile à trouver. Des sociétés apparaissent sous des noms techniques, sans explication claire de leur rôle.
  • Les durées de conservation, les bases légales et les liens vers les politiques des partenaires sont rarement visibles au même endroit.
  • Les boutons ne sont pas équilibrés : « Tout accepter » est immédiat, « Continuer sans accepter » se cache derrière plusieurs clics.
  • Sur mobile, la lecture est pénible : texte serré, défilements multiples, et peu de repères pour comprendre ce qui est activé ou non.

Le Mécanisme De Retrait Du Consentement Dysfonctionne

  • Le lien pour changer d’avis est enfoui dans le pied de page, parfois différent entre pages web et app. On cherche, on hésite, on abandonne.
  • Après un retrait, certains outils continuent de collecter jusqu’au prochain rechargement, voire au-delà. Des scripts restent actifs en mémoire.
  • Le refus s’applique au navigateur en cours, mais pas toujours au compte client. En passant d’un appareil à l’autre, le profilage reprend.
  • La preuve du consentement n’est pas bien tenue : horodatage approximatif, versions de la bannière non tracées, ce qui complique l’audit.
  • Les paramètres reviennent parfois à l’état par défaut après une mise à jour de l’app ou un nettoyage de cache, alors que l’utilisateur attend l’inverse.

Stratégie De Conformité De La CNIL: Priorités Et Méthode

La CNIL Cible Les Services à Forte Fréquentation

La CNIL ne travaille pas au hasard. Elle a une stratégie bien précise pour s’assurer que les grandes plateformes respectent les règles sur les données personnelles. En gros, elle se concentre sur les sites et services que beaucoup de gens utilisent. C’est logique, non ? Quand une entreprise touche des millions d’utilisateurs, le moindre manquement peut avoir un impact énorme. C’est pour ça que Google et Shein sont dans le viseur. L’autorité veut montrer l’exemple en frappant fort là où ça compte le plus.

La CNIL Inscrit Ces Décisions Dans Un Cadre Pluriannuel

Ces sanctions ne sortent pas de nulle part. Elles font partie d’un plan plus large que la CNIL a lancé il y a déjà plus de cinq ans. Ce plan vise spécifiquement les pratiques liées aux traceurs, ces petits programmes qui suivent ce que vous faites en ligne. L’idée, c’est de corriger les mauvaises habitudes sur la durée, pas juste de réagir à un cas isolé. C’est une approche de fond pour rendre le web plus respectueux de notre vie privée.

Les Injonctions Corrigent Les Pratiques Non Conformes

Quand la CNIL inflige une amende, elle ne s’arrête pas là. Elle donne aussi des ordres, des injonctions, pour que les entreprises changent leurs pratiques. Par exemple, Google a maintenant six mois pour régler ses problèmes avec le consentement des utilisateurs, sinon, c’est une amende supplémentaire chaque jour qui l’attend. C’est un peu comme dire : « Ok, vous avez fait une erreur, mais maintenant, il faut absolument que ça change, et vite. » Ça pousse vraiment les entreprises à se mettre en règle sérieusement.

Réactions Des Entreprises: Défense Et Ajustements

Bâtiment institutionnel français, drapeaux, ordinateur, cadenas, cookies, tours modernes parisiennes

Shein joue l’offensive judiciaire pendant que Google cherche à calmer le jeu. D’un côté, un discours combatif qui parle de sanction disproportionnée et de recours. De l’autre, une réponse plus posée, avec des réglages techniques et des promesses de contrôle plus clair pour l’utilisateur. Sur le terrain, les deux veulent limiter la casse: juridique, commerciale, et d’image.

Shein Conteste Et Prépare Un Recours

Shein ne lâche rien. Le groupe annonce des démarches devant le Conseil d’État et la Cour de justice de l’UE. Il dit avoir déjà corrigé ses pages et ses bannières, mais refuse l’idée d’une faute « massive ». Il joue sur deux fronts: tribunal et mise en conformité accélérée.

  • Recours juridiques: argumentaire sur la proportion de l’amende, comparaison avec d’autres décisions, demande de suspension partielle des effets le temps du procès.
  • Correctifs techniques: bannière plus claire avec « tout refuser » au même niveau que « tout accepter », dépôt de cookies publicitaires bloqué tant que l’utilisateur n’a pas opté pour.
  • Retrait du consentement: bouton visible dans le pied de page et dans le compte, retrait effectif en un clic, purge des identifiants dans les systèmes.
  • Traçabilité: journal de preuves de consentement, versionnage des bannières, captures d’écrans et horodatage pour répondre aux contrôles.
  • Communication: FAQ dédiée, emails d’information aux clients français, rapport de transparence promis après déploiement.

Au passage, Shein surveille l’impact business: perte de mesure d’audience, taux d’opt-in plus bas, tensions avec les partenaires publicitaires. Le pari: montrer de la bonne volonté sans admettre la faute en public.

Google Déploie Des Ajustements Et Tempère

Google adopte un ton prudent. La ligne officielle: les gens peuvent déjà gérer les annonces, et des mises à jour sont en cours. Concrètement, le groupe retouche des parcours clés et cadre mieux la publicité là où le consentement fait défaut.

  • Compte Google et « mur de traceurs »: réduction des cookies non nécessaires au moment de l’inscription, options d’acceptation plus équitables, meilleure granularité par finalité.
  • Gmail et publicité: limitation des formats assimilés à de la prospection sans accord explicite, vérification du consentement avant affichage, bascule par défaut vers des annonces non personnalisées si l’utilisateur n’a rien choisi.
  • Paramètres d’annonces: tableau de bord simplifié, boutons on/off plus visibles, explications plus courtes et liens vers l’historique d’activité.
  • Gouvernance interne: audits de tags tiers, blocage par défaut via un CMP, preuve de consentement injectée dans les logs, nettoyage des données quand l’utilisateur retire son accord.
  • Déploiement: tests A/B en Europe, mise à jour des SDK mobiles, calendrier serré pour éviter des astreintes financières.

Google cherche l’équilibre: réduire le risque réglementaire sans casser la mesure et le rendement publicitaire. Pas simple, surtout à l’échelle de dizaines de millions d’utilisateurs.

Les Entreprises Mettent En Avant Le Contrôle Des Annonces

Face au public, les deux martèlent la même promesse: vous décidez. Dans les faits, ces panneaux de contrôle existent, mais ils restent parfois enfouis, ou compliqués. Les annonces sont plus claires qu’avant, pas parfaites non plus.

  • Points mis en avant: bouton « tout refuser », catégories de finalités détaillées, possibilité de rester en mode non personnalisé.
  • Outils réels: centres de préférences publicitaires, historique d’activité, désactivation des sujets d’intérêt, opt-out des mesures.
  • Limites: parcours longs, vocabulaire peu parlant, quelques « nudges » qui poussent encore vers l’acceptation.
  • Ce qui change maintenant: liens de retrait visibles, abandons de cookies non essentiels avant consentement, meilleure preuve de l’accord utilisateur.
  • Ce qu’attendent les utilisateurs: choix rapides, langage simple, retrait qui marche vraiment partout (web et app) et tout de suite.

En clair, les réglages arrivent, et ils sont plus concrets. Reste à voir si, au quotidien, l’ergonomie suit et si le pourcentage d’opt-in ne devient pas le nouveau terrain de jeu des design malins.

Conséquences Pour Le Marché: Gouvernance Et Publicité En Ligne

Les sanctions ne restent pas sur le papier. Elles rebattent les cartes côté produits, médias et budgets. La gouvernance passe du discours à la preuve: chaque clic de consentement doit être traçable.

Les Plateformes Révisent Leurs Parcours De Consentement

Les équipes produit et juridique réécrivent les bannières et les réglages. On cherche moins la ruse, plus la clarté. Et surtout, on coupe techniquement les traceurs tant qu’il n’y a pas d’accord.

  • Boutons « Tout accepter » et « Tout refuser » affichés au même niveau, sans détour.
  • Paramétrage simple par finalité (mesure, personnalisation, publicité), sans cases pré-cochées.
  • Textes courts, lisibles, et fin des chemins tordus (pas de sous-menus cachés ou couleurs trompeuses).
  • Option d’accès sans traceurs quand c’est possible, ou offre payante sans pub quand c’est assumé.
  • Durée de vie des cookies réduite et re-collecte du consentement à un rythme raisonnable.
  • Journalisation du consentement (horodatage, version de la bannière, preuve exportable) et audits réguliers.
  • Blocage par défaut des tags via une CMP unique; déclenchement seulement après accord.

Les Annonceurs Réévaluent Le Ciblage Et La Mesure

Les plans médias bougent, parfois dans la douleur. Les équipes marketing testent des combinaisons plus sobres en données et acceptent une mesure moins précise mais plus solide.

  • Retour en grâce du ciblage contextuel et des signaux liés au contenu et au moment.
  • Accélération sur la donnée « first-party »: CRM, newsletters, programmes de fidélité, avec collecte propre et consentie.
  • Taux d’opt-in et qualité du consentement deviennent des KPI d’achat média par régie et par format.
  • Mesure révisée: agrégations, modélisation de conversions, tests d’incrémentalité, et modèles mixtes (MMM) pour compenser la perte d’attribution fine.
  • Réallocation vers les environnements connectés (plateformes où l’utilisateur est identifié) et vers le retail media; vigilance sur la dépendance à quelques acteurs.
  • Limites sur le capping et la déduplication cross-site; on privilégie des deals plus contrôlés et des segments plus larges.

Les Utilisateurs Exercent Davantage Leurs Choix

Côté public, le changement est visible. Les parcours de consentement sont plus nets, et les réglages sont moins planqués.

  1. Les refus augmentent quand le bouton est clair et immédiat, ce qui réduit le suivi publicitaire pour une partie des visiteurs.
  2. Beaucoup adoptent des réglages « à la carte »: autoriser la mesure d’audience, refuser la pub ciblée, par exemple.
  3. Les tableaux de bord de préférences et le retrait du consentement sont plus utilisés, car l’accès devient simple.
  4. La fatigue face aux bannières pousse certains à bloquer par le navigateur ou à choisir des offres sans pub.
  5. Résultat concret: moins de personnalisation pour une part d’usagers, mais un contrôle plus réel sur leurs données.

Feuille De Route Pour La Conformité: Bonnes Pratiques Opérationnelles

La conformité, ce n’est pas un sprint. On règle un point, puis un autre, on vérifie, on corrige, et on recommence. Oui, c’est un peu fastidieux, mais on dort mieux la nuit et on évite les mauvaises surprises.

Clarifiez Les Bannières Et Équilibrez Les Choix

On a tous vu la bannière qui pousse à dire « OK » et cache le refus derrière trois clics. Mauvaise idée. Les gens le voient et la CNIL aussi. Placez le refus au même niveau que l’acceptation, sans détour.

  • Premier écran clair: « Tout accepter », « Tout refuser », « Personnaliser », visibles au même niveau, avec un texte simple (2–3 phrases) qui explique les finalités sans jargon.
  • Finalités compréhensibles: mesurer l’audience, personnaliser la pub, améliorer le produit. Évitez les termes vagues (« partenaires de confiance », « expériences enrichies »).
  • Évitez les pièges: pas de compte à rebours, pas de couleurs trompeuses, pas de cases précochées. Le silence ou le scroll ne valent pas consentement.
  • Deuxième niveau propre: interrupteurs par finalité, désactivés par défaut. Le dépôt ne commence qu’après un vrai « accepter ».
  • Durée raisonnable: conservez le choix de l’utilisateur au plus 6 mois, pas plus. Pas de relance agressive à chaque visite.
  • Lien permanent: un lien « Cookies » dans le pied de page (et dans les paramètres appli) pour rouvrir la bannière à tout moment.

Documentez Le Consentement Et Simplifiez Le Retrait

Sans preuves, difficile de démontrer votre bonne foi. Et si retirer son consentement prend dix clics, les gens quittent le site.

  • Journal de preuves: horodatage, version de la bannière/CMP, finalités acceptées/refusées, pays/langue, identifiant pseudonyme. Stockez de façon sécurisée et minimisée.
  • Pas de dépôt avant accord: aucun traceur non strictement nécessaire avant l’opt-in. Testez le parcours en mode navigateur « vierge ».
  • Retrait en un clic: un bouton accessible partout qui arrête immédiatement les traceurs non nécessaires et purge les cookies concernés.
  • Propagation technique: à la révocation, stoppez les appels vers les partenaires pub/analytics et mettez à jour les consent strings côté tags/SDK.
  • Emails et prospection: opt-in séparé, clair, avec preuve (double opt-in si possible). Ne mélangez pas consentement cookies et marketing.
  • Durées et purge: définissez des durées de conservation, automatisez la suppression des logs expirés et documentez la politique.

Auditez Les Traceurs Et Éliminez Les Dark Patterns

Même avec une belle bannière, des scripts « oubliés » passent parfois à travers. C’est là que l’audit sauve la mise.

  • Cartographie des tags/SDK: inventaire par page/écran, finalité, base légale, fournisseur, contact, et responsable interne. Mettez à jour à chaque release.
  • Scanner régulier: lancez un scan mensuel des cookies/requests, comparez au plan de marquage, bloquez ce qui n’est pas documenté.
  • Contrôles dans le TMS: règles de déclenchement basées sur le consentement, révision obligatoire avant mise en prod, approvals croisés (marketing + juridique + tech).
  • Chargement conditionnel: pas de préchargement (preconnect/preload) ni d’exécution avant consentement. Désactivez les balises « fire-and-forget ».
  • Server-side tagging: utile pour la qualité de données, mais le consentement reste requis. Pas de contournement par le serveur.
  • Chasse aux dark patterns: pas de boutons disproportionnés, pas de contraste trompeur, pas de texte manipulative. Documentez vos choix UI/UX.
  • Formation & tests: formez les équipes produit/marketing, ajoutez des tests E2E (avec et sans consentement) dans la CI, et tenez un registre des non-conformités corrigées.

Et maintenant ?

Ces amendes record montrent que la CNIL ne plaisante plus avec les règles sur les cookies. Google et Shein ont pris des leçons, mais on sent bien que le message est pour tout le monde. Les entreprises vont devoir faire plus attention à comment elles collectent nos données, surtout pour la pub ciblée. C’est une bonne chose pour notre vie privée, même si ça peut rendre la navigation un peu moins fluide parfois. On verra comment ça évolue, mais pour l’instant, c’est un signal fort envoyé par le régulateur.