En août 2023, la CNIL a contrôlé le site web « shein.com », et a constaté des manquements aux obligations relatives aux traceurs1. La filiale européenne du groupe SHEIN (ci-après « SHEIN ») avait en effet installé certains traceurs sans le consentement des internautes, ne respectait pas leurs choix et ne les informait pas correctement sur l'usage de ces données.
Pour ces motifs, la CNIL a infligé une amende de 150 millions d'euros. Le montant de cette sanction peut paraitre élevé mais reflète la gravité et la répétition des manquements, ainsi que l'ampleur du traitement concerné, affectant en moyenne 12 millions de visiteurs résidant en France mensuellement.
La formation restreinte de la CNIL a également rappelé que des sanctions similaires avaient été prononcées depuis 2020 pour des faits comparables, soulignant l'importance du respect des obligations en matière de protection des données personnelles.
CNIL : sanction pour manquements aux règles sur les cookies
Les manquements constatés par la CNIL, justifiant cette sanction, sont les suivants :
| MANQUEMENTS | PRECISIONS |
|---|---|
| Absence de recueil du consentement | Des traceurs (marketing notamment), notamment à finalité publicitaire, étaient déposés dès l'arrivée des utilisateurs sur le site, avant toute interaction avec le bandeau d'information. |
| Bandeaux d'information incomplets | Deux interfaces de gestion des traceurs étaient proposées, mais elles ne mentionnaient pas la finalité publicitaire des traceurs. La seconde fenêtre qui « popait » ne contenait qu'un bouton d'acceptation, sans autre information. |
| Information de second niveau insuffisante | Le détail concernant l'identité des tiers susceptibles de déposer des traceurs n'était pas fourni dans la section « Paramètres des cookies ». |
| Refus et retrait du consentement inefficaces | Malgré l'option « Tout refuser » ou le retrait du consentement, de nouveaux traceurs étaient déposés et ceux déjà présents continuaient d'être lus. |
En outre, dans la mesure où une remédiation du site concerné a été effectuée en cours de procédure, la formation restreinte de la CNIL n'a pas procédé à une injonction de mise en conformité2
Cookies et compliance des sites : un enjeu majeur pour le RGPD
Une facilité de remédiation
La gestion des cookies est l'un des volets les plus « accessibles » de la conformité au RGPD et à la loi Informatique et Libertés.
En effet, contrairement à d'autres remédiations plus complexes, il suffit souvent d'adapter l'interface d'information et de paramétrage (CMP) pour garantir le respect des droits des utilisateurs. En ce sens, ne pas se conformer à ces règles expose l'entreprise à des risques juridiques importants alors même que la mise en conformité est techniquement peu coûteuse et facilement déployable.
D'autant plus que la CNIL procède régulièrement à des contrôles en ligne pour vérifier le respect des règles relatives aux cookies et autres traceurs. Cette facilité technique de contrôle place les sites internet en première ligne des sanctions, notamment pour les grandes plateformes mais aussi pour les plus petits sites.
Une « résistance » de certains sites
Pourtant, si de nombreux sites tardent à se mettre en conformité, c'est en grande partie en raison d'un dilemme. Un dilemme à appliquer pleinement les règles, malgré les risques juridiques et réputationnels encourus.
En effet, la publicité ciblée constitue une source de revenus nettement plus lucrative que la publicité non ciblée... En ce sens, l'usage des traceurs accroît la rentabilité en permettant une publicité ciblée plus efficace, mais le respect du consentement des utilisateurs réduit le volume de données exploitables et impacte directement les revenus des sites. Ce dilemme explique la réticence de certaines entreprises à appliquer pleinement les règles, malgré les risques juridiques et réputationnels encourus.
Un calcul bénéfice/risque à opérer
Mais, au-delà du risque de sanction, la conformité en matière de cookies participe à l'image de sérieux et de responsabilité de l'entreprise. Dans un contexte de concurrence accrue et de sensibilité des consommateurs aux questions de vie privée, afficher un site conforme aux exigences de la CNIL permet de se distinguer et de renforcer la relation de confiance avec les clients et prospects.
Cette tension entre rentabilité économique et respect des droits fondamentaux soulève une question plus large : comment démontrer aux entreprises que la non-conformité représente un risque supérieur aux bénéfices immédiats ? A méditer…
Footnotes
1. La formation restreinte a souligné dans sa délibération que la société avait procédé à des modifications de son site internet au cours de la procédure, rendant inutile le prononcé d'injonctions de mise en conformité.
2. Article 82 de la loi Informatique et Libertés
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
