Shein sous la loupe de l’Europe : enquête sur le transfert des données personnelles vers la Chine

Le 05 mai 2026, la Data Protection Commission (DPC) irlandaise a annoncé l’ouverture d’une enquête formelle visant Infinite Styles Services Co. Ltd., la filiale EMEA de Shein basée à Dublin depuis 2023, sur la question sensible des données personnelles d’utilisateurs européens transférées hors Union européenne. L’enjeu dépasse largement le cas d’une seule application de shopping : il touche au cœur du RGPD, à la souveraineté numérique en Europe, et à la manière dont une plateforme devenue massive gère la vie privée quand une partie des traitements se rattache à la Chine. La mécanique réglementaire est connue depuis les dossiers Meta ou TikTok, mais le sujet reste concret pour le grand public : comptes clients, adresses, historique d’achats, habitudes de navigation, préférences et identifiants publicitaires forment un ensemble très exploitable, et donc très encadré.

Pour les régulateurs, la question n’est pas seulement “où vont les données”, mais “avec quelles garanties, quelle transparence, et quel contrôle effectif”. Selon Reuters (dépêche relayant l’annonce de la DPC le 05 mai 2026), l’enquête porte notamment sur la conformité au chapitre V du RGPD, qui régit le transfert de données vers des pays tiers. Le précédent TikTok, sanctionné par la DPC d’une amende de 530 millions d’euros le 02 mai 2025 pour des transferts vers la Chine, a rendu le sujet explosif. Dans ce contexte, Shein se retrouve à devoir expliquer précisément ses flux, ses sous-traitants, ses bases légales et ses mesures techniques de cybersécurité, sous peine de basculer dans un dossier à très fort risque financier et réputationnel.

Enquête DPC contre Shein : pourquoi l’Irlande pilote le dossier pour toute l’Europe

Le fait que l’enquête parte d’Irlande n’est pas un détail administratif : c’est la conséquence directe du mécanisme de “guichet unique” prévu par le RGPD. L’article 56 organise la compétence de l’autorité dite “chef de file” quand une entreprise a un établissement principal dans un État membre pour ses activités européennes. Comme Shein a installé sa filiale EMEA Infinite Styles Services Co. Ltd. à Dublin en 2023, la DPC devient l’autorité de référence pour traiter le dossier au nom de l’Europe. C’est le même schéma qui a placé dans le passé des groupes comme Meta, Google, Apple ou TikTok sous le radar irlandais, dès lors que leur architecture juridique européenne s’y appuie.

Ce pilotage ne signifie pas que les autres pays n’ont rien à dire. Le RGPD prévoit un processus de coopération (articles 60 à 65) : la DPC doit partager ses analyses et projets de décision avec les autres autorités concernées. La CNIL en France, le BfDI en Allemagne ou l’AEPD en Espagne peuvent formuler des objections motivées. En cas de désaccord persistant, le Comité européen de la protection des données (CEPD) tranche. Cette mécanique a un effet immédiat pour les utilisateurs : une décision finale ne s’applique pas à un seul marché, elle s’étend aux 27 États membres.

Selon Reuters (05 mai 2026), la DPC a ouvert l’enquête formellement et s’intéresse aux transferts vers la Chine et à leur conformité. Graham Doyle, commissaire adjoint de la DPC, a présenté le sujet comme une priorité stratégique et a indiqué que des plaintes déposées auprès d’autres autorités européennes avaient contribué à orienter l’attention sur ces flux. Ce point compte : il suggère un dossier alimenté par des signalements multiples, et pas uniquement par une initiative isolée du régulateur irlandais.

D’un point de vue “tech”, le guichet unique a aussi une implication souvent sous-estimée : il force une entreprise à documenter ses traitements de manière standardisée pour répondre à une procédure coordonnée. Cela implique des registres de traitement, des cartographies de flux, et une traçabilité de la sous-traitance (hébergeurs, outils d’analytics, plateformes publicitaires, prestataires de support). À l’échelle d’une application e-commerce, ces briques sont nombreuses, et l’enquête met généralement la pression sur l’ingénierie interne pour produire des preuves, pas des promesses. La conformité devient un sujet d’architecture, pas seulement de juridique, et cette contrainte finit par se répercuter sur les choix de cybersécurité et de design produit.

Transfert de données vers la Chine : ce que le RGPD exige réellement (chapitre V, articles 5 et 13)

Le cœur du dossier, c’est le transfert de données hors Union européenne, et la manière dont la plateforme informe — ou n’informe pas suffisamment — ses utilisateurs. Selon les éléments rapportés par Reuters le 05 mai 2026, l’enquête de la DPC porte sur la conformité de ces transferts au RGPD. Trois piliers ressortent : l’article 5 (principes de traitement, dont la licéité, la loyauté et la transparence), l’article 13 (information fournie aux personnes concernées) et le chapitre V (règles spécifiques pour transférer des données vers un pays tiers).

Un point juridique pèse lourd : la Chine ne bénéficie d’aucune décision d’adéquation de la Commission européenne. Cela signifie qu’il n’existe pas de “passeport” automatique attestant que le pays tiers offre un niveau de protection jugé équivalent à celui de l’UE. Dans ce cadre, les entreprises s’appuient souvent sur des clauses contractuelles types (SCC) et sur des mesures supplémentaires (chiffrement, pseudonymisation, contrôle d’accès, segmentation des environnements). En pratique, les SCC sont une base, mais elles ne remplacent pas une analyse du risque et des garde-fous techniques. La DPC, dans d’autres dossiers, a déjà examiné si des engagements contractuels suffisaient face à des risques d’accès par des autorités locales, ou face à des chaînes de sous-traitance trop opaques.

Sur le terrain, les données personnelles concernées ne se limitent pas au nom et à l’adresse. Une plateforme e-commerce récolte généralement un ensemble de signaux : identifiants de compte, adresses de livraison et de facturation, moyens de paiement (souvent tokenisés), historique de commandes, tickets de support, logs de connexion, informations sur l’appareil (modèle, OS, identifiants publicitaires), et données de navigation in-app (produits consultés, temps passé, ajouts au panier). Même lorsque certaines données semblent “techniques”, elles deviennent personnelles dès lors qu’elles permettent d’identifier ou de profiler un utilisateur.

Une difficulté fréquente dans ces enquêtes vient du vocabulaire utilisé dans les politiques de confidentialité. Le RGPD impose une information claire, accessible, et suffisamment précise. Dire que des données “peuvent être transférées à l’international” ne répond pas forcément aux attentes du régulateur si les destinations, finalités, catégories de données et garanties ne sont pas explicitées de manière compréhensible. La vie privée n’est pas un exercice de style : c’est une obligation de transparence, et le régulateur attend des descriptions opérationnelles, pas uniquement des formulations générales.

Côté hardware et infrastructure, la conformité se joue aussi dans les choix de déploiement : où se trouvent les bases de données, comment sont gérées les clés de chiffrement, qui peut accéder aux environnements de production, et comment sont surveillées les extractions. Un audit sérieux regarde souvent les journaux d’accès, la séparation des rôles (admin, développeur, support), et la manière dont les données de l’Europe sont isolées ou non de systèmes globaux. Dans un environnement moderne (microservices, data lakes, pipelines analytiques), un simple connecteur mal gouverné peut transformer un “traitement local” en flux transfrontalier permanent.

Le précédent TikTok (530 millions d’euros) et Meta (1,2 milliard) : un signal prix pour Shein

Le dossier Shein arrive dans un contexte où la DPC a déjà montré qu’elle savait frapper fort sur les transferts internationaux. Le 02 mai 2025, la DPC a infligé à TikTok une amende de 530 millions d’euros pour des transferts de données vers la Chine, avec une injonction de mise en conformité sous six mois, décision indiquée comme étant contestée devant les juridictions irlandaises. En 2023, la DPC a également sanctionné Meta à hauteur de 1,2 milliard d’euros au sujet des transferts de données vers les États-Unis. Ces montants installent un repère clair : lorsqu’un régulateur estime que les garanties entourant un transfert de données sont insuffisantes, la sanction peut dépasser la symbolique et devenir structurante pour l’entreprise.

Un autre chiffre situe le niveau d’activité répressif. D’après les éléments repris dans le corpus de référence, la DPC a distribué plus de 4 milliards d’euros d’amendes RGPD depuis 01 janvier 2020. Ce total ne dit pas tout (il agrège des dossiers de tailles très variées), mais il donne une idée de l’échelle. Pour une plateforme à forte croissance, l’impact n’est pas seulement financier : l’injonction de modifier des flux de données oblige souvent à revoir des systèmes de recommandation, des pipelines marketing et parfois des contrats de sous-traitance, ce qui peut ralentir la cadence produit.

Pour comprendre pourquoi ces dossiers deviennent “hardware”, il suffit de regarder ce que demandent souvent les régulateurs après l’amende : documentation détaillée, preuve de mesures effectives, parfois audits externes, et limitation des accès à distance. Un transfert illégal ne se corrige pas avec une ligne dans une politique de confidentialité. Il se corrige avec des choix d’architecture : hébergement régional, segmentation des environnements, contrôle cryptographique des accès, rotation des secrets, durcissement IAM, et politiques de rétention plus strictes. Les équipes SRE, sécurité et data engineering se retrouvent au centre du sujet, même si l’affaire démarre par une procédure juridique.

Dans le cas Shein, le risque est amplifié par la combinaison “volume + profilage”. Des dizaines de millions d’acheteurs en Europe signifie des volumétries qui nourrissent personnalisation, scoring de fraude, optimisation des stocks, ciblage publicitaire. Plus le moteur de recommandation dépend de signaux fins, plus la cartographie des données devient complexe. Et plus elle est complexe, plus il est difficile de prouver que les garde-fous liés à la protection des données sont appliqués partout, y compris dans des systèmes analytiques qui évoluent vite.

Affaire	Autorité	Date (jour/mois/année)	Montant de l’amende	Type de transfert mis en cause
TikTok	DPC (Irlande)	02/05/2025	530 millions d’euros	Transferts de données vers la Chine
Meta	DPC (Irlande)	12/05/2023	1,2 milliard d’euros	Transferts de données vers les États-Unis
Shein (Infinite Styles Services Co. Ltd.)	DPC (Irlande)	05/05/2026	Non déterminé à ce stade	Transferts de données d’utilisateurs UE vers la Chine (objet de l’enquête)
Amendes RGPD cumulées DPC	DPC (Irlande)	01/01/2020 → 11/05/2026	> 4 milliards d’euros	Ensemble des dossiers RGPD traités (périmètre DPC)

Le tableau illustre un point simple : la DPC a déjà établi une jurisprudence de fait sur la sévérité des transferts internationaux. Dans ces conditions, l’argument “tout le monde fait pareil” n’est pas opérant. L’enquête contre Shein se joue sur la capacité à démontrer que les garanties sont réelles, contrôlables et proportionnées aux risques pour la vie privée.

Shein, DSA et pratiques de collecte : comment l’écosystème e-commerce amplifie les risques vie privée

Au-delà du seul transfert de données vers la Chine, le cas Shein s’inscrit dans un empilement de cadres européens : le RGPD pour la protection des données, le DSA (Digital Services Act) pour les obligations de plateforme, et des règles de consommation qui ciblent des pratiques de conception discutables. D’après les éléments fournis, Shein est classé “très grande plateforme en ligne” au titre du DSA depuis avril 2024. Ce statut impose des obligations renforcées, notamment en matière de gestion des risques systémiques, de transparence publicitaire et de coopération avec les autorités.

Le sujet “dark patterns” est un bon exemple d’intersection entre ergonomie produit et conformité. Vingt-cinq associations de consommateurs coordonnées par le BEUC ont déposé une plainte visant ces pratiques, selon les éléments de contexte fournis. Même sans entrer dans le détail de la procédure, l’angle technique est clair : un design qui pousse à accepter par défaut, qui complique le refus, ou qui multiplie les sollicitations peut augmenter la collecte de données et fragiliser le consentement. Un consentement peu robuste finit par poser problème quand des données circulent hors de l’UE.

La France apparaît aussi en arrière-plan, avec des signaux déjà défavorables. La CNIL a sanctionné Shein à hauteur de 150 millions d’euros en septembre 2025 au sujet des cookies, d’après les données de référence. Les cookies ne sont pas qu’un sujet publicitaire : ils structurent l’attribution marketing, la mesure de performance, et parfois la personnalisation. Quand ce socle est contesté, c’est toute la chaîne “mesure → ciblage → optimisation” qui doit être recalibrée, et les flux de données associés deviennent plus visibles pour les régulateurs.

Pour rendre la mécanique tangible, il faut suivre une commande type. L’utilisateur ouvre l’app, navigue, ajoute au panier, valide une livraison, et contacte éventuellement le support. Chaque étape génère des événements (events) envoyés à des services : paiement, logistique, anti-fraude, relation client, analytics, personnalisation. Ces événements alimentent des bases de données opérationnelles et analytiques. Dans ce type de système, le lieu où se trouve l’outil d’analytics ou le data lake est déterminant. Un data lake opéré hors UE, ou accessible depuis un pays tiers, peut suffire à caractériser un transfert ou un accès transfrontalier selon la configuration.

Exemples concrets de données et de flux observables dans une app e-commerce

• Données de compte : email, téléphone, hash de mot de passe, préférences de langue, qui servent à l’authentification et au support.
• Données de commande : articles, taille, adresse, mode de livraison, retours, utiles à la logistique et au SAV.
• Données d’appareil : modèle, version Android/iOS, identifiants publicitaires, utiles à la lutte anti-fraude et à la mesure marketing.
• Données comportementales : pages consultées, clics, temps de session, utilisées par les moteurs de recommandation.
• Données de support : messages, pièces jointes, parfois photos, qui peuvent contenir des informations sensibles par accident.

Chaque catégorie a un point de friction potentiel : minimisation, durée de conservation, base légale, transparence, et contrôle des accès. Quand une enquête vise la destination Chine, la DPC va chercher à savoir si les données transférées sont strictement nécessaires, si elles sont chiffrées, si les clés sont contrôlées depuis l’UE, et si les accès sont journalisés de bout en bout. Un dossier solide répond avec des preuves techniques et des procédures, pas avec des formulations générales.

Cybersécurité et protection des données : ce que l’enquête implique côté infrastructure, chiffrement et accès

Une enquête RGPD sur un transfert de données n’est pas un contrôle “papier” : elle a presque toujours des implications très concrètes sur la cybersécurité. Lorsque les données d’utilisateurs d’Europe sont susceptibles d’être accessibles depuis la Chine, les régulateurs regardent généralement les mesures techniques et organisationnelles : chiffrement, gestion des clés, segmentation des environnements, contrôle des accès, supervision et réponse à incident. Le but n’est pas de transformer la DPC en auditeur SSI, mais d’évaluer si les garanties annoncées compensent réellement l’absence de décision d’adéquation.

Dans les architectures modernes, la question la plus sensible n’est pas seulement “où sont les serveurs”, c’est “qui peut voir quoi”. Un système peut être hébergé dans l’UE tout en restant administré à distance depuis un pays tiers. À l’inverse, des traitements peuvent être effectués hors UE mais sur des données fortement pseudonymisées, avec des clés conservées dans l’UE, ce qui réduit le risque. Les mesures efficaces sont celles qui limitent l’accès en clair, qui réduisent la surface d’exposition, et qui rendent les actions traçables.

Mesures techniques typiquement attendues dans un dossier de transferts internationaux

Les meilleures pratiques ne sont pas secrètes, et beaucoup sont déjà standard dans les équipes cloud matures. Le régulateur ne demandera pas forcément “la” solution parfaite, mais une cohérence entre les risques et les mesures. Les éléments suivants reviennent souvent dans les discussions de conformité quand la destination est un pays tiers sans adéquation.

• Chiffrement au repos (bases de données, sauvegardes) et en transit (TLS), avec des algorithmes standard et des configurations maintenues.
• Gestion des clés (KMS/HSM) avec contrôle d’accès strict, rotation, et séparation des rôles entre opérations et sécurité.
• Pseudonymisation des identifiants utilisés dans l’analytics et la personnalisation, pour éviter la circulation d’identifiants directs.
• Journalisation des accès et des exports, avec alertes sur comportements atypiques et conservation proportionnée.
• Segmentation des environnements (prod, test, data science) et limitation des copies de production dans des environnements moins maîtrisés.

Sur un plan très opérationnel, l’enquête peut conduire à “relocaliser” certaines fonctions : data warehouse régional, pipelines analytiques séparés, ou refonte du support pour éviter que des tickets riches en données quittent l’UE. Ce type de chantier a un coût, et il peut aussi impacter les performances des systèmes si l’architecture globale reposait sur une centralisation. Pour une application comme Shein, qui vit d’itérations rapides et de personnalisation, les arbitrages peuvent devenir tendus entre efficacité produit et exigences de protection des données.

Le sujet touche aussi la fraude et la sécurité des paiements. Les systèmes anti-fraude consomment beaucoup de signaux (appareil, IP, comportements), et ces signaux peuvent être considérés comme des données personnelles. Une relocalisation mal pensée peut dégrader la détection. À l’inverse, une refonte “privacy by design” peut pousser à utiliser des agrégats, des seuils et des modèles moins intrusifs, ce qui réduit la collecte sans abandonner la sécurité. Ce sont des choix d’ingénierie, pas des slogans.

Enfin, l’aspect “preuve” est central : politiques écrites, audits, rapports de tests, procédures d’accès et revues périodiques. Une enquête demande des éléments vérifiables. Si des SCC sont invoquées, elles doivent être complétées par des mesures qui résistent à l’examen technique et juridique, surtout dans un contexte où le précédent TikTok a montré que la barre est haute.

On en dit quoi ?

La trajectoire la plus probable est une montée en exigences techniques : Shein devra détailler ses flux et prouver que ses mesures rendent le transfert de données compatible avec le RGPD, pas seulement “encadré sur le papier”. Le précédent TikTok du 02 mai 2025 à 530 millions d’euros a fixé un niveau de risque que peu d’acteurs peuvent ignorer, surtout quand la destination est la Chine sans décision d’adéquation. Pour les utilisateurs en Europe, la recommandation concrète est de réduire l’exposition : limiter les informations de profil, couper les autorisations non nécessaires, et surveiller les paramètres liés à la publicité. Pour le secteur, cette affaire renforce une idée très pratico-pratique : les dossiers “vie privée” finissent presque toujours par devenir des dossiers d’architecture cloud et de cybersécurité.

Qu’est-ce que la DPC irlandaise et pourquoi s’occupe-t-elle de Shein ?

La Data Protection Commission (DPC) est l’autorité irlandaise de protection des données. Avec le mécanisme de guichet unique du RGPD (article 56), elle devient chef de file quand l’établissement principal européen d’une entreprise est en Irlande. Comme la filiale EMEA de Shein (Infinite Styles Services Co. Ltd.) est basée à Dublin depuis 2023, la DPC pilote l’enquête annoncée le 05 mai 2026, en coordination avec les autres autorités de l’UE.

Pourquoi le transfert de données vers la Chine est-il plus compliqué au regard du RGPD ?

La Chine ne dispose pas d’une décision d’adéquation de la Commission européenne. Un transfert de données personnelles depuis l’Europe vers un pays tiers sans adéquation exige des garanties, souvent via des clauses contractuelles types (SCC) et des mesures supplémentaires (chiffrement, contrôle d’accès, limitation des données). L’enquête vise précisément à vérifier la conformité et la transparence de ces mécanismes.

Quelles données personnelles une application e-commerce comme Shein traite-t-elle typiquement ?

Au-delà de l’identité et de l’adresse, une application e-commerce traite des historiques d’achats, des données de navigation (produits consultés, clics), des informations d’appareil (modèle, OS, identifiants publicitaires), des éléments anti-fraude, et des échanges avec le support. Une partie de ces données peut servir à la personnalisation et à la mesure marketing, ce qui augmente les exigences de transparence et de minimisation.

À quoi peuvent ressembler les mesures techniques attendues pour sécuriser ces transferts ?

Les mesures souvent attendues combinent chiffrement au repos et en transit, gestion rigoureuse des clés (rotation, séparation des rôles), pseudonymisation des identifiants utilisés pour l’analytics, journalisation des accès et des exports, et segmentation des environnements pour limiter les copies de données. Le régulateur cherche surtout des preuves opérationnelles : procédures, audits, traces et contrôles effectifs.