CNIL | SAN-2025-004 | 1er septembre 2025 | Affaire GOOGLE LLC et GOOGLE IRELAND LIMITED | CONSEILS

CONSEILS AUX RESPONSABLES DE TRAITEMENT

---

1. MAÎTRISER LE RÉGIME JURIDIQUE APPLICABLE AUX OPÉRATIONS SUR LES TERMINAUX DES UTILISATEURS : L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS ET LA DIRECTIVE EPRIVACY

 

La délibération SAN-2025-004 rappelle avec force que tout opérateur proposant un service accessible depuis un réseau public de communications électroniques — qu’il s’agisse d’une messagerie, d’un moteur de recherche, d’un réseau social ou d’une plateforme de contenu — est soumis à l’article 82 de la loi Informatique et Libertés dès lors qu’il réalise des opérations de lecture ou d’écriture d’informations sur le terminal de ses utilisateurs. La première exigence pour tout responsable de traitement consiste à identifier précisément le régime normatif applicable à chacune de ses opérations de traitement : le RGPD, la directive ePrivacy (transposée aux articles 82 de la loi Informatique et Libertés et L. 34-5 du CPCE), ou les deux en combinaison.

Il convient particulièrement de souligner que le mécanisme de guichet unique prévu par le RGPD ne s’applique pas aux opérations relevant de la directive ePrivacy. Tout opérateur établi dans un État membre de l’UE ne peut donc pas se prévaloir de la seule compétence de l’autorité de contrôle de son établissement principal pour s’exonérer des contrôles des autorités nationales compétentes, dont la CNIL, en matière de cookies et de prospection électronique. La présente affaire Google, comme la décision SAN-2024-019 concernant ORANGE ou la décision SAN-2025-005 concernant SHEIN, confirme que la CNIL conserve une compétence propre et pleine sur ces opérations réalisées sur le territoire français.

---

2. GARANTIR LA QUALITÉ JURIDIQUE DU CONSENTEMENT AUX TRACEURS : LIBERTÉ, INFORMATION, PRÉALABILITÉ ET SPÉCIFICITÉ

 

La formation restreinte identifie deux défauts distincts affectant la validité du consentement recueilli par Google lors de la création de compte : le défaut de liberté (parcours asymétrique rendant le refus plus difficile que l’acceptation) et le défaut d’information (absence d’indication que l’accès aux services est conditionné au dépôt de traceurs publicitaires).

Sur le caractère libre du consentement : tout responsable de traitement doit s’assurer que les mécanismes d’acceptation et de refus sont rigoureusement équivalents en termes d’accessibilité, de visibilité et de nombre d’étapes. La CNIL a expressément rappelé depuis ses lignes directrices du 4 juillet 2019 et sa recommandation de 2020 que « refuser doit être aussi simple qu’accepter ». Tout design asymétrique, dit « dark pattern », constitue une violation caractérisée de l’exigence de liberté du consentement. Le responsable de traitement doit documenter l’équivalence de ces mécanismes et pouvoir en justifier à tout moment.

Sur le caractère éclairé du consentement : l’utilisateur doit être informé, de manière claire, complète et accessible, avant tout dépôt de traceurs, de l’identité des responsables de traitement, des finalités poursuivies par chaque traceur, des conséquences pratiques d’un refus sur l’accès aux services, et de la durée de conservation des données collectées via ces traceurs. La formation restreinte a en l’espèce sanctionné l’absence d’information sur la conditionnalité de l’accès au service au dépôt de traceurs publicitaires, ce qui constitue une atteinte à la capacité de l’utilisateur à exercer un choix véritablement informé.

Sur le caractère préalable du consentement : aucun traceur soumis à consentement ne doit être déposé avant que l’utilisateur n’ait exprimé son choix. Ce principe, rappelé par la formation restreinte dans de nombreuses délibérations (SAN-2020-012, SAN-2021-023, SAN-2024-019, SAN-2025-005), s’impose avec la même rigueur à l’occasion de la création d’un compte que lors de la navigation sur un site web.

Sur la spécificité du consentement : le consentement donné à la réception de publicités lors de la création d’un compte ne saurait valoir consentement à la prospection directe par voie électronique au sens de l’article L. 34-5 du CPCE. Les responsables de traitement doivent donc distinguer soigneusement les différentes finalités de traitement et recueillir un consentement spécifique pour chacune d’elles.

---

3. REPENSER LE MODÈLE PUBLICITAIRE INTÉGRÉ AUX INTERFACES DE MESSAGERIE

 

La qualification de prospection directe par voie électronique retenue par la formation restreinte pour les annonces publicitaires insérées dans l’interface de messagerie Gmail constitue un signal d’alarme puissant pour tous les opérateurs pratiquant des techniques similaires. Tout message publicitaire affiché dans un espace normalement réservé à la correspondance privée — même s’il n’est pas techniquement envoyé d’un utilisateur à un autre — et prenant l’apparence d’un courriel est susceptible d’être qualifié de prospection directe par voie électronique, exigeant un consentement préalable et spécifique de l’utilisateur.

Les responsables de traitement concernés doivent impérativement :

—-Auditer leurs pratiques d’affichage publicitaire au sein de leurs interfaces de messagerie ou d’espaces de communication personnelle, en examinant si ces pratiques sont susceptibles de relever de l’article L. 34-5 du CPCE ;
—-Documenter la base légale applicable à chaque format publicitaire déployé dans ces espaces ;
—-Mettre en place un mécanisme de recueil du consentement spécifiquement dédié à ce format publicitaire si la qualification de prospection directe est retenue, en veillant à ce que ce mécanisme soit distinct du consentement général aux traceurs ;
—-Former et sensibiliser leurs équipes marketing et leurs prestataires techniques à ces exigences, souvent méconnues car distinctes du régime général des cookies.

---

4. TENIR COMPTE DE LA POSITION OCCUPÉE SUR LE MARCHÉ DANS L’APPRÉCIATION DES RISQUES DE SANCTION

 

La formation restreinte souligne explicitement que la position dominante de Google sur le marché publicitaire en ligne constitue un critère aggravant dans la détermination du montant de l’amende. Ce critère, prévu à l’article 83, §2, du RGPD, s’applique également aux opérations relevant de la directive ePrivacy en vertu de l’harmonisation instaurée par l’article 20 de la loi Informatique et Libertés.

Tout opérateur occupant une position significative sur son marché doit donc intégrer ce facteur dans son analyse des risques de sanction : une taille importante, associée à un volume élevé d’utilisateurs concernés et à des manquements répétés, est de nature à conduire à des amendes atteignant des montants très élevés. La récidive — caractérisée en l’espèce par les deux sanctions antérieures de 2020 et 2021 — est systématiquement prise en compte par la formation restreinte comme élément aggravant.

---

5. ANTICIPER LES DEMANDES D’AUDITION ET LES DROITS PROCÉDURAUX LORS DES CONTRÔLES CNIL

 

La délibération révèle que les sociétés Google ont été informées, lors de la séance de la formation restreinte, « à titre conservatoire et au regard des implications encore incertaines de la jurisprudence du Conseil constitutionnel en cette matière, de leur droit de garder le silence sur les faits qui leur étaient reprochés ». Cette information procédurale — fondée sur la décision du Conseil constitutionnel n° 2025-1154 du 8 août 2025 — constitue une évolution significative dans la pratique de la CNIL.

Tout responsable de traitement faisant l’objet d’une procédure de contrôle ou de sanction de la CNIL doit désormais être conseillé par un avocat spécialisé sur :
—-L’étendue de ses droits de la défense lors des différentes phases de la procédure (contrôle sur place, audition sur convocation, procédure devant la formation restreinte) ;
—-L’articulation entre le droit de se taire et les obligations de coopération avec l’autorité de contrôle découlant de l’article 31 du RGPD ;
—-Les modalités de présentation de ses observations en réponse au rapport de sanction, qui constituent un moment déterminant pour influencer la qualification des manquements et le montant de la sanction.

---

6. METTRE EN PLACE UNE GOUVERNANCE EFFECTIVE DE LA CONFORMITÉ COOKIES ET TRACEURS

 

L’affaire Google illustre le risque que représente une gouvernance insuffisante de la conformité cookies. Les responsables de traitement doivent :

—-Désigner un référent ou une équipe dédiée à la conformité cookies, distincte de l’équipe marketing, avec une ligne de reporting directe auprès de la direction générale et du DPO ;
—-Réaliser régulièrement des audits techniques de leur gestionnaire de consentement (Consent Management Platform, CMP), afin de vérifier que les traceurs effectivement déposés correspondent aux catégories déclarées et que les mécanismes de refus et de retrait du consentement fonctionnent correctement ;
—-Documenter de manière rigoureuse les changements apportés au parcours utilisateur relatif aux cookies, en conservant la traçabilité des versions antérieures et en justifiant chaque modification au regard des exigences réglementaires ;
—-Mettre en œuvre un processus de veille réglementaire sur les évolutions de la jurisprudence de la CNIL, du CEPD et des juridictions européennes en matière de cookies et de prospection électronique.

---

CONSEILS AUX PERSONNES CONCERNÉES

---

1. COMPRENDRE SES DROITS FACE AUX PRATIQUES DE PROSPECTION ÉLECTRONIQUE NON SOLLICITÉE

 

La délibération SAN-2025-004 rappelle que tout utilisateur d’un service de messagerie électronique dispose d’un droit fondamental à ne pas recevoir de prospection directe par voie électronique sans avoir préalablement consenti à cette réception. Ce droit, consacré par l’article L. 34-5 du CPCE, s’applique également lorsque la prospection prend la forme d’annonces publicitaires insérées dans l’interface d’une messagerie et visuellement similaires à des courriels ordinaires.

Tout utilisateur qui constate que des messages publicitaires sont affichés dans sa messagerie électronique sans qu’il y ait consenti est fondé à :
—-Exercer son droit d’opposition auprès du responsable de traitement, en lui demandant de cesser immédiatement l’affichage de telles annonces ;
—-Déposer une plainte auprès de la CNIL (formulaire disponible sur le site cnil.fr), qui est habilitée à contrôler et à sanctionner les violations de l’article L. 34-5 du CPCE.

---

2. VÉRIFIER ET, LE CAS ÉCHÉANT, RETIRER SON CONSENTEMENT AUX TRACEURS

 

La formation restreinte a sanctionné Google pour avoir recueilli, lors du parcours de création de compte, un consentement vicié (ni libre ni éclairé) au dépôt de traceurs à finalité publicitaire. Pour tout utilisateur disposant d’un compte Google, il est conseillé de :

—-Vérifier les paramètres de personnalisation des annonces dans les paramètres de son compte Google (sous « Données et confidentialité » > « Confidentialité des annonces »), afin de s’assurer que les choix exprimés reflètent ses préférences réelles ;
—-Retirer son consentement aux traceurs publicitaires si ce consentement a été donné dans un contexte où les informations fournies étaient insuffisantes pour permettre un choix pleinement informé, ce retrait étant expressément prévu par l’article 82 de la loi Informatique et Libertés et pouvant être exercé à tout moment sans que cela entraîne des conséquences négatives sur l’accès aux services essentiels ;
—-Gérer ses cookies via le gestionnaire de consentement de son navigateur ou les outils de paramétrage proposés par les sites visités, en s’assurant que les choix exprimés sont effectivement respectés.

---

3. SIGNALER À LA CNIL LES MANQUEMENTS PERSISTANTS

 

Malgré la décision SAN-2025-004 et l’injonction assortie d’une astreinte de 100 000 euros par jour de retard, tout utilisateur qui constaterait, à l’expiration du délai de six mois imparti aux sociétés Google pour se mettre en conformité, la persistance de pratiques non conformes est fondé à saisir la CNIL d’une plainte individuelle. La CNIL dispose du pouvoir de vérifier le respect de l’injonction et, le cas échéant, de liquider l’astreinte.

---

4. EXERCER SES DROITS EN MATIÈRE DE PROSPECTION COMMERCIALE

 

Tout utilisateur qui reçoit des messages publicitaires non sollicités de la part de Google ou de tout autre opérateur dispose des droits suivants :

—-Droit d’opposition à la réception de prospection directe par voie électronique (article L. 34-5 du CPCE), opposable sans condition et devant être pris en compte sans délai ;
—-Droit d’accès aux données le concernant traitées à des fins publicitaires (article 15 du RGPD), lui permettant d’obtenir une information complète sur les traceurs déposés sur son terminal, leurs finalités et la durée de conservation des données collectées ;
—-Droit de rectification et droit à l’effacement (articles 16 et 17 du RGPD), dans les conditions et limites prévues par le règlement ;
—-Droit d’introduire une réclamation auprès de la CNIL (article 77 du RGPD et article L. 34-5 du CPCE), directement accessible via le portail en ligne de la CNIL.

---

 
 
 

---

POINTS ESSENTIELS

---

Par délibération du 1er septembre 2025, la formation restreinte de la CNIL a infligé aux sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED (ci-après « GIL ») des amendes administratives d’un montant total de 325 millions d’euros — soit 200 millions d’euros à l’encontre de GOOGLE LLC et 125 millions d’euros à l’encontre de GIL — pour manquements aux articles 82 de la loi Informatique et Libertés et L. 34-5 du code des postes et des communications électroniques (CPCE), assortis d’une injonction sous astreinte de 100 000 euros par jour de retard à l’expiration d’un délai de six mois.

Cette délibération revêt une portée jurisprudentielle de premier ordre à plusieurs titres.

Sur le premier manquement — prospection électronique illicite dans Gmail (article L. 34-5 du CPCE) : en s’appuyant sur l’interprétation fonctionnelle consacrée par la CJUE dans son arrêt StWL Gesellschaft für Werbung mbH, 25 novembre 2021, C-102/20, la formation restreinte retient que l’affichage d’annonces publicitaires insérées entre les courriels privés des utilisateurs ayant activé les « fonctionnalités intelligentes » de Gmail — dans les onglets Promotions et Réseaux sociaux — constitue une utilisation du courrier électronique à des fins de prospection directe, nonobstant l’absence de stockage technique de ces annonces dans l’espace de messagerie et leur caractère dynamique. La Cour avait posé le principe, d’application immédiate, que « si des entrées publicitaires de quelque nature que ce soit apparaissent dans la boîte de réception de la messagerie Internet, il y a lieu de considérer que cette boîte de réception constitue le moyen par lequel les messages publicitaires concernés sont communiqués à cet utilisateur » (point 44). La formation restreinte écarte les modifications visuelles d’avril 2023 — jugées insuffisantes à remettre en cause le régime juridique applicable — et constate l’absence totale de recueil du consentement préalable des utilisateurs, ni lors de la création du compte, ni lors de l’activation des fonctionnalités intelligentes, pour 53 millions de comptes actifs concernés en France.

Sur le second manquement — cookies sans consentement libre et éclairé (article 82 de la loi Informatique et Libertés) : la formation restreinte relève, d’une part, que jusqu’en octobre 2023, le parcours « personnalisation express 1 étape » orientait structurellement les utilisateurs vers l’acceptation de la publicité ciblée en rendant le refus plus difficile que l’acceptation, privant ainsi le consentement de son caractère libre au sens de l’article 4, §11, du RGPD et de la délibération CNIL n° 2020-092 du 17 septembre 2020. D’autre part, après la modification d’octobre 2023 ayant introduit un bouton « tout refuser », la formation restreinte constate que le défaut d’information claire sur la conditionnalité de l’accès aux services Google au dépôt de traceurs publicitaires persiste, rendant le consentement toujours non conforme à l’exigence de clarté posée par le considérant 42 du RGPD et l’avis n° 08/2024 du CEPD du 17 avril 2024 sur les modèles « consentir ou payer » ; 74 millions de comptes sont concernés.

Sur la co-responsabilité conjointe GOOGLE LLC / GIL : la formation restreinte confirme, en s’appuyant sur sa jurisprudence antérieure — SAN-2020-012 du 7 décembre 2020 et SAN-2021-023 du 31 décembre 2021, non contestés devant le Conseil d’État (CE, 28 janvier 2022, n° 449209 ; CE, 19 juin 2020, n° 430810) — que GOOGLE LLC détermine conjointement les finalités et moyens des traitements en cause, par l’intermédiaire d’un organe décisionnel matriciel dont les décisions sont nécessairement influencées par la société-mère américaine, indépendamment du rôle opérationnel de GIL dans l’EEE.

Sur la détermination des amendes : la formation restreinte applique la notion d’entreprise au sens des articles 101 et 102 TFUE, conformément à la jurisprudence de la CJUE, grande chambre, 5 décembre 2023, C-807/21, confirmée par CJUE, cinquième chambre, 13 février 2025, C-383/23, fondant le calcul de l’amende sur le chiffre d’affaires consolidé du groupe ALPHABET Inc. Elle retient à titre de circonstances aggravantes : la gravité intrinsèque des manquements, le nombre considérable de personnes concernées, la position dominante du groupe sur le marché de la publicité en ligne, l’avantage financier certain tiré des violations — la publicité via les services Google ayant généré plusieurs dizaines de milliards de dollars en 2022 et 2023 — et, surtout, la récidive quadruple : SAN-2020-012 (décembre 2020), SAN-2021-023 (décembre 2021), SAN-2023-012 (décembre 2023), puis SAN-2025-004. Elle reconnaît à titre atténuant les mesures correctives partielles prises en cours de procédure (désactivation de certains cookies, modifications visuelles des annonces Gmail, refonte partielle du parcours de création de compte).

La portée de cette délibération excède largement le cas d’espèce. Elle consolide définitivement l’interprétation fonctionnelle et expansive de la prospection électronique inbox en droit français et européen, faisant de toute annonce publicitaire insérée dans un espace normalement réservé aux courriels privés l’équivalent d’un message non sollicité soumis au régime de consentement préalable de l’article L. 34-5 du CPCE ; elle renforce l’exigence d’un consentement véritablement éclairé lors du parcours de création de compte, imposant aux plateformes d’informer sans ambiguïté les utilisateurs sur la conditionnalité de l’accès au service au dépôt de traceurs publicitaires ; elle confirme que la récidive répétée en matière de cookies et de prospection commerciale constitue une circonstance aggravante déterminante, susceptible d’emporter des amendes calibrées sur la capacité économique réelle du groupe — et non de la seule entité sanctionnée ; et elle rappelle avec force que ni la taille d’une entreprise, ni sa position d’acteur systémique de l’internet, ne constituent des boucliers contre les exigences fondamentales du droit à la protection de la vie privée numérique.