CNIL | SAN-2025-004 | 1er septembre 2025 | Affaire GOOGLE LLC et GOOGLE IRELAND LIMITED | SAN-2025-004-ESSENTIELS

1. Les annonces Gmail qualifiées de prospection électronique soumise à consentement

La formation restreinte retient que les annonces publicitaires affichées par les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED au sein des onglets « Promotions » et « Réseaux sociaux » de la messagerie Gmail constituent de la prospection directe par courrier électronique au sens de l’article L. 34-5 du CPCE. Cette qualification repose sur l’arrêt de la CJUE du 25 novembre 2021 (StWL Städtische Werke Lauf a.d. Pegnitz GmbH c. eprimo GmbH, C-102/20), qui assimile à un « courrier électronique » tout message à finalité publicitaire inséré dans l’interface d’une messagerie en prenant l’apparence d’un courriel ordinaire, dès lors qu’il n’est pas envoyé d’un utilisateur à l’autre. En l’espèce, les annonces s’affichaient dans un espace normalement réservé à la correspondance privée, sans que les utilisateurs aient consenti à les recevoir. Les modifications visuelles apportées par les sociétés à partir d’avril 2023 — notamment l’ajout d’une mention « Annonce » — ont été prises en compte, mais jugées insuffisantes pour remettre en cause la qualification retenue, les annonces ne se distinguant pas encore clairement des courriels authentiques. Ce manquement affectait environ 53 millions de comptes d’utilisateurs français selon les éléments communiqués au cours de la procédure, ce qui illustre l’ampleur de la violation et le nombre très élevé de personnes concernées.

2. L’absence de consentement libre et éclairé lors de la création d’un compte Google

La formation restreinte retient un second manquement distinct, fondé sur l’article 82 de la loi Informatique et Libertés, relatif au parcours de création d’un compte Google. Jusqu’en octobre 2023, ce parcours présentait les options de manière asymétrique : l’acceptation des traceurs à finalité publicitaire personnalisée était structurellement plus aisée que leur refus, ce qui portait atteinte au caractère libre du consentement. Après l’introduction, en octobre 2023, d’un bouton de refus aussi accessible que le bouton d’acceptation, la formation restreinte constate qu’une défaillance complémentaire demeure : aucune information suffisante n’est fournie aux utilisateurs pour leur permettre de comprendre que l’accès aux services Google est, quelle que soit l’option choisie, conditionné au dépôt de traceurs publicitaires. Le consentement ne peut donc être regardé comme éclairé, faute d’une information claire et complète sur les conséquences du choix effectué. Cette analyse rejoint la jurisprudence de la CNIL selon laquelle le recueil d’un consentement valide en matière de traceurs suppose non seulement que le refus soit techniquement aussi simple que l’acceptation, mais encore que l’utilisateur comprenne pleinement ce à quoi il consent ou ce qu’il refuse.

3. La compétence exclusive de la CNIL fondée sur la directive ePrivacy, avec exclusion du mécanisme de guichet unique RGPD

L’un des apports juridiques essentiels de la délibération réside dans la confirmation, par la formation restreinte, de la compétence exclusive de la CNIL pour contrôler et sanctionner les manquements relevant de la directive ePrivacy, transposée aux articles 82 de la loi Informatique et Libertés et L. 34-5 du CPCE. Cette compétence est indépendante du mécanisme de guichet unique prévu par l’article 56 du RGPD, qui aurait désigné la Data Protection Commission (DPC) irlandaise comme autorité chef de file pour les traitements transfrontaliers du groupe GOOGLE relevant du RGPD. La formation restreinte rappelle que le Conseil d’État a définitivement consacré cette dissociation dans sa décision du 28 janvier 2022 (Société GOOGLE LLC, n° 449209), confirmée dans un arrêt du 27 juin 2022 (Société AMAZON EUROPE CORE, n° 451423), en jugeant que les mesures de contrôle de la directive ePrivacy relèvent de la compétence des autorités nationales et non du mécanisme de coopération du RGPD. La compétence territoriale de la CNIL repose en outre sur le rôle de GOOGLE France — établissement stable du groupe sur le territoire français — dans la commercialisation des solutions publicitaires de Google, ce qui rattache les traitements en cause aux activités d’un établissement situé en France.

4. La doctrine de l’unité économique appliquée au groupe GOOGLE pour le calcul des amendes

Pour déterminer le périmètre de référence applicable au calcul du plafond des amendes et apprécier leur caractère dissuasif et proportionné, la formation restreinte applique la doctrine de l’« unité économique » issue du droit de la concurrence européen, consacrée par la CJUE dans ses arrêts du 5 décembre 2023 (C-807/21, Deutsche Wohnen) et du 13 février 2025 (C-383/23). Conformément à cette doctrine, la notion d’« entreprise » au sens de l’article 83 du RGPD — auquel renvoie le considérant 150 — doit être appréhendée au sens des articles 101 et 102 du TFUE, c’est-à-dire comme une unité économique pouvant être constituée de plusieurs personnes morales. Dès lors que GOOGLE LLC détient indirectement 100 % de GOOGLE IRELAND LIMITED par l’intermédiaire d’ALPHABET Inc., il existe une présomption réfragable d’influence déterminante de la société mère sur le comportement de ses filiales, et le chiffre d’affaires du groupe dans son ensemble constitue la base de référence pertinente. La formation restreinte souligne que cette approche est la seule qui permette de garantir que les amendes soient « effectives, proportionnées et dissuasives » au sens de l’article 83, paragraphe 1, du RGPD, conformément à la capacité économique réelle du destinataire.

5. La récidive aggravée et l’introduction du droit au silence dans la procédure de sanction

La délibération retient la récidive des sociétés comme circonstance significative dans l’appréciation de leur comportement. Les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED avaient déjà été sanctionnées par la CNIL pour des manquements en matière de traceurs : la délibération n° SAN-2020-012 du 7 décembre 2020, validée par le Conseil d’État le 28 janvier 2022, et la délibération n° SAN-2021-023, confirmée le 27 juin 2022, illustrent que les sociétés n’ignoraient pas leurs obligations en la matière et que, malgré ces condamnations successives, des pratiques non conformes ont perduré pendant plusieurs années. La formation restreinte qualifie ce comportement de négligence caractérisée. Par ailleurs, la délibération prend acte de l’introduction dans la procédure du droit au silence, en application de la décision n° 2025-1154 du 8 août 2025 du Conseil constitutionnel relative à la constitutionnalité de l’article 22 de la loi Informatique et Libertés. Les sociétés ont été informées de ce droit à titre conservatoire, ce qui constitue une évolution procédurale notable dans les procédures administratives répressives de la CNIL, sous l’influence des garanties du procès équitable reconnues par la Charte des droits fondamentaux de l’Union européenne et la Convention européenne des droits de l’homme.

POINTS ESSENTIELS