Alors il se peut que ce soit uniquement pour les client qui utilisent Chrome 80+, qui impose un format de cookie spécifique. Si le cookie posé par ton Thelia ne respecte pas ce format, il n'est tout simplement pas transmis lorsque Paypal redirige le client vers la page "merci". Il y a donc une perte de session.
L'histoire longue : https://web.dev/samesite-cookies-explained
L'histoire courte : dans ton .htaccess (ou ton apache2.conf), ajoute la directive suivante :
<If "%{HTTP_USER_AGENT} !~ /(iPhone; CPU iPhone OS 1[0-2]|iPad; CPU OS 1[0-2]|iPod touch; CPU iPhone OS 1[0-2]|Macintosh; Intel Mac OS X.*Version\x2F1[0-2].*Safari)/i">
Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure;SameSite=None
</If>
Le module mod_header doit être installé.