CNIL | SAN-2025-004 | 1er septembre 2025 | Affaire GOOGLE LLC et GOOGLE IRELAND LIMITED | ANALYSE CRITIQUE

## LA COMPÉTENCE DE LA CNIL : UN ENJEU STRATÉGIQUE

Rejet de la compétence du guichet unique RGPD

Les sociétés ont soutenu que le mécanisme de guichet unique prévu à l’article 56 du RGPD devait s’appliquer et que la Data Protection Commission irlandaise (DPC) était seule compétente, au motif que les traitements en cause s’inscrivaient dans le cadre du traitement transfrontalier des données personnelles régi par le RGPD. La formation restreinte rejette cette argumentation de manière ferme et motivée, en rappelant que le mécanisme de coopération entre autorités de contrôle prévu au chapitre VII du RGPD ne s’applique pas aux mesures de mise en œuvre et de contrôle de la directive ePrivacy, lesquelles relèvent de la compétence exclusive des autorités nationales en vertu de l’article 15 bis de ladite directive. Cette position avait déjà été consacrée par le Conseil d’État dans sa décision du 28 janvier 2022 (CE, 10ème et 9ème chambres réunies, n° 449209), confirmant sans réserve la délibération antérieure de la CNIL à l’encontre de GOOGLE (SAN-2020-012), et réaffirmée dans l’arrêt AMAZON du 27 juin 2022 (CE, n° 451423).

La formation restreinte établit également qu’aucune violation du principe non bis in idem garanti par l’article 50 de la Charte des droits fondamentaux de l’Union européenne n’est caractérisée, dans la mesure où il n’est pas établi que les sociétés auraient déjà été définitivement condamnées ou acquittées pour les manquements spécifiquement visés dans la présente procédure. Elle souligne en outre que le parcours de création de compte Google, bien qu’il constitue une même « porte d’entrée » pour plusieurs traitements, n’en régit pas moins des opérations aux objets distincts — inscription de cookies, enregistrement de l’historique de navigation, etc. — encadrés par des textes différents et soumis à des règles de compétence différentes, ce qui fait obstacle à toute double sanction pour des faits identiques.

Compétence territoriale fondée sur l’établissement français

La territorialité de la compétence de la CNIL est établie sur le fondement de l’article 3, paragraphe I, de la loi Informatique et Libertés, qui soumet à la loi française les traitements effectués dans le cadre des activités d’un établissement situé sur le territoire français. La formation restreinte rappelle que la société GOOGLE France constitue un tel établissement, chargée de la promotion et de la commercialisation des produits Google et de leurs solutions publicitaires en France, et que les opérations d’accès ou d’inscription d’informations sur les terminaux des utilisateurs en France sont bien effectuées dans le cadre des activités de cet établissement. Cette analyse, validée par le Conseil d’État en 2022, n’a pas été utilement contestée par les sociétés au cours de la présente procédure.

La formation restreinte examine avec soin les modalités du contrôle opéré dans les locaux de GIL le 5 septembre 2023 et rejette la contestation soulevée par les sociétés relatives à l’audition de salariés de GIL lors des contrôles sur place. Elle relève que l’article 19 de la loi Informatique et Libertés confère aux agents habilités le pouvoir de recueillir tout renseignement et justification utile, sans limitation territoriale, et que rien n’impose que les personnes interrogées soient préalablement informées du contrôle.

---

## PREMIER MANQUEMENT — LA PROSPECTION ÉLECTRONIQUE SANS CONSENTEMENT DANS GMAIL (ARTICLE L. 34-5 DU CPCE)

La qualification juridique des annonces Gmail comme prospection directe

La formation restreinte constate que les sociétés proposent aux utilisateurs de Gmail d’activer des « fonctionnalités intelligentes » organisant leur boîte de réception en trois onglets : « Principale », « Promotions » et « Réseaux sociaux ». Les utilisateurs ayant activé ce paramètre se voient afficher, dans les onglets « Promotions » et « Réseaux sociaux », des messages publicitaires faisant la promotion de biens ou de services, présentés dans un format visuellement indiscernable des courriels réels — même adresse d’expéditeur, même mise en page, même emplacement dans la liste des messages, à l’exception d’un marquage « Annonce » discret.

La formation restreinte qualifie ces annonces de « prospection directe par courrier électronique » au sens de l’article L. 34-5 du CPCE, en s’appuyant expressément sur l’arrêt de la Cour de justice de l’Union européenne du 25 novembre 2021 (StWL Städtische Werke Lauf a.d. Pegnitz GmbH c. eprimo GmbH, C-102/20), aux termes duquel des messages commerciaux affichés dans un espace normalement réservé aux courriels privés, en prenant l’apparence de véritables courriels, constituent de la prospection directe par courrier électronique même s’ils ne sont pas « envoyés » au sens classique. Le fait que ces annonces s’affichent dans la boîte de réception et prennent la forme de courriels — plutôt que d’apparaître dans un espace publicitaire clairement distinct — est déterminant pour retenir cette qualification.

L’absence de consentement préalable

L’article L. 34-5 du CPCE exige le recueil du consentement préalable des personnes physiques avant toute opération de prospection directe par voie électronique. La formation restreinte constate que les sociétés n’ont pas recueilli ce consentement auprès des utilisateurs résidant en France. Elle note certes que les sociétés ont apporté des modifications visuelles aux annonces dès avril 2023, destinées à mieux les distinguer des courriels authentiques. Elle considère toutefois que ces ajustements cosmétiques — ajout d’un fond de couleur légèrement différent, mention « Annonce » — ne sont pas de nature à remettre en cause le régime juridique applicable, dans la mesure où les annonces demeurent insérées dans la boîte de réception et ne se distinguent toujours pas clairement des véritables courriels de la perspective d’un utilisateur ordinaire.

La responsabilité conjointe des deux sociétés

La formation restreinte établit que GOOGLE LLC et GIL sont responsables conjointes du traitement en cause, dans la mesure où elles déterminent toutes deux les finalités et les moyens des opérations liées au dépôt de traceurs et à la prospection commerciale dans Gmail. Elle précise que les changements organisationnels intervenus au cours de la procédure — notamment les évolutions dans la répartition des rôles entre entités du groupe — sont sans incidence sur la responsabilité conjointe, dès lors que ces deux sociétés continuaient de déterminer conjointement les finalités et les moyens des traitements en cause. Cette analyse de responsabilité conjointe constitue un point de doctrine important, applicable à tout groupe international structurant son activité commerciale en France via une entité locale et une entité européenne.

---

## DEUXIÈME MANQUEMENT — LE CONSENTEMENT NON LIBRE ET NON ÉCLAIRÉ LORS DE LA CRÉATION DE COMPTE GOOGLE (ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS)

Le parcours de création de compte et le défaut de consentement libre

La formation restreinte constate que, lors de la création d’un compte Google, les utilisateurs sont incités à choisir les traceurs liés à l’affichage de publicités personnalisées, au détriment de ceux liés à l’affichage de publicités génériques. Elle relève notamment que, jusqu’en octobre 2023, le parcours présentait un bouton d’acceptation des traceurs publicitaires personnalisés mis en évidence, tandis que le refus supposait des étapes supplémentaires ou un parcours moins fluide. Cette architecture du consentement, classiquement désignée sous le terme de dark pattern ou d’interface déloyale, aboutissait à une acceptation par défaut ou par facilité, ne satisfaisant pas à l’exigence d’un consentement « libre » au sens de l’article 82 de la loi Informatique et Libertés.

En octobre 2023, les sociétés ont ajouté un bouton permettant de refuser aussi facilement que d’accepter les traceurs liés à la publicité personnalisée. La formation restreinte prend acte de cette amélioration mais constate que le défaut de consentement clair subsiste néanmoins : aucune information n’indique clairement, lors du parcours de création de compte, que l’accès aux services du groupe GOOGLE est conditionné au dépôt de traceurs liés à la publicité générique ou personnalisée selon le choix de l’utilisateur. Autrement dit, l’utilisateur ne comprend pas que son refus des cookies publicitaires personnalisés entraîne néanmoins le dépôt de cookies liés à la publicité générique, et que l’accès aux services est, dans tous les cas, conditionné au dépôt de traceurs d’une finalité ou d’une autre.

La condition de « consentement éclairé » : information sur la conditionnalité du service

La formation restreinte consacre ici un principe qui dépasse le seul cas GOOGLE : l’accès à un service peut, en principe, être conditionné au dépôt de traceurs publicitaires sur les terminaux des utilisateurs, mais à la condition expresse que ces derniers aient une compréhension complète et claire de la valeur, de la portée et des conséquences de leurs choix. Ce n’est pas le modèle dit « consentir ou payer » (consent or pay) qui est en cause ici — la CNIL a par ailleurs publié un avis du CEPD sur cette question — mais l’absence d’information suffisante permettant aux utilisateurs de comprendre que des cookies à finalité publicitaire seront nécessairement déposés lors de la création d’un compte Google.

Le défaut d’information porte spécifiquement sur le fait que l’utilisateur n’est pas informé, lors du parcours de création de compte, que l’accès aux services est conditionné au dépôt de traceurs publicitaires — ce que la CNIL avait pourtant déjà signalé dans le cadre de sa délibération SAN-2021-023, dans laquelle la société avait été mise en demeure de remédier à ce type de défaillance informationnelle. La persistance du manquement malgré des sanctions antérieures (SAN-2020-012 en 2020 et SAN-2021-023 en 2021) est relevée par la formation restreinte comme facteur aggravant la caractérisation de la négligence.

---

## LES MOYENS DE DÉFENSE DES SOCIÉTÉS ET LEUR REJET

Sur la qualification des annonces Gmail

Les sociétés ont contesté la qualification de « prospection directe par courrier électronique » en faisant valoir que les annonces affichées dans Gmail ne sont pas « envoyées » par un expéditeur à un destinataire au sens technique et juridique, mais simplement « affichées » dans un espace de la boîte de réception, à l’initiative de la plateforme et non d’un tiers. Elles ont soutenu que cette distinction technique fait obstacle à l’application de l’article L. 34-5 du CPCE, lequel vise les communications électroniques adressées « à » une personne. La formation restreinte rejette cet argument en confirmant que la qualification juridique de l’arrêt CJUE du 25 novembre 2021 repose précisément sur l’effet produit sur l’utilisateur — se voir adresser un message publicitaire dans un espace normalement réservé à ses courriels privés — et non sur la technique d’acheminement.

Sur la validité du consentement recueilli lors de la création de compte

Les sociétés ont fait valoir, d’une part, que les utilisateurs étaient librement informés de leurs choix et pouvaient choisir entre publicités personnalisées et publicités génériques et, d’autre part, que le modèle mis en place répondait aux exigences de l’avis 5/2020 du Comité européen de la protection des données (CEPD) sur le consentement. La formation restreinte rejette cette argumentation en relevant que l’information fournie lors du parcours de création de compte ne permettait pas aux utilisateurs de comprendre que l’accès aux services était, dans tous les cas, conditionné au dépôt de traceurs publicitaires — qu’ils optent pour la personnalisation ou non.

Sur l’absence de guichet unique et le principe non bis in idem

Comme indiqué supra, les sociétés ont tenté de faire prévaloir la compétence exclusive de la DPC irlandaise et d’invoquer le risque de double sanction. Ces deux moyens ont été écartés, le premier en raison de l’inapplicabilité du guichet unique aux matières relevant de la directive ePrivacy, le second faute de décision définitive antérieure portant sur les mêmes faits.

Sur le droit au silence

Un point procédural notable mérite attention : les sociétés ont été informées, à titre conservatoire et au regard des implications encore incertaines de la jurisprudence du Conseil constitutionnel, de leur droit de garder le silence sur les faits qui leur étaient reprochés, et elles ont eu la parole en dernier. Cette mention formelle dans la délibération fait écho à la décision du Conseil constitutionnel n° 2025-1154 du 8 août 2025, relative à la conformité aux droits et libertés garantis par la Constitution de l’article 22 de la loi Informatique et Libertés. Les sociétés avaient d’ailleurs sollicité un sursis à statuer dans l’attente d’une décision du Conseil constitutionnel relative à l’article L. 621-12 alinéa 1er du code monétaire et financier — portant sur le droit au silence lors des visites domiciliaires de l’AMF — ce qui révèle une stratégie de défense axée sur le transfert de la jurisprudence constitutionnelle relative aux droits de la défense dans le champ des procédures de sanction administrative.

---

## ANALYSE CRITIQUE DES RAISONNEMENTS JURIDIQUES

La constitutionnalisation rampante des droits de la défense dans les procédures CNIL

La mention du droit au silence dans la délibération SAN-2025-004 est à ce stade inédite dans la pratique de la formation restreinte. Elle illustre l’impact de la décision du Conseil constitutionnel n° 2025-1154 du 8 août 2025, rendue à peine trois semaines avant la délibération, sur la procédure de sanction. Si la portée exacte de cette décision sur les procédures CNIL reste à préciser — la CNIL n’est ni une juridiction pénale ni une autorité de poursuite dotée de pouvoirs coercitifs analogues à ceux de l’AMF — sa prise en compte formelle dans la délibération signale une évolution procédurale potentiellement significative pour l’ensemble des procédures de sanction administrative. Les praticiens devront surveiller attentivement la manière dont la formation restreinte integrera ce droit dans ses futures procédures.

Le traitement de la responsabilité conjointe dans les groupes internationaux

La formation restreinte confirme et approfondit sa doctrine sur la responsabilité conjointe au sein des groupes internationaux. Elle établit que GOOGLE LLC et GIL sont conjointement responsables non pas parce qu’elles ont formellement signé une convention de responsabilité conjointe au sens de l’article 26 du RGPD, mais parce qu’elles déterminent toutes deux, en pratique, les finalités et les moyens des opérations en cause. Cette analyse fonctionnelle — qui fait primer la réalité économique et organisationnelle sur la structure juridique formelle — est cohérente avec la jurisprudence de la CJUE sur la notion d’entreprise en droit de la concurrence et avec la logique de l’article 4, point 7, du RGPD définissant le responsable de traitement par référence à celui qui « détermine » les finalités et les moyens du traitement.

La qualification des annonces Gmail : une extension jurisprudentielle décisive

La qualification des annonces Gmail en « prospection directe par courrier électronique » constitue la contribution doctrinale la plus significative de cette délibération. En s’appuyant sur l’arrêt CJUE du 25 novembre 2021, la formation restreinte confirme que la protection assurée par l’article L. 34-5 du CPCE — et par l’article 13 de la directive ePrivacy — ne peut être contournée en modifiant la technique d’affichage des messages publicitaires, dès lors que ceux-ci s’insèrent dans un espace normalement réservé aux communications privées et en adoptent les apparences. Cette interprétation finaliste et fonctionnelle est particulièrement robuste car elle a pour effet de neutraliser les stratégies d’évasion réglementaire fondées sur des innovations techniques destinées à créer une zone grise entre publicité classique et communication électronique personnelle.

La même logique avait déjà été appliquée, quelques semaines plus tôt, dans la délibération SAN-2024-019 du 14 novembre 2024 sanctionnant la société ORANGE pour des pratiques comparables dans sa messagerie Mail Orange, ce qui confirme l’émergence d’un corpus jurisprudentiel cohérent et consolidé sur ce point.

La conditionnalité du service au dépôt de traceurs : entre « consentir ou payer » et libre information

La délibération SAN-2025-004 apporte une clarification utile sur la distinction entre le modèle « consentir ou payer » et la simple conditionnalité du service au dépôt de traceurs publicitaires. La formation restreinte ne remet pas en cause le principe selon lequel un service peut être conditionné au dépôt de traceurs — ce que le CEPD a admis sous conditions dans son avis 08/2024 — mais elle exige que l’utilisateur soit pleinement informé de cette conditionnalité et de ses conséquences concrètes. L’apport de la délibération est ici de préciser le standard informationnel minimal : l’utilisateur doit comprendre que des cookies à finalité publicitaire seront déposés quel que soit son choix entre publicité personnalisée et publicité générique, et que l’accès au service est subordonné à cette réalité. Ce standard est plus exigeant que la simple fourniture d’un bouton de refus visible : il requiert une information substantielle sur la nature et la portée de la contrainte imposée à l’utilisateur.

Le récidivisme comme facteur d’aggravation

La formation restreinte relève expressément que les sociétés GOOGLE LLC et GIL avaient déjà été sanctionnées par la CNIL à deux reprises — en 2020 (SAN-2020-012) et en 2021 — pour des manquements en matière de traceurs. Ce constat de récidivisme est mobilisé pour caractériser une négligence aggravée : les sociétés « ne pouvaient pas ignorer » leurs obligations, au regard des précédentes sanctions et des recommandations publiques de la CNIL. Cette logique de récidivisme normatif — qui n’est pas une récidive pénale stricto sensu mais une circonstance aggravante dans l’appréciation de la négligence au sens de l’article 83, §2, b) et e) du RGPD — est un indicateur fort de l’évolution de la pratique répressive de la CNIL vers une approche plus sévère à l’égard des acteurs qui ne tirent pas les conséquences des sanctions antérieures.

---

## LA DÉCISION DU CONSEIL CONSTITUTIONNEL N° 2025-1154 DU 8 AOÛT 2025

La délibération SAN-2025-004 fait expressément référence à la décision du Conseil constitutionnel n° 2025-1154 du 8 août 2025 relative à la conformité aux droits et libertés garantis par la Constitution de l’article 22 de la loi Informatique et Libertés. Cette décision a été rendue à la suite d’une question prioritaire de constitutionnalité (QPC) dont le contenu précis n’est pas intégralement détaillé dans la délibération, mais dont les implications ont conduit la formation restreinte à notifier aux sociétés leur droit au silence. La chronologie est révélatrice : la décision du Conseil constitutionnel est du 8 août 2025, la clôture de l’instruction est du 26 mai 2025, et la délibération est du 1er septembre 2025. La notification du droit au silence a donc été faite à titre conservatoire, la formation restreinte ayant anticipé la portée potentielle de cette décision sur ses propres procédures sans attendre une clarification jurisprudentielle définitive.

Cette démarche préventive témoigne d’une sensibilité accrue de la CNIL aux garanties constitutionnelles dans ses procédures répressives, dans un contexte où plusieurs autorités administratives indépendantes ont dû adapter leurs procédures à la suite de décisions du Conseil constitutionnel étendant les droits de la défense. Elle ouvre la voie à une réflexion plus large sur la nature de la procédure de sanction CNIL et sa compatibilité avec les exigences constitutionnelles et conventionnelles applicables aux sanctions à caractère répressif.

---

## LE RÉGIME JURIDIQUE APPLICABLE : DIRECTIVE EPRIVACY VERSUS RGPD

L’inapplicabilité du RGPD aux manquements retenus

Un aspect structurant de la délibération SAN-2025-004 est l’articulation précise des textes applicables. La formation restreinte établit clairement que les manquements retenus — dépôt de traceurs sans consentement valable et prospection électronique sans consentement préalable — relèvent exclusivement de la directive ePrivacy, transposée en droit français par l’article 82 de la loi Informatique et Libertés et l’article L. 34-5 du CPCE, et non du RGPD. Cette distinction n’est pas purement formelle : elle emporte des conséquences directes sur la compétence (nationale versus guichet unique), sur les bases légales applicables, et sur le régime répressif.

La formation restreinte est ainsi amenée à préciser, de manière pédagogique, que le parcours de création de compte Google constitue une même porte d’entrée pour plusieurs traitements distincts, régis par des textes différents : les cookies et la prospection électronique relèvent de la directive ePrivacy, tandis que d’autres traitements — enregistrement de l’historique de navigation YouTube, traitement des données de connexion — relèvent du RGPD et seraient soumis au mécanisme du guichet unique si la DPC irlandaise était l’autorité chef de file pour ces traitements transfrontaliers.

La cohérence du régime répressif

La formation restreinte justifie l’application du régime répressif de la loi Informatique et Libertés — et notamment le calcul des amendes en pourcentage du chiffre d’affaires mondial de l’entreprise au sens d’unité économique — par la référence directe et explicite opérée par le considérant 150 du RGPD à la notion d’entreprise en droit de la concurrence. En s’appuyant sur les arrêts de la CJUE du 5 décembre 2023 (C-807/21) et du 13 février 2025 (C-383/23), la formation restreinte confirme que la notion d’entreprise contenue à l’article 83 du RGPD doit être appréhendée au regard du droit de la concurrence, lequel comprend toute entité économique même si elle est constituée de plusieurs personnes morales. Cette analyse conduit à retenir le chiffre d’affaires de la société mère ALPHABET Inc. comme base de calcul du plafond de l’amende, et non le seul chiffre d’affaires de GOOGLE LLC ou de GIL prises isolément.

---

## ARTICULATION AVEC LES PRÉCÉDENTS ET LA JURISPRUDENCE CITÉE

La délibération SAN-2025-004 s’inscrit dans un corpus jurisprudentiel dense que la formation restreinte mobilise avec précision. La délibération SAN-2020-012 du 7 décembre 2020, confirmée par le Conseil d’État le 28 janvier 2022 (n° 449209), avait déjà établi la compétence exclusive de la CNIL pour sanctionner les manquements relatifs aux traceurs et à la prospection électronique concernant des utilisateurs en France, indépendamment de la localisation de l’établissement principal du responsable de traitement. La délibération SAN-2021-023, quant à elle, avait mis GOOGLE en demeure de corriger des défaillances dans le recueil du consentement lors de la création de compte — mise en demeure qui n’avait manifestement pas produit les effets escomptés, puisque la formation restreinte constate la persistance des manquements dans la présente procédure.

L’arrêt du Conseil d’État du 27 juin 2022 (AMAZON, n° 451423) confirme la portée générale de la règle d’incompétence du guichet unique pour les matières relevant de la directive ePrivacy, ce qui consolide une ligne jurisprudentielle qui pourrait servir de base à des procédures similaires contre d’autres plateformes numériques opérant en France via une entité européenne de siège dans un autre État membre. La délibération SAN-2024-019 (ORANGE, 14 novembre 2024) fournit, quant à elle, un précédent direct sur la qualification des annonces insérées dans une messagerie comme prospection électronique directe, et confirme que la solution retenue à l’égard de GOOGLE n’est pas spécifique à un acteur mais s’applique à tout fournisseur de service de messagerie électronique qui commercialise des espaces publicitaires à l’intérieur de la boîte de réception.

---

## QUESTIONS DE DROIT OUVERTES

La délimitation du champ de la directive ePrivacy face aux services d’IA générative

La délibération SAN-2025-004 tranche des questions relatives à un modèle publicitaire fondé sur des cookies et sur l’insertion de messages dans une boîte de réception de messagerie. Ces mêmes questions se poseront inévitablement, et dans des termes plus complexes, à propos des assistants conversationnels et des services d’intelligence artificielle générative qui collectent des informations sur les comportements des utilisateurs afin de personnaliser leurs réponses. La qualification de tels collectes et traitements — relevant-ils de la directive ePrivacy, du RGPD, ou des deux ? — est une question de droit ouverte dont la résolution conditionnera la compétence des autorités nationales versus le mécanisme de guichet unique.

L’impact de la décision n° 2025-1154 du Conseil constitutionnel sur les procédures de sanction CNIL

La prise en compte du droit au silence dans la procédure SAN-2025-004 ouvre un chantier doctrinal important. Si la procédure de sanction CNIL est qualifiée d’accusatoire ou si les garanties constitutionnelles applicables aux sanctions à caractère punitif lui sont étendues, plusieurs aspects de la procédure actuelle — notamment l’obligation de communication de documents et la pratique des contrôles sur place — pourraient être remis en cause. Cette évolution, si elle se confirmait, rapprocherait la procédure CNIL des standards procéduraux applicables aux sanctions prononcées par des autorités disposant de véritables pouvoirs d’enquête pénale.

La question de la conditionnalité du service et l’avis du CEPD sur le modèle « consentir ou payer »

La délibération SAN-2025-004 s’inscrit dans un contexte plus large de réflexion sur le modèle « consentir ou payer », à propos duquel le CEPD a rendu son avis 08/2024. Sans se prononcer directement sur ce modèle, la formation restreinte pose néanmoins le principe selon lequel la conditionnalité de l’accès au service au dépôt de traceurs est licite sous condition d’une information claire et complète. La frontière entre information suffisante et information insuffisante, dans ce contexte, est une question de droit et de fait qui donnera nécessairement lieu à de nouvelles procédures et à de nouvelles délibérations dans les mois à venir.

---

 
 
 

---

POINTS ESSENTIELS

---

Par délibération du 1er septembre 2025, la formation restreinte de la CNIL a infligé aux sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED (ci-après « GIL ») des amendes administratives d’un montant total de 325 millions d’euros — soit 200 millions d’euros à l’encontre de GOOGLE LLC et 125 millions d’euros à l’encontre de GIL — pour manquements aux articles 82 de la loi Informatique et Libertés et L. 34-5 du code des postes et des communications électroniques (CPCE), assortis d’une injonction sous astreinte de 100 000 euros par jour de retard à l’expiration d’un délai de six mois.

Cette délibération revêt une portée jurisprudentielle de premier ordre à plusieurs titres.

Sur le premier manquement — prospection électronique illicite dans Gmail (article L. 34-5 du CPCE) : en s’appuyant sur l’interprétation fonctionnelle consacrée par la CJUE dans son arrêt StWL Gesellschaft für Werbung mbH, 25 novembre 2021, C-102/20, la formation restreinte retient que l’affichage d’annonces publicitaires insérées entre les courriels privés des utilisateurs ayant activé les « fonctionnalités intelligentes » de Gmail — dans les onglets Promotions et Réseaux sociaux — constitue une utilisation du courrier électronique à des fins de prospection directe, nonobstant l’absence de stockage technique de ces annonces dans l’espace de messagerie et leur caractère dynamique. La Cour avait posé le principe, d’application immédiate, que « si des entrées publicitaires de quelque nature que ce soit apparaissent dans la boîte de réception de la messagerie Internet, il y a lieu de considérer que cette boîte de réception constitue le moyen par lequel les messages publicitaires concernés sont communiqués à cet utilisateur » (point 44). La formation restreinte écarte les modifications visuelles d’avril 2023 — jugées insuffisantes à remettre en cause le régime juridique applicable — et constate l’absence totale de recueil du consentement préalable des utilisateurs, ni lors de la création du compte, ni lors de l’activation des fonctionnalités intelligentes, pour 53 millions de comptes actifs concernés en France.

Sur le second manquement — cookies sans consentement libre et éclairé (article 82 de la loi Informatique et Libertés) : la formation restreinte relève, d’une part, que jusqu’en octobre 2023, le parcours « personnalisation express 1 étape » orientait structurellement les utilisateurs vers l’acceptation de la publicité ciblée en rendant le refus plus difficile que l’acceptation, privant ainsi le consentement de son caractère libre au sens de l’article 4, §11, du RGPD et de la délibération CNIL n° 2020-092 du 17 septembre 2020. D’autre part, après la modification d’octobre 2023 ayant introduit un bouton « tout refuser », la formation restreinte constate que le défaut d’information claire sur la conditionnalité de l’accès aux services Google au dépôt de traceurs publicitaires persiste, rendant le consentement toujours non conforme à l’exigence de clarté posée par le considérant 42 du RGPD et l’avis n° 08/2024 du CEPD du 17 avril 2024 sur les modèles « consentir ou payer » ; 74 millions de comptes sont concernés.

Sur la co-responsabilité conjointe GOOGLE LLC / GIL : la formation restreinte confirme, en s’appuyant sur sa jurisprudence antérieure — SAN-2020-012 du 7 décembre 2020 et SAN-2021-023 du 31 décembre 2021, non contestés devant le Conseil d’État (CE, 28 janvier 2022, n° 449209 ; CE, 19 juin 2020, n° 430810) — que GOOGLE LLC détermine conjointement les finalités et moyens des traitements en cause, par l’intermédiaire d’un organe décisionnel matriciel dont les décisions sont nécessairement influencées par la société-mère américaine, indépendamment du rôle opérationnel de GIL dans l’EEE.

Sur la détermination des amendes : la formation restreinte applique la notion d’entreprise au sens des articles 101 et 102 TFUE, conformément à la jurisprudence de la CJUE, grande chambre, 5 décembre 2023, C-807/21, confirmée par CJUE, cinquième chambre, 13 février 2025, C-383/23, fondant le calcul de l’amende sur le chiffre d’affaires consolidé du groupe ALPHABET Inc. Elle retient à titre de circonstances aggravantes : la gravité intrinsèque des manquements, le nombre considérable de personnes concernées, la position dominante du groupe sur le marché de la publicité en ligne, l’avantage financier certain tiré des violations — la publicité via les services Google ayant généré plusieurs dizaines de milliards de dollars en 2022 et 2023 — et, surtout, la récidive quadruple : SAN-2020-012 (décembre 2020), SAN-2021-023 (décembre 2021), SAN-2023-012 (décembre 2023), puis SAN-2025-004. Elle reconnaît à titre atténuant les mesures correctives partielles prises en cours de procédure (désactivation de certains cookies, modifications visuelles des annonces Gmail, refonte partielle du parcours de création de compte).

La portée de cette délibération excède largement le cas d’espèce. Elle consolide définitivement l’interprétation fonctionnelle et expansive de la prospection électronique inbox en droit français et européen, faisant de toute annonce publicitaire insérée dans un espace normalement réservé aux courriels privés l’équivalent d’un message non sollicité soumis au régime de consentement préalable de l’article L. 34-5 du CPCE ; elle renforce l’exigence d’un consentement véritablement éclairé lors du parcours de création de compte, imposant aux plateformes d’informer sans ambiguïté les utilisateurs sur la conditionnalité de l’accès au service au dépôt de traceurs publicitaires ; elle confirme que la récidive répétée en matière de cookies et de prospection commerciale constitue une circonstance aggravante déterminante, susceptible d’emporter des amendes calibrées sur la capacité économique réelle du groupe — et non de la seule entité sanctionnée ; et elle rappelle avec force que ni la taille d’une entreprise, ni sa position d’acteur systémique de l’internet, ne constituent des boucliers contre les exigences fondamentales du droit à la protection de la vie privée numérique.