Les acheteurs Shein se comptent par dizaines de millions sur le Vieux Continent. Leurs données, elles, voyagent à l’autre bout du monde sans aucune validation formelle. La Data Protection Commission (DPC) irlandaise a annoncé le 5 mai l’ouverture d’une enquête formelle contre Infinite Styles Services Co. Ltd., la filiale EMEA de Shein installée à Dublin depuis 2023. L’enquête porte sur les transferts de données personnelles des utilisateurs européens vers la Chine, et sur la conformité de ces transferts au RGPD.
L’Irlande enquête au nom de toute l’Europe
Que l’enquête parte de Dublin n’a rien d’un hasard géographique. Le RGPD prévoit un mécanisme dit « guichet unique » (article 56). Le principe est simple : quand une entreprise installe son siège européen dans un État membre, l’autorité locale devient « chef de file » pour tout le continent. Shein a ouvert sa filiale EMEA Infinite Styles Services Co. Ltd. à Dublin en 2023. La DPC hérite donc du dossier, comme elle a hérité de ceux de Meta, TikTok, Apple ou Google.
Mais attention : « chef de file » ne veut pas dire « seule concernée ». Le mécanisme de coopération du RGPD (articles 60 à 65) impose à la DPC de partager ses conclusions préliminaires avec toutes les autorités européennes concernées. La CNIL en France, le BfDI en Allemagne, l’AEPD en Espagne peuvent soulever des objections. Si elles ne sont pas résolues, c’est le Comité européen de la protection des données (CEPD) qui tranche. Autant le dire clairement : la décision finale, quelle qu’elle soit, s’appliquera aux 27 États membres. Shein ne pourra pas se conformer en Irlande et continuer comme avant en France ou en Italie.
Graham Doyle, commissaire adjoint de la DPC, l’a d’ailleurs formulé sans ambiguïté. Il qualifie l’enquête de « priorité stratégique » et précise que des « plaintes auprès d’autres autorités européennes » ont contribué à mettre les transferts vers la Chine dans le viseur. La DPC n’agit pas seule. Elle formalise ce que plusieurs régulateurs européens signalaient déjà en coulisses.
TikTok comme modèle, la Chine comme angle mort du RGPD
Sur le fond, la DPC examine trois points. L’article 5 du RGPD (traitement licite, loyal et transparent), l’article 13 (obligation d’information des personnes) et le chapitre V, qui encadre les transferts hors UE. La Chine ne bénéficie d’aucune décision d’adéquation de la Commission européenne. Soyons francs : juridiquement, les données qui partent vers Pékin ne sont protégées que par les clauses contractuelles types (SCC) que Shein a pu mettre en place. Et l’expérience TikTok a montré que ces clauses ne suffisent pas toujours.
Le 2 mai 2025, la DPC avait infligé 530 millions d’euros d’amende à TikTok pour des transferts comparables vers la Chine. La sanction était assortie d’une injonction de mise en conformité sous six mois (en appel devant les tribunaux irlandais). Meta avait écopé de 1,2 milliard d’euros en 2023 pour ses transferts vers les États-Unis. Au total, la DPC a distribué plus de 4 milliards d’euros d’amendes RGPD depuis 2020. Le pattern est clair : les transferts hors UE sans garanties solides coûtent très cher.
Pour Shein, les procédures s’empilent au niveau continental depuis quelques années. La CNIL française avait déjà sanctionné l’entreprise à hauteur de 150 millions d’euros en septembre 2025 pour ses cookies. Vingt-cinq associations de consommateurs coordonnées par le BEUC ont déposé plainte pour dark patterns. Côté DSA, Shein est classé « très grande plateforme en ligne » depuis avril 2024. La DGCCRF enquête en parallèle sur les pratiques commerciales.
Lire aussi : Une « procédure de suspension » visant Shein est enclenchée en France
Ce qui rend le dossier concret pour les lecteurs français : le chiffre d’affaires de Shein dans l’Hexagone a été multiplié par dix en trois ans selon Bercy. De quoi rivaliser avec Kiabi et ses 350 magasins, sans un seul point de vente physique (en dehors d’un pop-up store à Paris en 2025). Chaque commande génère des données qui transitent par Dublin avant de filer vers des serveurs chinois. Si la DPC conclut à une infraction, l’ensemble des filiales européennes devront s’y conformer. Pour les 45 millions de clients de la plateforme en Europe, la facture pourrait être salée.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Reuters
