L'autorité irlandaise de protection des données (DPC) a lancé une enquête formelle sur Shein. En cause, les transferts de données personnelles des clients européens vers la Chine, qui pourraient enfreindre le RGPD. Cette procédure, menée au nom des 27 États membres, fait écho à de lourdes sanctions précédentes contre TikTok et Meta et expose Shein à une amende potentiellement record.
Le géant de la mode en ligne est officiellement sous investigation. La Data Protection Commission (DPC) irlandaise a annoncé l'ouverture d'une procédure formelle visant sa filiale européenne, Infinite Styles Services Co. Ltd., basée à Dublin. L'enquête se concentre sur une question centrale : la légalité des transferts de données personnelles de ses millions de clients européens vers la Chine, et leur conformité avec le Règlement Général sur la Protection des Données (RGPD).Pourquoi l'Irlande est-elle aux commandes de cette enquête européenne ?
Le choix de l'Irlande n'est pas anodin. Il découle directement du mécanisme de « guichet unique » prévu par le RGPD. Lorsqu'une entreprise établit son siège européen dans un pays de l'UE, l'autorité locale devient automatiquement le « chef de file » pour l'ensemble des 27 États membres. Protection des données oblige, ce système centralise les procédures. Shein ayant installé sa filiale EMEA à Dublin en 2023, la DPC irlandaise hérite logiquement du dossier, comme elle l'a fait pour Meta, Apple ou encore TikTok.
Cela ne signifie pas que la DPC agit en solo. Le régulateur est tenu de collaborer avec ses homologues européens, comme la CNIL en France ou le BfDI en Allemagne. La décision finale, quelle qu'elle soit, s'appliquera de manière uniforme sur tout le continent, empêchant Shein de se conformer dans un pays tout en ignorant les règles dans un autre. Graham Doyle, commissaire adjoint de la DPC, a d'ailleurs qualifié ce dossier de « priorité stratégique ».Quels sont les risques juridiques liés aux transferts de données vers la Chine ?
Le nœud du problème réside dans le statut de la Chine au regard du droit européen. La Commission européenne n'a jamais accordé de « décision d'adéquation » à Pékin, un sésame qui atteste qu'un pays tiers offre un niveau de protection des données équivalent à celui de l'UE. En l'absence de cette reconnaissance, les transferts ne peuvent reposer que sur des garanties alternatives, comme les clauses contractuelles types (SCC).
Or, ces mécanismes se heurtent à une réalité juridique locale complexe. La législation chinoise impose aux entreprises de coopérer avec les autorités et leur octroie un droit d'accès potentiellement large aux données hébergées sur son territoire. Démontrer que les informations des utilisateurs européens restent à l'abri des ingérences dans un tel contexte est une équation particulièrement difficile à résoudre pour toute entreprise.
À quelles sanctions Shein s'expose-t-il concrètement ?L'enquête de la DPC n'est pas un coup d'essai. Le régulateur irlandais a déjà montré sa fermeté sur des cas similaires. En mai 2025, TikTok a été condamné à une amende de 530 millions d'euros pour des transferts de données jugés non conformes. L'année précédente, Meta avait écopé d'une sanction record de 1,2 milliard d'euros pour ses transferts vers les États-Unis.
Pour Shein, le risque est donc majeur. L'amende potentielle peut atteindre jusqu'à 4 % de son chiffre d'affaires annuel mondial. Alors que l'entreprise a vu son activité exploser en Europe, avec des dizaines de millions de clients actifs, une condamnation pourrait non seulement se chiffrer en centaines de millions d'euros mais aussi l'obliger à revoir en profondeur son architecture technique et ses processus de gestion des données.
merci à GNT
