CNIL | SAN-2025-004 | 1er septembre 2025 | Affaire GOOGLE LLC et GOOGLE IRELAND LIMITED | FAQ

QUESTIONS RELATIVES À LA PROSPECTION ÉLECTRONIQUE DANS LES INTERFACES DE MESSAGERIE (ARTICLE L. 34-5 DU CPCE)

Question 1 : Mon service affiche des publicités dans l’interface de messagerie de mes utilisateurs. Ces publicités relèvent-elles de l’article L. 34-5 du CPCE ?

La délibération SAN-2025-004 retient, en se fondant sur l’arrêt de la CJUE du 25 novembre 2021 (C-102/20, StWL), que tout message publicitaire affiché dans un espace normalement réservé à la correspondance privée des utilisateurs — dès lors qu’il prend l’apparence d’un courriel ou d’un message authentique — constitue de la prospection directe par voie électronique au sens de l’article L. 34-5 du CPCE. Cette qualification s’applique indépendamment des modalités techniques de routage : il importe peu que le message ne soit pas techniquement « envoyé » au sens protocolaire, dès lors qu’il est inséré dans l’espace de messagerie de l’utilisateur et visuellement similaire à un courriel authentique. Tout opérateur pratiquant ce type d’affichage doit donc, soit recueillir le consentement préalable et spécifique de ses utilisateurs, soit cesser cette pratique.

---

Question 2 : Les modifications visuelles apportées aux annonces publicitaires (distinction graphique, mention « Annonce ») permettent-elles d’échapper à la qualification de prospection directe ?

Non. La formation restreinte a expressément jugé que les modifications visuelles opérées par Google à partir d’avril 2023 (ajout d’une mention « Annonce sponsorisée » et distinction de couleur) « n’étaient pas de nature à remettre en cause le régime juridique applicable à l’affichage de ces annonces puisque celles-ci ne se distinguent toujours pas clairement des véritables courriels ». La qualification de prospection directe est attachée à l’insertion dans l’espace de messagerie et à la ressemblance globale avec un courriel, et non à l’absence totale de différence visuelle. Seul l’abandon de la pratique d’insertion dans l’interface de messagerie — ou le recueil d’un consentement préalable, libre, éclairé et spécifique — permet d’échapper à la qualification de violation.

---

Question 3 : Le consentement général donné par un utilisateur lors de la création de son compte (par exemple, acceptation des conditions générales incluant la publicité) couvre-t-il la prospection directe par voie électronique dans sa messagerie ?

Non. L’article L. 34-5 du CPCE exige un consentement préalable, spécifique et informé à la réception de prospection commerciale par courrier électronique. Un consentement général à la publicité, inclus dans les conditions générales d’utilisation ou dans un paramètre de compte relatif à la « personnalisation » publicitaire, ne satisfait pas à cette exigence de spécificité. La formation restreinte confirme que le consentement à la personnalisation publicitaire « ne saurait valoir consentement spécifique à la réception de prospection directe par voie électronique ». Il est donc indispensable de recueillir un consentement distinct et dédié pour ce type de pratique publicitaire.

---

Question 4 : Quelle est la différence entre le régime de l’article L. 34-5 du CPCE et celui de l’article 82 de la loi Informatique et Libertés ? Ces deux régimes s’appliquent-ils simultanément ?

Ces deux régimes, tous deux issus de la directive 2002/58/CE (directive ePrivacy), sont distincts dans leur objet mais peuvent s’appliquer simultanément à un même traitement :
—-L’article L. 34-5 du CPCE régit la prospection directe par voie électronique (envoi ou affichage de messages promotionnels utilisant les coordonnées électroniques d’un utilisateur) ;
—-L’article 82 de la loi Informatique et Libertés régit les opérations de lecture ou d’écriture sur le terminal de l’utilisateur (dépôt et lecture de cookies, traceurs, etc.).

Dans l’affaire SAN-2025-004, les sociétés Google ont été sanctionnées pour violation des deux textes : l’un pour l’affichage de publicités dans Gmail (L. 34-5 CPCE), l’autre pour le dépôt de traceurs lors de la création de compte sans consentement valable (article 82 LIL). Tout responsable de traitement doit donc analyser ses pratiques sous les deux régimes, qui coexistent sans que l’un ne se substitue à l’autre.

---

Question 5 : Le mécanisme de guichet unique prévu par le RGPD s’applique-t-il aux manquements aux articles L. 34-5 du CPCE et 82 de la loi Informatique et Libertés ?

Non. La formation restreinte rappelle avec constance (depuis la délibération SAN-2020-012, confirmée par CE, 28 janvier 2022, n° 449209) que le mécanisme de guichet unique prévu par les articles 56 et suivants du RGPD est inapplicable aux opérations relevant de la directive ePrivacy — c’est-à-dire aux opérations régies par les articles L. 34-5 du CPCE et 82 de la loi Informatique et Libertés. Ces opérations ne relèvent pas du RGPD mais de la directive 2002/58/CE, qui n’institue pas de mécanisme analogue de coopération entre autorités de contrôle. En conséquence, la CNIL est pleinement compétente pour contrôler et sanctionner ces manquements sur le territoire français, quel que soit l’État membre dans lequel l’opérateur a son établissement principal. Un opérateur établi en Irlande ou dans tout autre État membre ne peut donc pas se prévaloir de la seule compétence de l’autorité irlandaise pour se soustraire aux contrôles de la CNIL.

---

QUESTIONS RELATIVES AU CONSENTEMENT AUX TRACEURS (ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS)

Question 6 : Qu’entend-on par consentement « libre » au sens de l’article 82 de la loi Informatique et Libertés ? Quels éléments permettent de caractériser l’absence de liberté du consentement ?

Le consentement est libre lorsque l’utilisateur peut choisir librement, sans subir de pression, de contrainte ou d’incitation indue, entre accepter et refuser le dépôt de traceurs. La formation restreinte juge qu’un consentement n’est pas libre lorsque :
—-Le mécanisme d’acceptation est plus accessible (moins de clics, bouton plus visible) que le mécanisme de refus — ce que la CNIL désigne comme un « dark pattern » ou mécanisme de conception asymétrique ;
—-L’accès au service est conditionné au dépôt de traceurs sans que l’utilisateur en soit clairement informé préalablement à son choix ;
—-Les options de refus sont présentées de manière moins saillante ou après plusieurs étapes supplémentaires par rapport aux options d’acceptation.

En l’espèce, le parcours de création de compte Google — avec un bouton « J’accepte » en premier plan et un lien « Plus d’options » pour accéder au refus — a été jugé contraire à l’exigence de liberté.

---

Question 7 : Qu’entend-on par consentement « éclairé » au sens de l’article 82 de la loi Informatique et Libertés ? Quelles informations doivent être fournies avant le recueil du consentement ?

Le consentement est éclairé lorsque l’utilisateur dispose, avant d’effectuer son choix, de toutes les informations nécessaires pour comprendre la portée de ce choix. La formation restreinte identifie notamment comme insuffisante l’absence des informations suivantes, constitutives d’un défaut de consentement éclairé :
—-L’identité de tous les responsables de traitement et des tiers susceptibles d’accéder aux données collectées via les traceurs ;
—-Les finalités précises de chaque catégorie de traceurs (personnalisation publicitaire, mesure d’audience, partage avec des tiers, etc.) ;
—-Les conséquences du refus sur l’accès au service : si l’accès est conditionné au dépôt de traceurs (même génériques), cette conditionnalité doit être explicitement communiquée à l’utilisateur avant qu’il n’effectue son choix ;
—-La durée de conservation des données collectées via les traceurs.

La formation restreinte juge que l’absence de toute information sur la conditionnalité de l’accès au service Google au dépôt de traceurs publicitaires prive l’utilisateur d’un « consentement pleinement informé » et caractérise un manquement à l’article 82 de la loi Informatique et Libertés.

---

Question 8 : Quelles sont les bonnes pratiques à mettre en place pour un parcours de création de compte conforme aux exigences de l’article 82 de la loi Informatique et Libertés ?

Tirant les enseignements de la délibération SAN-2025-004 et de la jurisprudence antérieure de la CNIL (notamment ses lignes directrices du 4 juillet 2019 et sa recommandation du 17 septembre 2020), les bonnes pratiques suivantes s’imposent à tout responsable de traitement :

—-Équivalence formelle des mécanismes : présenter le bouton « Refuser » et le bouton « Accepter » avec une visibilité, une taille et un nombre de clics identiques, au même niveau hiérarchique de l’interface ;
—-Granularité du consentement : distinguer clairement les catégories de traceurs (essentiels, analytiques, publicitaires) et proposer un choix distinct pour chaque catégorie ;
—-Information préalable complète : informer l’utilisateur, avant tout choix, des finalités de chaque catégorie de traceurs, des tiers destinataires, des durées de conservation et — le cas échéant — de la conditionnalité de l’accès au service ;
—-Absence de case pré-cochée : aucun traceur soumis à consentement ne doit être coché par défaut ou activé avant l’expression d’un choix positif de l’utilisateur ;
—-Facilité du retrait : le retrait du consentement doit être aussi simple que son octroi, accessible à tout moment depuis les paramètres du compte ou du service.

---

Question 9 : Mon entreprise a modifié son gestionnaire de consentement (CMP) en cours de procédure de contrôle CNIL pour se mettre en conformité. Cela permet-il d’échapper à la sanction ?

Non, pas pour les faits passés. La formation restreinte précise de manière constante (SAN-2025-004, SAN-2024-019, SAN-2025-017/Intersports, etc.) que « ces actions n’exonèrent pas la société de sa responsabilité pour les faits passés ». La mise en conformité en cours de procédure est toutefois prise en compte comme facteur atténuant dans la détermination du montant de la sanction. En l’espèce, les modifications apportées par Google en octobre 2023 au parcours de création de compte ont été prises en compte positivement, mais n’ont pas exonéré les sociétés du manquement passé, ni du manquement persistant (défaut de consentement éclairé) postérieur à octobre 2023.

---

QUESTIONS RELATIVES AUX SANCTIONS ET À LEUR CALCUL

Question 10 : Comment la CNIL calcule-t-elle le montant des amendes en matière de cookies et de prospection électronique ? Le chiffre d’affaires d’un groupe mondial est-il pris en compte ?

Oui. La formation restreinte applique, pour le calcul des amendes relatives aux manquements aux articles 82 de la loi Informatique et Libertés et L. 34-5 du CPCE, les mêmes critères que pour les amendes RGPD, en vertu de l’harmonisation instaurée par l’article 20 de la loi Informatique et Libertés. Elle se fonde sur la notion d’entreprise au sens des articles 101 et 102 du TFUE (CJUE, C-807/21, 5 décembre 2023 ; C-383/23, 13 février 2025) et retient le chiffre d’affaires consolidé du groupe comme assiette de référence pour le calcul du plafond maximum. Les critères de l’article 83 du RGPD (gravité, durée, nombre de personnes concernées, récidive, coopération, avantages économiques tirés) sont intégralement appliqués. La récidive est un facteur particulièrement aggravant dans la jurisprudence de la CNIL.

---

Question 11 : Qu’est-ce qu’une injonction assortie d’astreinte ? Quelles sont ses conséquences pratiques pour le responsable de traitement ?

Une injonction est une mesure corrective par laquelle la formation restreinte ordonne au responsable de traitement de remédier aux manquements constatés dans un délai déterminé (en l’espèce, six mois). L’astreinte est une somme forfaitaire (ici, 100 000 euros par jour de retard, par société) qui commence à courir au terme du délai imparti si le responsable de traitement n’a pas démontré sa mise en conformité. À l’expiration du délai, le responsable de traitement doit produire des éléments probants (captures d’écran, documentation technique, rapport d’audit) démontrant la réalité de la mise en conformité. En l’absence de tels éléments, la CNIL peut liquider l’astreinte et prononcer une nouvelle sanction. La rapidité de mise en conformité d’ORANGE — dont l’injonction a été clôturée dès le 11 septembre 2025 (SAN-2025-007) — illustre le caractère opérationnel de ce mécanisme.

---

Question 12 : La CNIL peut-elle sanctionner une société pour des manquements liés à des pratiques qu’elle a ultérieurement corrigées ? Quel est le délai de prescription applicable ?

Oui. La CNIL peut sanctionner les manquements passés, même si la mise en conformité est intervenue avant la notification du rapport de sanction, ou même avant la séance de la formation restreinte. La jurisprudence constante de la formation restreinte rappelle que « la mise en conformité en cours de procédure n’exonère pas le responsable de traitement de sa responsabilité pour les faits passés ». Concernant le délai de prescription, la loi Informatique et Libertés ne prévoit pas de délai de prescription spécifique pour les pouvoirs de contrôle de la CNIL. En pratique, la CNIL peut initier une procédure de contrôle plusieurs années après les faits, comme en atteste la présente affaire (contrôle initié en décembre 2022 pour des pratiques remontant à la création même de ces fonctionnalités).

---

QUESTIONS RELATIVES AUX DROITS DES PERSONNES CONCERNÉES

Question 13 : En tant qu’utilisateur de Gmail, ai-je été victime d’une violation de mes droits ? Que puis-je faire ?

Oui, si vous utilisez Gmail avec les onglets « Promotions » ou « Réseaux sociaux » activés et que des annonces publicitaires vous ont été présentées dans ces onglets sans que vous y ayez expressément consenti, vos droits ont été violés au titre de l’article L. 34-5 du CPCE. De même, si vous avez créé un compte Google avant la mise en conformité (octobre 2023 au plus tôt, sous réserve des persistances relevées par la CNIL), le consentement recueilli pour le dépôt de traceurs publicitaires était potentiellement vicié. Vous pouvez :
—-Vérifier et réviser vos paramètres de compte Google (rubrique « Données et confidentialité » > « Confidentialité des annonces ») pour vous assurer que vos préférences actuelles reflètent votre choix réel ;
—-Retirer votre consentement aux traceurs publicitaires, à tout moment, depuis les paramètres de votre compte ;
—-Déposer une plainte individuelle auprès de la CNIL (formulaire disponible sur cnil.fr) si vous estimez que vos droits sont méconnus.

---

Question 14 : Puis-je obtenir une indemnisation pour la violation de mes droits en matière de cookies et de prospection électronique ?

La délibération de la CNIL est une décision administrative de sanction, qui ne confère pas directement de droit à indemnisation aux personnes concernées. Pour obtenir réparation, vous devez introduire une action civile en responsabilité (article 82 du RGPD combiné avec les articles 1240 et suivants du Code civil) devant les juridictions judiciaires compétentes, en justifiant d’un préjudice — moral ou matériel — résultant directement de la violation constatée. Des actions collectives (actions de groupe en matière de données personnelles, introduites par la loi du 18 novembre 2016 et codifiées à l’article 37 de la loi Informatique et Libertés) peuvent également être envisagées par les associations habilitées, en particulier NOYB (à l’origine de la plainte dans la présente affaire) ou des associations de consommateurs.

---

Question 15 : En tant que responsable de traitement, comment puis-je m’assurer que mon consentement aux traceurs est conforme aux exigences de la CNIL après la délibération SAN-2025-004 ?

La conformité de votre dispositif de recueil du consentement doit être évaluée au regard des critères dégagés par la formation restreinte dans la délibération SAN-2025-004 et dans la jurisprudence antérieure (SAN-2024-019, SAN-2025-005, etc.) :
—-Audit de votre CMP : vérifier que les boutons d’acceptation et de refus sont équivalents en visibilité, accessibilité et nombre de clics ;
—-Audit de l’information préalable : vérifier que les utilisateurs sont informés, avant tout choix, des finalités de chaque catégorie de traceurs, des tiers destinataires, des durées de conservation et — si applicable — de la conditionnalité de l’accès au service ;
—-Audit des traceurs effectivement déposés : s’assurer, via des outils de scanning technique (Cookiebot, OneTrust, etc.), que seuls les traceurs pour lesquels le consentement a été recueilli sont effectivement déposés ;
—-Documentation : conserver la preuve du consentement recueilli (horodatage, version de l’interface, choix de l’utilisateur) pour être en mesure de l’opposer à la CNIL en cas de contrôle ;
—-Désignation d’un référent : nommer un responsable interne ou un prestataire externe chargé du suivi continu de la conformité cookies, avec reporting régulier au DPO et à la direction générale.

---

 
 
 

---

POINTS ESSENTIELS

---

Par délibération du 1er septembre 2025, la formation restreinte de la CNIL a infligé aux sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED (ci-après « GIL ») des amendes administratives d’un montant total de 325 millions d’euros — soit 200 millions d’euros à l’encontre de GOOGLE LLC et 125 millions d’euros à l’encontre de GIL — pour manquements aux articles 82 de la loi Informatique et Libertés et L. 34-5 du code des postes et des communications électroniques (CPCE), assortis d’une injonction sous astreinte de 100 000 euros par jour de retard à l’expiration d’un délai de six mois.

Cette délibération revêt une portée jurisprudentielle de premier ordre à plusieurs titres.

Sur le premier manquement — prospection électronique illicite dans Gmail (article L. 34-5 du CPCE) : en s’appuyant sur l’interprétation fonctionnelle consacrée par la CJUE dans son arrêt StWL Gesellschaft für Werbung mbH, 25 novembre 2021, C-102/20, la formation restreinte retient que l’affichage d’annonces publicitaires insérées entre les courriels privés des utilisateurs ayant activé les « fonctionnalités intelligentes » de Gmail — dans les onglets Promotions et Réseaux sociaux — constitue une utilisation du courrier électronique à des fins de prospection directe, nonobstant l’absence de stockage technique de ces annonces dans l’espace de messagerie et leur caractère dynamique. La Cour avait posé le principe, d’application immédiate, que « si des entrées publicitaires de quelque nature que ce soit apparaissent dans la boîte de réception de la messagerie Internet, il y a lieu de considérer que cette boîte de réception constitue le moyen par lequel les messages publicitaires concernés sont communiqués à cet utilisateur » (point 44). La formation restreinte écarte les modifications visuelles d’avril 2023 — jugées insuffisantes à remettre en cause le régime juridique applicable — et constate l’absence totale de recueil du consentement préalable des utilisateurs, ni lors de la création du compte, ni lors de l’activation des fonctionnalités intelligentes, pour 53 millions de comptes actifs concernés en France.

Sur le second manquement — cookies sans consentement libre et éclairé (article 82 de la loi Informatique et Libertés) : la formation restreinte relève, d’une part, que jusqu’en octobre 2023, le parcours « personnalisation express 1 étape » orientait structurellement les utilisateurs vers l’acceptation de la publicité ciblée en rendant le refus plus difficile que l’acceptation, privant ainsi le consentement de son caractère libre au sens de l’article 4, §11, du RGPD et de la délibération CNIL n° 2020-092 du 17 septembre 2020. D’autre part, après la modification d’octobre 2023 ayant introduit un bouton « tout refuser », la formation restreinte constate que le défaut d’information claire sur la conditionnalité de l’accès aux services Google au dépôt de traceurs publicitaires persiste, rendant le consentement toujours non conforme à l’exigence de clarté posée par le considérant 42 du RGPD et l’avis n° 08/2024 du CEPD du 17 avril 2024 sur les modèles « consentir ou payer » ; 74 millions de comptes sont concernés.

Sur la co-responsabilité conjointe GOOGLE LLC / GIL : la formation restreinte confirme, en s’appuyant sur sa jurisprudence antérieure — SAN-2020-012 du 7 décembre 2020 et SAN-2021-023 du 31 décembre 2021, non contestés devant le Conseil d’État (CE, 28 janvier 2022, n° 449209 ; CE, 19 juin 2020, n° 430810) — que GOOGLE LLC détermine conjointement les finalités et moyens des traitements en cause, par l’intermédiaire d’un organe décisionnel matriciel dont les décisions sont nécessairement influencées par la société-mère américaine, indépendamment du rôle opérationnel de GIL dans l’EEE.

Sur la détermination des amendes : la formation restreinte applique la notion d’entreprise au sens des articles 101 et 102 TFUE, conformément à la jurisprudence de la CJUE, grande chambre, 5 décembre 2023, C-807/21, confirmée par CJUE, cinquième chambre, 13 février 2025, C-383/23, fondant le calcul de l’amende sur le chiffre d’affaires consolidé du groupe ALPHABET Inc. Elle retient à titre de circonstances aggravantes : la gravité intrinsèque des manquements, le nombre considérable de personnes concernées, la position dominante du groupe sur le marché de la publicité en ligne, l’avantage financier certain tiré des violations — la publicité via les services Google ayant généré plusieurs dizaines de milliards de dollars en 2022 et 2023 — et, surtout, la récidive quadruple : SAN-2020-012 (décembre 2020), SAN-2021-023 (décembre 2021), SAN-2023-012 (décembre 2023), puis SAN-2025-004. Elle reconnaît à titre atténuant les mesures correctives partielles prises en cours de procédure (désactivation de certains cookies, modifications visuelles des annonces Gmail, refonte partielle du parcours de création de compte).

La portée de cette délibération excède largement le cas d’espèce. Elle consolide définitivement l’interprétation fonctionnelle et expansive de la prospection électronique inbox en droit français et européen, faisant de toute annonce publicitaire insérée dans un espace normalement réservé aux courriels privés l’équivalent d’un message non sollicité soumis au régime de consentement préalable de l’article L. 34-5 du CPCE ; elle renforce l’exigence d’un consentement véritablement éclairé lors du parcours de création de compte, imposant aux plateformes d’informer sans ambiguïté les utilisateurs sur la conditionnalité de l’accès au service au dépôt de traceurs publicitaires ; elle confirme que la récidive répétée en matière de cookies et de prospection commerciale constitue une circonstance aggravante déterminante, susceptible d’emporter des amendes calibrées sur la capacité économique réelle du groupe — et non de la seule entité sanctionnée ; et elle rappelle avec force que ni la taille d’une entreprise, ni sa position d’acteur systémique de l’internet, ne constituent des boucliers contre les exigences fondamentales du droit à la protection de la vie privée numérique.