La Commission Nationale de l’Informatique et des Libertés (CNIL) della Francia ha inflitto una sanzione di 150 milioni di euro a Shein per la violazione della direttiva ePrivacy. L’azienda cinese ha copiato i cookie sui dispositivi degli utenti senza il consenso obbligatorio. La stessa violazione è stata accertata nei confronti di Google.

Cookie senza consenso sul sito di Shein

La CNIL ha avviato l’indagine nei confronti di Shein ad agosto 2023. In seguito all’ispezione del sito ufficiale, il garante della privacy ha accertato la violazione del French Data Protection Act, con il quale è stata recepita la direttiva ePrivacy. Sono state rilevate quattro pratiche vietate dalla legge.

Quando gli utenti europei visitano i siti web devono autorizzare l’uso dei cookie attraverso un banner o pop-up. La CNIL ha scoperto che il sito di Shein copiava sul dispositivo diversi cookie, in particolare quelli pubblicitari, prima di mostrare il banner per la scelta.

I due banner mostrati erano inoltre incompleti. Il primo, che appariva all’accesso iniziale, aveva tre pulsanti (Impostazioni cookie, Rifiuta tutto e Accetta), ma non c’era nessuna informazione sui cookie pubblicitari. Il secondo conteneva solo il pulsante per accettare i cookie.

Shein non aveva inoltre fornito informazioni sui cookie di terze parti nel pop-up visualizzato quando l’utente cliccava sul pulsante “Impostazioni cookie“. Infine, quando un utente cliccava sul pulsante “Rifiuta tutto” oppure quando decideva di revocare il consenso ai cookie, nuovi cookie venivano comunque copiati sul dispositivo e quelli già presenti continuavano ad essere letti.

Durante il procedimento, Shein ha implementato tutte le necessarie modifiche per rispettare la legge, ma deve comunque pagare una multa di 150 milioni di euro. L’uso dei cookie è regolato dalla direttiva ePrivacy, quindi la CNIL ha la giurisdizione sul caso. Le indagini per violazioni del GDPR spettano invece all’omologa autorità irlandese.