CNIL | SAN-2025-004 | 1er septembre 2025 | Affaire GOOGLE LLC et GOOGLE IRELAND LIMITED | MANQUEMENTS

TABLEAU RÉCAPITULATIF DES TEXTES ET JURISPRUDENCES CITÉS DANS LA DÉLIBÉRATION

Référence	Nature	Objet	Paragraphes pertinents de la délibération
Article L. 34-5 du CPCE	Disposition légale	Obligation de recueillir le consentement préalable à la prospection directe par voie électronique	§§ 24-26, 75-130
Article 82 de la loi Informatique et Libertés	Disposition légale	Obligation de recueillir un consentement libre et éclairé avant tout dépôt de traceurs	§§ 26-28, 131-166
Article 22, alinéa 1er de la loi Informatique et Libertés	Disposition légale	Pouvoirs de sanction de la formation restreinte	§§ 30-33
Article 20 de la loi Informatique et Libertés	Disposition légale	Harmonisation des règles de calcul des amendes avec le RGPD	§§ 176-177
Article 83 du RGPD	Disposition réglementaire	Critères de détermination du montant des amendes	§§ 178-248
Directive 2002/58/CE (ePrivacy), art. 5§3 et art. 13§1	Directive européenne	Base normative des articles 82 LIL et L. 34-5 CPCE	§§ 24-25
CJUE, C-102/20, StWL Städtische Werke, 25 novembre 2021	Arrêt de la CJUE	Qualification de prospection directe pour les annonces insérées dans un espace de messagerie	§§ 95-100
CJUE, C-230/14, Weltimmo, 1er octobre 2015	Arrêt de la CJUE	Notion d’établissement stable en droit des données personnelles	§§ 40-43
CJUE, C-807/21, Deutsche Wohnen, 5 décembre 2023	Arrêt de la CJUE	Notion d’entreprise pour le calcul des amendes	§§ 176-180
CJUE, C-383/23, ILVA, 13 février 2025	Arrêt de la CJUE	Notion d’entreprise : prise en compte du chiffre d’affaires du groupe	§§ 181-185
CE, 28 janvier 2022, n° 449209	Arrêt du Conseil d’État	Validation de la délibération SAN-2020-012 (Google/cookies)	§§ 38-43, 64
Décision CC n° 2025-1154 QPC, 8 août 2025	Décision du Conseil constitutionnel	Droit de garder le silence lors des procédures de contrôle d’une AAI	Visas et § 72
Délibération SAN-2020-012, 7 décembre 2020	Jurisprudence CNIL	Compétence de la CNIL, dépôt de cookies sans consentement (Google)	§§ 38-43, 196
Délibération SAN-2021-023, 31 décembre 2021	Jurisprudence CNIL	Dépôt de cookies sans consentement (Google, 150 M€)	§§ 196, 205
Délibération SAN-2024-019, 14 novembre 2024	Jurisprudence CNIL	Publicités dans la messagerie Orange, L. 34-5 CPCE (50 M€)	§§ 95-100, 196
Décision n° 2022-175C, 29 septembre 2022	Décision présidentielle CNIL	Mission de vérification Gmail	§ 6
Décision n° 2023-103C, 19 avril 2023	Décision présidentielle CNIL	Mission de vérification traceurs	§ 7
Article 19-III de la loi Informatique et Libertés	Disposition légale	Habilitation des agents CNIL à utiliser des identités d’emprunt	§ 60
Article 33 du décret n° 2019-536 du 29 mai 2019	Disposition réglementaire	Modalités des contrôles en ligne sous identité d’emprunt	§§ 58-63
Articles 101 et 102 du TFUE	Traité européen	Notion d’entreprise (unité économique)	§§ 178-180

---

ANALYSE DU PREMIER MANQUEMENT : VIOLATION DE L’ARTICLE L. 34-5 DU CPCE

---

1. LE CADRE NORMATIF APPLICABLE ET SON ARTICULATION AVEC LA DIRECTIVE EPRIVACY

 

L’article L. 34-5, alinéa 1er, du code des postes et des communications électroniques (CPCE) dispose :

« Est interdite la prospection directe au moyen de système automatisé d’appels ou de communications électroniques sans intervention humaine, d’un télécopieur ou de courriers électroniques, utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. »

Ce texte constitue la transposition en droit français de l’article 13, §1, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques »). La formation restreinte souligne que « l’article 13, §1, de cette même directive, relatif à la prospection électronique, a été transposé en droit interne à l’article L. 34-5 du code des postes et des communications électroniques » (§ 25).

---

2. LES CONSTATATIONS FACTUELLES ET LEUR ANALYSE

 

Les missions de contrôle menées par la CNIL, notamment le contrôle sur place du 6 décembre 2022, ont permis d’établir les éléments suivants. Les utilisateurs de la messagerie Gmail disposant d’une boîte de réception organisée en onglets (fonctionnalité « Gmail Inbox » avec organisation intelligente) se voient présenter trois onglets principaux : « Principale », « Promotions » et « Réseaux sociaux ». La formation restreinte a constaté que, dans les onglets « Promotions » et « Réseaux sociaux », des messages publicitaires — ci-après désignés « annonces Gmail » — sont affichés entre les courriels authentiques reçus par les utilisateurs. Ces annonces ne sont pas envoyées par d’autres utilisateurs : elles sont générées et affichées par les sociétés Google à des fins publicitaires commerciales, rémunérées par les annonceurs.

La formation restreinte relève que ces annonces Gmail « font la promotion de services ou de biens et […] ne sont pas envoyés par un utilisateur à un autre utilisateur, mais affichés dans un espace normalement réservé aux courriels privés en prenant l’apparence de véritables courriels ». Elle s’appuie expressément sur l’arrêt de la CJUE du 25 novembre 2021 (C-102/20, StWL Städtische Werke Lauf a.d. Pegnitz GmbH) pour retenir que de telles annonces constituent de la prospection directe par courrier électronique au sens de la directive ePrivacy et de l’article L. 34-5 du CPCE. Dans cet arrêt, la CJUE avait jugé que :

« relèvent de la notion de “courrier électronique” […] des messages publicitaires qui sont intégrés dans la boîte de réception des utilisateurs d’un service de courrier électronique gratuit, sous forme de messages ressemblant à des courriels, au sein des rubriques consacrées à ces courriels, et dont seule la mise en page permet de les distinguer des vrais courriers électroniques reçus ».

---

3. LA POSITION DES SOCIÉTÉS GOOGLE ET SON REJET

 

Les sociétés ont développé plusieurs arguments pour contester la qualification de prospection directe :

Sur la nature des annonces : les sociétés soutenaient que les annonces Gmail ne constituent pas des « courriers électroniques » au sens de l’article L. 34-5 du CPCE, dès lors qu’elles ne sont pas techniquement envoyées via un protocole de messagerie électronique, qu’elles ne sont pas stockées dans le compte Gmail de l’utilisateur comme de véritables courriels, et qu’elles se distinguent visuellement des courriels authentiques. La formation restreinte rejette cette argumentation en rappelant que la qualification retenue par la CJUE ne repose pas sur des critères techniques de routage ou de stockage, mais sur la perception de l’utilisateur et sur l’intrusion dans l’espace de messagerie privée. Les modifications visuelles opérées par Google dès avril 2023 (ajout de la mention « Annonce sponsorisée », distinction de couleur) sont expressément jugées insuffisantes : « ces modifications n’étaient pas de nature à remettre en cause le régime juridique applicable à l’affichage de ces annonces puisque celles-ci ne se distinguent toujours pas clairement des véritables courriels ».

Sur l’existence d’un consentement : les sociétés faisaient valoir que les utilisateurs avaient donné leur consentement à la personnalisation publicitaire lors de la création de leur compte Google, ce qui couvrirait également la réception d’annonces dans Gmail. La formation restreinte écarte cet argument avec fermeté : le consentement général à la publicité personnalisée ne peut valoir consentement spécifique à la prospection directe par voie électronique au sens de l’article L. 34-5 du CPCE. L’article L. 34-5 du CPCE exige en effet un consentement préalable, spécifique et informé à la réception de prospection commerciale par courrier électronique — condition que ne satisfait pas le consentement général donné lors de la création du compte.

Sur la durée du manquement : la formation restreinte retient que le manquement a été caractérisé depuis au moins décembre 2022 (date du premier contrôle) et qu’il n’avait pas cessé à la date de la séance (juin 2025). Pendant cette période d’au moins deux ans et demi, 53 millions d’utilisateurs en France se seraient vu afficher ces annonces sans consentement.

---

4. LA QUALIFICATION DE RESPONSABILITÉ CONJOINTE ENTRE GOOGLE LLC ET GOOGLE IRELAND LIMITED

 

La formation restreinte examine la répartition des responsabilités entre GOOGLE LLC et GIL. Elle retient que les deux sociétés sont responsables de traitement conjointement pour les opérations de prospection électronique via Gmail et pour les opérations de dépôt de traceurs, dès lors qu’elles « déterminent conjointement les finalités et les moyens » des traitements en cause, au sens de l’article 26 du RGPD. Cette qualification de co-responsabilité a des conséquences directes sur la ventilation de l’amende entre les deux entités, prononcée à hauteur de 200 millions d’euros à l’encontre de GOOGLE LLC (entité mère, principal décideur des orientations du groupe) et de 125 millions d’euros à l’encontre de GIL (entité en charge de la relation avec les utilisateurs dans l’EEE).

---

ANALYSE DU SECOND MANQUEMENT : VIOLATION DE L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS

---

1. LE CADRE NORMATIF : L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS

 

L’article 82 de la loi n° 78-17 du 6 janvier 1978 dispose, dans sa rédaction applicable aux faits :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : / 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s’y opposer. / L’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ou l’inscription d’informations dans cet équipement n’est permis qu’à condition que l’abonné ou l’utilisateur ait exprimé, après avoir reçu cette information, son consentement. »

Ce texte constitue la transposition de l’article 5, §3, de la directive 2002/58/CE, qui conditionne toute opération de lecture ou d’écriture sur le terminal de l’utilisateur à son consentement préalable et éclairé, sauf exceptions limitativement énumérées (traceurs strictement nécessaires au fonctionnement du service). La formation restreinte rappelle que « l’article 5, §3, de la directive 2002/58/CE […] relatif au stockage ou à l’accès des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés » (§ 24).

---

2. LES CONSTATATIONS FACTUELLES ISSUES DES CONTRÔLES

 

Le contrôle sur place du 5 septembre 2023 et les contrôles en ligne conduits par les agents de la CNIL ont mis en évidence les éléments suivants lors de la création d’un compte Google :

Sur l’asymétrie du parcours utilisateur : lors de la création d’un compte Google, les utilisateurs étaient invités, à une étape de la procédure d’inscription, à choisir entre deux options : « Plus d’options » (permettant, après plusieurs clics supplémentaires, de désactiver la publicité personnalisée) et « J’accepte » (permettant d’accepter en un seul clic les paramètres de personnalisation publicitaire par défaut, incluant le dépôt de traceurs). La formation restreinte constate que le refus des traceurs liés à la publicité personnalisée « était plus difficile à effectuer que leur acceptation » et que les utilisateurs étaient de ce fait « incités à choisir les traceurs liés à l’affichage de publicités personnalisées, au détriment de ceux liés à l’affichage de publicités génériques ».

Sur l’absence d’information relative à la conditionnalité de l’accès au service : la formation restreinte retient qu’« aucune information n’indiquait que l’accès aux services du groupe GOOGLE était conditionné au dépôt de traceurs liés à la publicité (générique ou personnalisée selon le choix de l’utilisateur) ». L’utilisateur qui refusait la publicité personnalisée ignorait qu’il serait néanmoins soumis au dépôt de traceurs liés à la publicité générique, sans avoir été informé de cette conditionnalité. Cette carence d’information privait l’utilisateur de la « compréhension complète et claire de la valeur, de la portée et des conséquences de leurs choix » — condition pourtant indispensable à la validité d’un consentement éclairé au sens de l’article 4(11) du RGPD et de l’article 82 de la loi Informatique et Libertés.

Sur le nombre de comptes concernés : la formation restreinte retient que le manquement relatif aux traceurs « concerne plus de 74 millions de comptes » lors de la création desquels le consentement avait été recueilli de manière non conforme.

---

3. L’INSUFFISANCE DES MESURES CORRECTIVES ADOPTÉES PAR GOOGLE

 

Les sociétés ont fait valoir qu’en octobre 2023, elles avaient ajouté, dans le parcours de création de compte, un bouton permettant de refuser aussi facilement que d’accepter le dépôt de traceurs liés à la publicité personnalisée — remédiant ainsi au défaut de liberté du consentement. La formation restreinte prend acte de cette évolution mais constate que, malgré cette modification, « le défaut d’un consentement éclairé continue de subsister » : les utilisateurs n’étaient toujours pas informés, de manière suffisamment claire, que l’accès aux services Google était conditionné au dépôt de traceurs publicitaires (génériques), quel que soit leur choix concernant les traceurs de personnalisation.

Cette position est particulièrement significative : elle témoigne de l’exigence de la formation restreinte, non seulement quant à l’équivalence formelle des mécanismes d’acceptation et de refus, mais aussi quant à la transparence substantielle sur les conséquences effectives du choix exprimé par l’utilisateur.

---

4. LA POSITION DES SOCIÉTÉS GOOGLE ET SON REJET

 

Sur la qualification du consentement : les sociétés soutenaient que le parcours de création de compte présentait aux utilisateurs des choix clairs et que les informations fournies étaient suffisantes pour permettre un consentement éclairé. La formation restreinte rejette ces arguments en constatant empiriquement l’insuffisance des informations disponibles au moment du choix, notamment l’absence de toute mention de la conditionnalité de l’accès au service.

Sur le lien entre la publicité personnalisée et les traceurs : les sociétés faisaient valoir que la personnalisation publicitaire et le dépôt de traceurs étaient deux choses distinctes et que les utilisateurs avaient été suffisamment informés sur ces deux aspects. La formation restreinte rejette cette distinction artificielle, en retenant que la relation entre le dépôt de traceurs et l’accès conditionné aux services est une information déterminante pour la formation d’un consentement éclairé.

---

SUR LA DÉTERMINATION DU MONTANT DES AMENDES

---

1. L’APPLICATION DE LA NOTION D’ENTREPRISE AU SENS DU DROIT DE LA CONCURRENCE

 

La formation restreinte rappelle que, « en visant le RGPD à l’article 20 de la loi Informatique et Libertés, le législateur français a fait le choix d’harmoniser les règles relatives à la détermination du montant des amendes en matière de protection des données à caractère personnel, que l’amende ait vocation à sanctionner un manquement au titre du RGPD ou de la loi Informatique et Libertés » (§ 176). Elle applique par conséquent, pour le calcul du plafond de l’amende, la notion d’entreprise au sens des articles 101 et 102 du TFUE, telle qu’interprétée par la CJUE dans ses arrêts :

—-CJUE, grande chambre, 5 décembre 2023, C-807/21 (Deutsche Wohnen SE c/ Staatsanwaltschaft Berlin) : une autorité de contrôle peut infliger une amende directement à une entreprise, en tant qu’unité économique, sans devoir prouver que la violation a été commise par une personne physique identifiée agissant pour son compte ;
—-CJUE, cinquième chambre, 13 février 2025, C-383/23 (ILVA A/S) : le chiffre d’affaires à retenir pour le calcul du plafond de l’amende est celui de l’ensemble du groupe (entreprise au sens économique), et non le seul chiffre d’affaires de l’entité juridique formellement sanctionnée.

La formation restreinte applique donc le chiffre d’affaires consolidé d’ALPHABET Inc. comme assiette de calcul du plafond maximal théorique de l’amende, en application de la présomption d’influence déterminante que la maison mère (détenant 100 % de GOOGLE LLC) exerce sur sa filiale.

---

2. LES CRITÈRES AGGRAVANTS RETENUS PAR LA FORMATION RESTREINTE

 

La formation restreinte examine les critères de l’article 83, §2, du RGPD et retient les éléments aggravants suivants :

L’ampleur des violations : « le manquement sur les traceurs concerne plus de 74 millions de comptes » et « parmi ceux-ci, 53 millions avaient, de manière illicite, vu s’afficher les publicités en cause dans les onglets “Promotions” et “Réseaux sociaux” ». Ce volume de personnes concernées, représentant une large fraction de la population française disposant d’un compte Google, caractérise une violation d’une ampleur exceptionnelle.

La durée des violations : le manquement a été constaté depuis au moins décembre 2022 et n’avait pas été corrigé à la date de la séance de la formation restreinte (juin 2025), soit une durée de plus de deux ans et demi pour le premier manquement et une durée comparable pour le second, le défaut de consentement éclairé persistant malgré les modifications d’octobre 2023.

La récidive : la formation restreinte souligne que « les sociétés ont fait preuve de négligence alors qu’elles avaient été précédemment sanctionnées par la CNIL à deux reprises, en 2020 et en 2021, pour des manquements en matière de traceurs » — à savoir :
—-La délibération SAN-2020-012 du 7 décembre 2020 (100 millions d’euros pour Google LLC et 60 millions d’euros pour GIL, validée par CE, 28 janvier 2022, n° 449209), portant sur le dépôt de cookies publicitaires sans consentement préalable sur le moteur de recherche google.fr ;
—-La délibération SAN-2021-023 du 31 décembre 2021 (150 millions d’euros), portant sur la persistance de pratiques non conformes après la délibération de 2020.

L’existence de ces deux précédents de sanction — connus des sociétés et expressément fondés sur les mêmes exigences de consentement — exclut que les sociétés puissent invoquer une ignorance des règles applicables ou une simple erreur d’appréciation.

La position dominante sur le marché : la formation restreinte souligne que « le groupe GOOGLE détient une position centrale sur le marché publicitaire en ligne et que son application Gmail est le deuxième service de messagerie le plus utilisé au monde ». Cette position dominante amplifie l’impact des violations et justifie un niveau de sanction plus élevé que celui qui serait proportionné pour un opérateur de taille ordinaire.

Les avantages économiques tirés des violations : la formation restreinte retient que les sociétés « réalisent l’essentiel de leurs bénéfices dans les deux principaux segments du marché de la publicité en ligne » et que les pratiques litigieuses leur ont permis de maintenir et développer leurs revenus publicitaires sans supporté les coûts de mise en conformité.

---

3. LES CRITÈRES ATTÉNUANTS RECONNUS PAR LA FORMATION RESTREINTE

 

La formation restreinte prend en compte, à titre atténuant, les éléments suivants :

—-Les modifications apportées en octobre 2023 au parcours de création de compte, rendant le refus des traceurs publicitaires aussi accessible que leur acceptation ;
—-La coopération des sociétés avec la CNIL au cours de la procédure de contrôle ;
—-L’absence de caractère intentionnel — au sens d’une volonté délibérée de violer la réglementation — de certains aspects des manquements.

---

LE DISPOSITIF DE LA DÉLIBÉRATION

La formation restreinte a prononcé, à l’encontre de GOOGLE LLC et de GOOGLE IRELAND LIMITED, les mesures suivantes :

1° Une amende administrative d’un montant total de 325 millions d’euros, ventilée comme suit :
—-200 millions d’euros à l’encontre de GOOGLE LLC
—-125 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

2° Une injonction de mise en conformité dans un délai de six (6) mois à compter de la notification de la présente décision, aux fins :
—-de cesser l’affichage d’annonces publicitaires entre les courriels dans la messagerie des utilisateurs du service Gmail sans avoir recueilli leur consentement préalable, conformément aux dispositions de l’article L. 34-5 du CPCE ;
—-de recueillir un consentement valable des utilisateurs lors de la création d’un compte Google pour le dépôt de traceurs à finalité publicitaire, conformément aux dispositions de l’article 82 de la loi Informatique et Libertés.

3° Une astreinte de 100 000 euros par jour de retard passé le délai de six mois imparti, à l’encontre de chacune des deux sociétés.

4° La publication de la présente décision sur le site de la CNIL, avec suppression de la mention nominative des sociétés à l’expiration d’un délai de deux ans à compter de la date de publication.

---

CONTEXTUALISATION AU REGARD DE LA JURISPRUDENCE ANTÉRIEURE ET POSTÉRIEURE DE LA CNIL

---

1. LA JURISPRUDENCE ANTÉRIEURE

 

La délibération SAN-2025-004 s’inscrit dans le prolongement direct de la jurisprudence de la CNIL en matière de cookies et de prospection électronique. Le tableau de la récidive Google est particulièrement significatif :

Délibération	Date	Montant	Objet	Validation CE
SAN-2020-012	7 décembre 2020	100 M€ (GOOGLE LLC) + 60 M€ (GIL)	Cookies sans consentement (google.fr)	CE, 28 janvier 2022, n° 449209
SAN-2021-023	31 décembre 2021	150 M€ (GOOGLE LLC)	Cookies : persistance non-conformité	—
SAN-2023-012	13 juillet 2023	Clôture d’injonction	Clôture injonction SAN-2021-023	—
SAN-2025-004	1er septembre 2025	200 M€ (GOOGLE LLC) + 125 M€ (GIL)	Publicités Gmail (L. 34-5 CPCE) + traceurs création de compte (art. 82 LIL)	—

La délibération SAN-2024-019 du 14 novembre 2024 (ORANGE SA, 50 millions d’euros) constitue le précédent jurisprudentiel le plus directement pertinent pour le premier manquement, en ce qu’elle a été la première décision de la CNIL à retenir explicitement la qualification de prospection directe par voie électronique pour des annonces insérées dans une interface de messagerie. La formation restreinte avait alors jugé, en se fondant sur le même arrêt CJUE C-102/20, « qu’une société affichait, entre les courriels présents au sein des boîtes mail de ses utilisateurs, des messages publicitaires prenant l’apparence de courriels », ce qui « constituait de la prospection directe par voie électronique au sens de l’article L. 34-5 du CPCE » et « que lorsque les utilisateurs du site orange.fr retiraient leur consentement aux publicités insérées entre les courriels, la société continuait à leur en afficher » (communiqué SAN-2024-019). Cette décision Orange a précédé de dix mois la présente décision Google et lui a servi de cadre de référence directement invocable.

---

2. LA JURISPRUDENCE CONCOMITANTE : SAN-2025-005 (SHEIN)

 

Le même 1er septembre 2025, la formation restreinte a prononcé la délibération SAN-2025-005 (SHEIN, 150 millions d’euros) pour des manquements à l’article 82 de la loi Informatique et Libertés. Cette décision concomitante confirme la mobilisation simultanée de la CNIL sur plusieurs dossiers majeurs de cookies, et renforce l’autorité normative de la délibération SAN-2025-004 en matière de consentement aux traceurs.

---

3. LA JURISPRUDENCE POSTÉRIEURE : SAN-2025-007 (CLÔTURE D’INJONCTION ORANGE)

 

La délibération SAN-2025-007 du 11 septembre 2025 a constaté la clôture de l’injonction prononcée à l’encontre d’ORANGE dans la décision SAN-2024-019, soit dix jours seulement après la présente décision. Cette célérité de mise en conformité d’ORANGE — en moins d’un an — illustre l’efficacité dissuasive du mécanisme d’injonction assorti d’astreinte et constitue un signal fort pour GOOGLE, soumise à la même exigence dans un délai de six mois.

---

 
 
 

---

POINTS ESSENTIELS

---

Par délibération du 1er septembre 2025, la formation restreinte de la CNIL a infligé aux sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED (ci-après « GIL ») des amendes administratives d’un montant total de 325 millions d’euros — soit 200 millions d’euros à l’encontre de GOOGLE LLC et 125 millions d’euros à l’encontre de GIL — pour manquements aux articles 82 de la loi Informatique et Libertés et L. 34-5 du code des postes et des communications électroniques (CPCE), assortis d’une injonction sous astreinte de 100 000 euros par jour de retard à l’expiration d’un délai de six mois.

Cette délibération revêt une portée jurisprudentielle de premier ordre à plusieurs titres.

Sur le premier manquement — prospection électronique illicite dans Gmail (article L. 34-5 du CPCE) : en s’appuyant sur l’interprétation fonctionnelle consacrée par la CJUE dans son arrêt StWL Gesellschaft für Werbung mbH, 25 novembre 2021, C-102/20, la formation restreinte retient que l’affichage d’annonces publicitaires insérées entre les courriels privés des utilisateurs ayant activé les « fonctionnalités intelligentes » de Gmail — dans les onglets Promotions et Réseaux sociaux — constitue une utilisation du courrier électronique à des fins de prospection directe, nonobstant l’absence de stockage technique de ces annonces dans l’espace de messagerie et leur caractère dynamique. La Cour avait posé le principe, d’application immédiate, que « si des entrées publicitaires de quelque nature que ce soit apparaissent dans la boîte de réception de la messagerie Internet, il y a lieu de considérer que cette boîte de réception constitue le moyen par lequel les messages publicitaires concernés sont communiqués à cet utilisateur » (point 44). La formation restreinte écarte les modifications visuelles d’avril 2023 — jugées insuffisantes à remettre en cause le régime juridique applicable — et constate l’absence totale de recueil du consentement préalable des utilisateurs, ni lors de la création du compte, ni lors de l’activation des fonctionnalités intelligentes, pour 53 millions de comptes actifs concernés en France.

Sur le second manquement — cookies sans consentement libre et éclairé (article 82 de la loi Informatique et Libertés) : la formation restreinte relève, d’une part, que jusqu’en octobre 2023, le parcours « personnalisation express 1 étape » orientait structurellement les utilisateurs vers l’acceptation de la publicité ciblée en rendant le refus plus difficile que l’acceptation, privant ainsi le consentement de son caractère libre au sens de l’article 4, §11, du RGPD et de la délibération CNIL n° 2020-092 du 17 septembre 2020. D’autre part, après la modification d’octobre 2023 ayant introduit un bouton « tout refuser », la formation restreinte constate que le défaut d’information claire sur la conditionnalité de l’accès aux services Google au dépôt de traceurs publicitaires persiste, rendant le consentement toujours non conforme à l’exigence de clarté posée par le considérant 42 du RGPD et l’avis n° 08/2024 du CEPD du 17 avril 2024 sur les modèles « consentir ou payer » ; 74 millions de comptes sont concernés.

Sur la co-responsabilité conjointe GOOGLE LLC / GIL : la formation restreinte confirme, en s’appuyant sur sa jurisprudence antérieure — SAN-2020-012 du 7 décembre 2020 et SAN-2021-023 du 31 décembre 2021, non contestés devant le Conseil d’État (CE, 28 janvier 2022, n° 449209 ; CE, 19 juin 2020, n° 430810) — que GOOGLE LLC détermine conjointement les finalités et moyens des traitements en cause, par l’intermédiaire d’un organe décisionnel matriciel dont les décisions sont nécessairement influencées par la société-mère américaine, indépendamment du rôle opérationnel de GIL dans l’EEE.

Sur la détermination des amendes : la formation restreinte applique la notion d’entreprise au sens des articles 101 et 102 TFUE, conformément à la jurisprudence de la CJUE, grande chambre, 5 décembre 2023, C-807/21, confirmée par CJUE, cinquième chambre, 13 février 2025, C-383/23, fondant le calcul de l’amende sur le chiffre d’affaires consolidé du groupe ALPHABET Inc. Elle retient à titre de circonstances aggravantes : la gravité intrinsèque des manquements, le nombre considérable de personnes concernées, la position dominante du groupe sur le marché de la publicité en ligne, l’avantage financier certain tiré des violations — la publicité via les services Google ayant généré plusieurs dizaines de milliards de dollars en 2022 et 2023 — et, surtout, la récidive quadruple : SAN-2020-012 (décembre 2020), SAN-2021-023 (décembre 2021), SAN-2023-012 (décembre 2023), puis SAN-2025-004. Elle reconnaît à titre atténuant les mesures correctives partielles prises en cours de procédure (désactivation de certains cookies, modifications visuelles des annonces Gmail, refonte partielle du parcours de création de compte).

La portée de cette délibération excède largement le cas d’espèce. Elle consolide définitivement l’interprétation fonctionnelle et expansive de la prospection électronique inbox en droit français et européen, faisant de toute annonce publicitaire insérée dans un espace normalement réservé aux courriels privés l’équivalent d’un message non sollicité soumis au régime de consentement préalable de l’article L. 34-5 du CPCE ; elle renforce l’exigence d’un consentement véritablement éclairé lors du parcours de création de compte, imposant aux plateformes d’informer sans ambiguïté les utilisateurs sur la conditionnalité de l’accès au service au dépôt de traceurs publicitaires ; elle confirme que la récidive répétée en matière de cookies et de prospection commerciale constitue une circonstance aggravante déterminante, susceptible d’emporter des amendes calibrées sur la capacité économique réelle du groupe — et non de la seule entité sanctionnée ; et elle rappelle avec force que ni la taille d’une entreprise, ni sa position d’acteur systémique de l’internet, ne constituent des boucliers contre les exigences fondamentales du droit à la protection de la vie privée numérique.