GuiGui's Show

Les décisions de la CNIL de sanctionner Google et Shein sont intéressantes.

Google : délibération SAN-2025-004
Shein : délibération SAN-2025-005

Dans les deux cas, la CNIL réexplique la compétence qu'elle tire d'e-Privacy, l'absence de guichet unique RGPD (pour la création de compte Google), et l'intrication entre un établissement en Irlande et un en France (en gros, tant que l'étab FR facilite ou favorise, dans le cadre de ses activités, le déploiement en France d'un traitement, y compris par la promotion ou la vente d'espace pub avec traceurs, alors la CNIL est compétente). Google points 84-86 (Google LLC conçoit et implémente la technologie Google, a un rôle fondamental dans le processus décisionnel, y compris dans l'UE, cf. organigramme, opère dans le monde entier, et le DPO de Google Irlande témoigne de l'implication de Google USA) ; Shein point 44.

Dans Shein, sur le test A/B :

88 […] En effet, les cookies de " A/B testing " nécessitent uniquement d’identifier la cohorte (groupe A ou B) à laquelle appartient un utilisateur et cela sur une période très limitée. Ce cookie, au vu de ses caractéristiques [identifiant + durée de vie 10 ans], ne peut dès lors pas être considéré comme ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ne peut pas non plus être considéré comme strictement nécessaire à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur.

Dans Shein, sur le retrait effectif du consentement aux cookies et traceurs (points 145 à 149), y compris ceux déposés par des tiers : bloquer les requêtes réseaux depuis le site web de Shein vers les tiers ne suffit pas, ces tiers peuvent retrouver le visiteur sur d'autres sites, il faut informer les tiers du retrait du consentement. Début 2026, la CNIL a retenu ce manquement de sites web français dans le cadre des plaintes de l'association PURR.

#ePrivacy