הרשות להגנת הפרטיות בצרפת (CNIL) קנסה לאחרונה (01.09.2025) את המפעילה האירופית של קמעונאית האופנה המהירה "SHEIN" בסכום של 150 מיליון אירו, לאחר שנמצא כי באתר הצרפתי של החברה נעשה שימוש בקבצי Cookies גם כאשר המשתמשים סירבו לכך במפורש.
קבצי Cookies משמשים לזיהוי משתמשים, לניטור הרגלי גלישה ולעתים קרובות גם למעקב פרסומי, ועל פי חוק הגנת המידע הצרפתי המיישם בפועל את הדירקטיבה האירופית לפרטיות (ePrivacy Directive) הם נחשבים למידע אישי שהשימוש בו מחייב הסכמה מפורשת.
מבדיקת ה-CNIL עלה כי מנגנוני ה-Cookie Banner באתר הצרפתי לא עמדו בדרישות החוק: כבר עם הכניסה לאתר הותקנו קבצי Cookies באופן אוטומטי, גם ללא הסכמה; נוסחי ההסכמה לא כללו פירוט מטרות שימוש במידע באופן ברור; לא צוינו צדדים שלישיים המקבלים גישה לנתונים והמשתמשים לא קיבלו אפשרות אפקטיבית לסרב או לחזור בהם מהסכמה. בכך, נקבע כי הופרו חובות ההסכמה והשקיפות הקבועות בדין. SHEIN מצידה טוענת כי מאז 2023 נקטה החברה בצעדי תיקון יזומים בשיתוף פעולה עם הרשויות, והכריזה כי תערער על ההחלטה. לצד זאת, ה-CNIL הדגישה כי עוצמת הפגיעה והיקף השימוש באתר SHEIN בצרפת, כ-12 מיליון מבקרים מדי חודש, מצדיקים סנקציה משמעותית. הקנס, מהגבוהים שהוטלו בצרפת בעקבות הפרה של כללי ה-Cookies (הקנס מהווה כ-2% מהכנסות החברה באירופה לשנת 2023), נועד לשמש אזהרה לחברות בינלאומיות: הפרות מהסוג האמור לא ייחשבו לסטייה טכנית בלבד, אלא לפגיעה חמורה בזכות היסוד לפרטיות, שבצדה סנקציות חמורות.
