CNIL | SAN-2025-004 | 1er septembre 2025 | Affaire GOOGLE LLC et GOOGLE IRELAND LIMITED | SAN-2025-004-11K

I.

Premier manquement : la prospection électronique sans consentement préalable dans Gmail (article L. 34-5 du CPCE)

La formation restreinte identifie un premier manquement fondamental résultant de l’affichage, par les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED (ci-après « les sociétés »), d’annonces publicitaires insérées entre les courriels des utilisateurs français du service de messagerie Gmail, sans recueil préalable de leur consentement. Ces annonces apparaissent dans les onglets « Promotions » et « Réseaux sociaux » de la boîte de réception, activés par les utilisateurs ayant choisi la fonctionnalité d’organisation intelligente de la messagerie. Bien qu’elles prennent la forme visuelle de courriels standard, ces annonces ne sont pas envoyées par un utilisateur à un autre utilisateur : elles sont insérées directement par les sociétés dans un espace normalement réservé à la correspondance privée.

La formation restreinte s’appuie ici sur l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 25 novembre 2021 (StWL Städtische Werke Lauf a.d. Pegnitz GmbH c. eprimo GmbH, C-102/20), qui a qualifié de « courrier électronique » au sens de la directive ePrivacy les messages à des fins publicitaires affichés dans une interface de messagerie électronique en prenant l’apparence d’un courriel ordinaire, dès lors qu’ils ne sont pas envoyés d’un utilisateur à l’autre. La formation restreinte juge que, sur la base de cette qualification, ces annonces constituent de la prospection directe par voie électronique au sens de l’article L. 34-5 du code des postes et des communications électroniques (CPCE), et que leur affichage nécessite donc le consentement préalable et librement exprimé des personnes concernées.

Les contrôles ont permis d’établir que ce consentement n’était pas recueilli. Les sociétés font valoir en défense que ces annonces constituent de la publicité contextuelle, distincte de la prospection électronique, et qu’elles ne relèvent donc pas du champ d’application de l’article L. 34-5 du CPCE. Cet argument est écarté par la formation restreinte, qui retient que le critère déterminant est l’insertion d’un message promotionnel dans l’espace de la messagerie personnelle de l’utilisateur, indépendamment de la qualification commerciale que les sociétés entendent lui donner. Elle observe en outre que les sociétés ont apporté des modifications visuelles à ces annonces à partir d’avril 2023, notamment en ajoutant la mention « Annonce » de manière plus visible, mais que ces adaptations n’ont pas remis en cause le régime juridique applicable : les annonces en cause ne se distinguaient toujours pas clairement des véritables courriels reçus par les utilisateurs.

La formation restreinte relève également, au titre des critères d’appréciation du manquement, que les sociétés GOOGLE constituent l’un des acteurs centraux de la publicité en ligne mondiale, que Gmail est le deuxième service de messagerie le plus utilisé au monde, et que les manquements constatés affectaient, selon les éléments communiqués au cours de la procédure, environ 53 millions de comptes d’utilisateurs français qui ont, de manière illicite, vu s’afficher les publicités en cause dans leurs messageries.

---

II.

Deuxième manquement : le dépôt de traceurs lors de la création d’un compte Google sans consentement libre et éclairé (article 82 de la loi Informatique et Libertés)

La formation restreinte retient un second manquement distinct, relatif au parcours de création d’un compte Google. Les contrôles ont mis en évidence que, lors de ce parcours, les utilisateurs se voyaient proposer un choix entre traceurs liés à l’affichage de publicités personnalisées et traceurs liés à l’affichage de publicités génériques, mais que ce choix était présenté de manière telle que l’acceptation des traceurs à finalité publicitaire personnalisée était structurellement favorisée par rapport au refus.

L’article 82 de la loi Informatique et Libertés, transposition de l’article 5, paragraphe 3, de la directive ePrivacy, pose le principe selon lequel toute opération de lecture ou d’écriture sur le terminal d’un utilisateur est soumise au recueil préalable de son consentement libre, spécifique, éclairé et univoque, sauf exception strictement définie. La formation restreinte rappelle que la validité du consentement exige notamment que le refus soit aussi simple à effectuer que l’acceptation.

En l’espèce, jusqu’en octobre 2023, le parcours de création de compte présentait les options de manière asymétrique : le refus des traceurs publicitaires personnalisés nécessitait des étapes supplémentaires par rapport à leur acceptation. Les sociétés ont ajouté en octobre 2023 un bouton permettant de refuser aussi facilement qu’accepter le dépôt de traceurs publicitaires personnalisés. La formation restreinte reconnaît cette modification, mais constate qu’une autre défaillance persiste : aucune information suffisante n’est fournie pour permettre aux utilisateurs de comprendre que l’accès aux services Google est conditionné au dépôt de traceurs publicitaires, qu’ils optent pour la publicité personnalisée ou la publicité générique. Ainsi, même après les modifications d’octobre 2023, le consentement n’est pas clair, faute d’une information complète et intelligible sur les conséquences du choix effectué lors de la création du compte.

La formation restreinte souligne que la CNIL avait déjà sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED à deux reprises, en 2020 et en 2021, pour des manquements en matière de traceurs (délibérations n° SAN-2020-012 du 7 décembre 2020 et n° SAN-2021-023), ces deux décisions ayant été confirmées par le Conseil d’État respectivement les 28 janvier 2022 et 27 juin 2022. Cette réitération est retenue comme un élément démontrant la négligence caractérisée des sociétés, qui ne pouvaient ignorer les obligations qui leur incombaient.

---

III.

Qualification et articulation des deux manquements : base textuelle et régime de compétence

L’un des enjeux juridiques majeurs de la délibération réside dans la définition précise du fondement normatif applicable à chacun des deux manquements retenus, et dans la détermination des règles de compétence qui en découlent.

Le premier manquement, relatif à la prospection électronique dans Gmail, est fondé sur l’article L. 34-5 du CPCE, qui transpose l’article 13, paragraphe 1, de la directive ePrivacy. Le second manquement, relatif aux traceurs déposés lors de la création d’un compte Google, est fondé sur l’article 82 de la loi Informatique et Libertés, qui transpose l’article 5, paragraphe 3, de la même directive.

Or, les deux manquements relèvent de la directive ePrivacy et non du RGPD proprement dit. Cette qualification est déterminante pour la question de la compétence : le mécanisme de guichet unique prévu par l’article 56 du RGPD, qui permet à l’autorité de contrôle de l’établissement principal d’un responsable de traitement transfrontalier d’agir comme autorité chef de file, n’est pas applicable aux traitements relevant de la directive ePrivacy. La formation restreinte rappelle que le Conseil d’État a expressément confirmé cette position dans sa décision du 28 janvier 2022 (Société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, au recueil), puis à nouveau dans un arrêt du 27 juin 2022 (Société AMAZON EUROPE CORE, n° 451423). La CNIL est donc compétente en tant qu’autorité nationale exclusive pour sanctionner les manquements en cause, nonobstant la circonstance que la Data Protection Commission (DPC) irlandaise serait l’autorité de contrôle chef de file des sociétés dans le cadre du RGPD.

Les sociétés avaient soulevé en défense l’argument selon lequel la création d’un compte Google constitue un traitement transfrontalier relevant du RGPD, pour lequel la DPC irlandaise serait l’autorité compétente. La formation restreinte écarte cet argument en distinguant soigneusement les traitements en cause : si le parcours de création de compte constitue une porte d’entrée commune à plusieurs traitements, ceux-ci sont distincts par leur objet et leur fondement normatif, certains relevant du RGPD (enregistrement des données personnelles, historique de navigation) et d’autres relevant de la directive ePrivacy (inscription de traceurs sur le terminal). Les sociétés ne sauraient donc être soustraites à la compétence de la CNIL pour les manquements relevant de la directive ePrivacy au motif que d’autres traitements liés au même parcours relèvent du mécanisme de guichet unique du RGPD.

Les sociétés invoquaient également le principe non bis in idem, garantie par l’article 50 de la Charte des droits fondamentaux de l’Union européenne. La formation restreinte écarte ce moyen, relevant qu’il n’est pas établi que les sociétés aient déjà été définitivement condamnées ou acquittées, par quelque autorité de contrôle ou juridiction que ce soit, pour les manquements spécifiquement visés dans la présente procédure.

---

IV.

La compétence territoriale de la CNIL et le rôle de l’établissement français

La compétence territoriale de la CNIL est fondée sur l’article 3, paragraphe I, de la loi Informatique et Libertés, qui dispose que les dispositions de la loi s’appliquent aux traitements effectués « dans le cadre des activités d’un établissement d’un responsable du traitement sur le territoire français ». La formation restreinte constate que GOOGLE France, établissement français du groupe, est chargé de la promotion et de la commercialisation des produits Google et de leurs solutions publicitaires en France, et qu’à ce titre, les opérations d’accès ou d’inscription d’informations sur les terminaux des utilisateurs situés en France à des fins publicitaires sont effectuées dans le cadre de ses activités.

Elle rappelle avoir déjà démontré ce lien dans sa délibération n° SAN-2020-012 du 7 décembre 2020, confirmée sans réserve par le Conseil d’État dans sa décision du 28 janvier 2022. Les sociétés n’ont pas contesté cette analyse lors de la présente procédure. La notion d’établissement est interprétée de façon souple, conformément à la jurisprudence constante de la CJUE (arrêt Weltimmo, 1er octobre 2015, C-230/14), selon laquelle elle s’étend à « toute activité réelle et effective, même minime, exercée au moyen d’une installation stable ».

La formation restreinte souligne en outre que les modifications organisationnelles intervenues dans la structure du groupe GOOGLE depuis la précédente procédure — notamment la réorganisation des entités européennes et des attributions de responsabilité — sont sans incidence sur la responsabilité conjointe des deux sociétés concernées (GOOGLE LLC et GOOGLE IRELAND LIMITED), qui déterminent ensemble les finalités et les moyens des traitements liés aux traceurs et à la prospection commerciale. Cette responsabilité conjointe est maintenue sur la base d’une analyse des éléments factuels soumis à la formation restreinte.

---

V.

Les modalités du contrôle et les contestations procédurales des sociétés

Les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED ont présenté plusieurs contestations relatives aux modalités dans lesquelles les contrôles ont été conduits. En premier lieu, elles ont remis en cause la légitimité de la délégation de contrôle à procéder à l’audition des salariés de GOOGLE IRELAND LIMITED, dont le siège est en Irlande, lors des contrôles réalisés dans les locaux de GOOGLE France. La formation restreinte rejette cet argument en rappelant que l’article 19 de la loi Informatique et Libertés habilite les agents à recueillir « tout renseignement et justifications utiles » lors d’un contrôle sur place, sans limitation territoriale pour l’audition des personnes présentes dans les locaux contrôlés.

En second lieu, les sociétés contestent les modalités de recueil d’informations lors des contrôles sur place des 6 décembre 2022 et 5 septembre 2023. La formation restreinte précise que le contrôle du 6 décembre 2022 constitue un contrôle sur place au sens de l’article 31 du décret n° 2019-536, et non un contrôle sur audition sur convocation au sens de l’article 34 du même décret. Elle relève que les salariés de GOOGLE France avaient eux-mêmes indiqué lors du premier contrôle du 29 novembre 2022 que les salariés de GOOGLE IRELAND LIMITED étaient les interlocuteurs pertinents pour les questions relatives à la conformité du service Gmail, et que la délégation avait informé les personnes présentes de son intention de revenir le 6 décembre 2022 pour poursuivre ses investigations, sans opposition de leur part.

En troisième lieu, les sociétés avaient demandé un sursis à statuer dans l’attente de la décision du Conseil constitutionnel sur une question prioritaire de constitutionnalité relative à l’article L. 621-12, alinéa 1er, du code monétaire et financier, portant sur l’obligation de notifier le droit de se taire lors de visites domiciliaires. Cette demande a été rejetée par le président de la formation restreinte par courrier du 30 janvier 2025. Dans le respect de la décision ultérieure n° 2025-1154 du 8 août 2025 du Conseil constitutionnel relative à la conformité aux droits et libertés garantis par la Constitution de l’article 22 de la loi Informatique et Libertés, les sociétés ont été informées, à titre conservatoire, de leur droit de garder le silence sur les faits qui leur étaient reprochés.

---

VI.

La responsabilité conjointe des deux sociétés et la question de l’unité économique

La formation restreinte affirme que GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables de traitement pour les traitements en cause, en ce qu’elles déterminent toutes deux les finalités et les moyens des opérations liées aux traceurs et à la prospection électronique sur les terminaux des utilisateurs français. Cette qualification de responsabilité conjointe au sens de l’article 26 du RGPD est maintenue nonobstant les évolutions organisationnelles intervenues dans la répartition des rôles au sein du groupe GOOGLE.

Sur la question du calcul de l’amende et du périmètre de l’unité économique, la formation restreinte reprend les développements des arrêts de la CJUE du 5 décembre 2023 (C-807/21, Deutsche Wohnen) et du 13 février 2025 (C-383/23), selon lesquels la notion d’« entreprise » au sens de l’article 83 du RGPD doit être appréhendée à la lumière des articles 101 et 102 du Traité sur le fonctionnement de l’Union européenne (TFUE), c’est-à-dire comme une unité économique pouvant regrouper plusieurs personnes morales. Cette position a également été confirmée par la Cour de cassation (ch. com., 7 juin 2023, pourvoi n° 22-10.545) et par l’Autorité de la concurrence dans plusieurs décisions.

La formation restreinte retient ainsi que, GOOGLE LLC détenant 100 % de GOOGLE IRELAND LIMITED par l’intermédiaire de sa maison mère ALPHABET Inc., il existe une présomption réfragable selon laquelle ALPHABET Inc. exerce une influence déterminante sur le comportement de ses filiales, et que les entités du groupe constituent une seule entreprise au sens du droit de la concurrence. Elle en déduit que le chiffre d’affaires de l’entreprise GOOGLE dans son ensemble constitue la base de référence pour apprécier le plafond des amendes et leur caractère dissuasif et proportionné.

---

VII.

Défenses au fond des sociétés et réponse de la formation restreinte

Les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED ont développé plusieurs arguments de fond. S’agissant du premier manquement, elles soutiennent que les annonces insérées dans Gmail relèvent d’une catégorie distincte de la prospection électronique et ne devraient pas être soumises à l’obligation de consentement préalable. Elles invoquent également avoir procédé à des adaptations visuelles significatives à partir d’avril 2023, de nature à réduire substantiellement la confusion possible avec les courriels authentiques.

S’agissant du second manquement, les sociétés font valoir que les ajouts effectués en octobre 2023 — notamment l’introduction d’un bouton de refus aussi accessible que le bouton d’acceptation — satisferaient désormais aux exigences de l’article 82 de la loi Informatique et Libertés. Elles contestent l’appréciation de la formation restreinte selon laquelle une défaillance d’information persiste après cette date.

La formation restreinte écarte ces arguments. Sur le premier point, elle rappelle la qualification établie par la CJUE et considère que les adaptations visuelles d’avril 2023, bien que prises en compte dans l’appréciation globale, ne modifient pas la qualification juridique des annonces en cause. Sur le second point, elle retient que le défaut d’information claire sur la conditionnalité du dépôt de traceurs publicitaires lors de la création d’un compte Google persiste, de sorte que le consentement ne peut être regardé comme éclairé au sens de la réglementation applicable.

Les sociétés contestent par ailleurs la volumétrie retenue par la formation restreinte, notamment le chiffre de 74 millions de comptes Google d’utilisateurs situés en France, dont 53 millions auraient été exposés aux annonces publicitaires litigieuses dans leur messagerie. La formation restreinte maintient ces chiffres sur la base des éléments communiqués lors des contrôles et des procédures contradictoires.

---

VIII.

La question du droit au silence et la décision du Conseil constitutionnel

Un aspect procédural notable de la délibération concerne l’application du droit au silence dans le cadre de la procédure de sanction de la CNIL. Prenant acte de la décision n° 2025-1154 du 8 août 2025 du Conseil constitutionnel relative à la conformité aux droits et libertés garantis par la Constitution de l’article 22 de la loi n° 78-17 du 6 janvier 1978, la formation restreinte a informé les sociétés, à titre conservatoire et « au regard des implications encore incertaines de la jurisprudence du Conseil constitutionnel en cette matière », de leur droit de garder le silence sur les faits qui leur étaient reprochés.

Cette mention, expressément incluse dans le préambule de la délibération, illustre l’évolution en cours du droit processuel applicable aux procédures administratives répressives, sous l’effet conjugué de la jurisprudence constitutionnelle, de la Convention européenne de sauvegarde des droits de l’homme et de la jurisprudence de la Cour européenne des droits de l’homme relative au droit à un procès équitable. La formation restreinte témoigne ainsi d’une attention particulière à la conformité de ses procédures aux garanties fondamentales reconnues aux personnes mises en cause.

Il convient de noter que les sociétés avaient préalablement cherché à exploiter la procédure de question prioritaire de constitutionnalité pour obtenir un sursis à statuer. Cette tentative a été rejetée par le président de la formation restreinte, qui a considéré que la QPC soumise au Conseil constitutionnel concernait un cadre normatif différent (l’article L. 621-12 du code monétaire et financier, relatif aux visites domiciliaires de l’Autorité des marchés financiers) et ne justifiait pas de suspendre la procédure CNIL.

---

IX.

L’injonction de mise en conformité et les engagements requis

Au-delà des amendes administratives, la formation restreinte prononce une injonction de mise en conformité adressée conjointement aux deux sociétés, assortie d’une astreinte d’un montant de 100 000 euros par jour de retard, liquidable à l’issue d’un délai de six mois suivant la notification de la délibération. Cette injonction porte sur deux obligations distinctes :

En premier lieu, s’agissant du manquement à l’article 82 de la loi Informatique et Libertés, les sociétés sont tenues de fournir une information suffisante pour permettre aux utilisateurs situés en France de comprendre que des cookies poursuivant une finalité publicitaire seront nécessairement déposés lors de la création d’un compte Google. Cette obligation d’information doit permettre à l’utilisateur de saisir pleinement la portée de ses choix et d’exercer un consentement véritablement éclairé.

En second lieu, s’agissant du manquement à l’article L. 34-5 du CPCE, les sociétés sont tenues de recueillir le consentement préalable des utilisateurs situés en France avant toute opération de prospection électronique sur leur compte Gmail prenant la forme d’annonces publicitaires insérées entre les courriels.

La formation restreinte fixe un délai de six mois pour se conformer à ces injonctions. L’astreinte journalière de 100 000 euros tient compte, selon elle, du chiffre d’affaires des sociétés et des moyens financiers, humains et techniques dont elles disposent pour remédier aux manquements constatés, dont la correction n’appelle pas de développements techniques particulièrement complexes au regard des ressources du groupe GOOGLE.

 
 
 

---

POINTS ESSENTIELS

---