CNIL | SAN-2025-004 | 1er septembre 2025 | Affaire GOOGLE LLC et GOOGLE IRELAND LIMITED | SAN-2025-004-SHORT

I.

La délibération SAN-2025-004 du 1er septembre 2025 de la formation restreinte de la CNIL constitue l’un des actes répressifs les plus significatifs adoptés par l’autorité française de protection des données à l’encontre d’un acteur numérique d’envergure mondiale. Elle sanctionne deux manquements distincts mais connexes, commis par les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED dans le cadre de l’exploitation de la messagerie Gmail et du parcours de création d’un compte Google à destination des utilisateurs situés en France.

Le premier manquement porte sur l’affichage d’annonces publicitaires insérées entre les courriels au sein des onglets « Promotions » et « Réseaux sociaux » de la messagerie Gmail, sans recueil du consentement préalable des utilisateurs. La formation restreinte se fonde sur l’arrêt de la CJUE du 25 novembre 2021 pour qualifier ces annonces de « prospection directe par courrier électronique » au sens de l’article L. 34-5 du CPCE : dès lors que ces messages font la promotion de biens ou de services, ne sont pas envoyés d’un utilisateur à un autre, et sont insérés dans un espace normalement réservé à la correspondance privée en prenant l’apparence de véritables courriels, ils constituent une prospection électronique nécessitant le consentement préalable des personnes concernées.

II.

Les sociétés ont opposé en défense que ces annonces seraient assimilables à de la publicité contextuelle et non à de la prospection électronique. La formation restreinte écarte cette qualification, en soulignant que le critère déterminant est la nature intrusive de l’insertion dans l’espace de la messagerie personnelle, indépendamment de la dénomination commerciale retenue par l’opérateur. Elle relève que les adaptations visuelles apportées par les sociétés à compter d’avril 2023 — dont l’ajout d’une mention « Annonce » plus visible — n’ont pas modifié l’architecture fondamentale du dispositif, les annonces continuant à ne pas se distinguer clairement des courriels authentiques reçus par les utilisateurs.

Le second manquement concerne le parcours de création d’un compte Google. La formation restreinte constate qu’au moment des contrôles, et jusqu’en octobre 2023, l’acceptation des traceurs liés à la publicité personnalisée était structurellement facilitée par rapport à leur refus, portant ainsi atteinte au caractère libre du consentement exigé par l’article 82 de la loi Informatique et Libertés. Après qu’un bouton de refus aussi accessible que le bouton d’acceptation eut été introduit en octobre 2023, la formation restreinte retient que persiste néanmoins une seconde défaillance : aucune information suffisante n’est fournie aux utilisateurs pour leur permettre de comprendre que l’accès aux services Google est conditionné au dépôt de traceurs publicitaires, quelle que soit l’option choisie. Le consentement ne peut être regardé comme éclairé en l’absence de cette information essentielle.

III.

L’architecture de compétence repose sur une distinction fondamentale entre le régime du RGPD et celui de la directive ePrivacy. La CNIL est compétente, en tant qu’autorité nationale exclusive, pour contrôler et sanctionner les manquements relevant de la directive ePrivacy transposée aux articles 82 de la loi Informatique et Libertés et L. 34-5 du CPCE, sans que le mécanisme de guichet unique prévu à l’article 56 du RGPD — qui désigne la Data Protection Commission irlandaise comme autorité chef de file pour les traitements transfrontaliers RGPD du groupe GOOGLE — ait vocation à s’appliquer. Cette position a été définitivement consacrée par le Conseil d’État dans sa décision du 28 janvier 2022 (Société GOOGLE LLC, n° 449209), que la formation restreinte rappelle expressément, et que les sociétés n’ont d’ailleurs pas contestée dans la présente procédure.

La compétence territoriale de la CNIL est fondée sur le rôle de GOOGLE France, établissement français du groupe, dans la promotion et la commercialisation des solutions publicitaires de Google en France. La notion d’établissement est interprétée de façon souple, conformément à la jurisprudence Weltimmo de la CJUE (C-230/14), et la formation restreinte maintient l’analyse qu’elle avait développée dès la délibération SAN-2020-012 du 7 décembre 2020.

IV.

La responsabilité conjointe de GOOGLE LLC et GOOGLE IRELAND LIMITED est retenue au motif que ces deux sociétés déterminent ensemble les finalités et les moyens des traitements liés aux traceurs et à la prospection commerciale. La formation restreinte précise que les évolutions organisationnelles intervenues dans le groupe GOOGLE depuis les précédentes procédures sont sans incidence sur cette qualification. Sur la question du calcul du plafond de l’amende et de son assiette, elle applique la doctrine de l’« unité économique » issue du droit de la concurrence, consacrée par les arrêts CJUE du 5 décembre 2023 (C-807/21, Deutsche Wohnen) et du 13 février 2025 (C-383/23), aux termes desquels la notion d’« entreprise » au sens de l’article 83 du RGPD doit être appréhendée à la lumière des articles 101 et 102 du TFUE. Il s’ensuit que le chiffre d’affaires du groupe GOOGLE dans son ensemble constitue la référence pour apprécier le montant maximal et le caractère proportionné et dissuasif des amendes.

V.

La délibération porte également la marque d’une évolution procédurale notable. En application de la décision n° 2025-1154 du 8 août 2025 du Conseil constitutionnel relative à la conformité aux droits et libertés garantis par la Constitution de l’article 22 de la loi Informatique et Libertés, les sociétés ont été informées, à titre conservatoire, de leur droit de garder le silence sur les faits qui leur étaient reprochés. Cette mention traduit l’influence croissante, dans les procédures administratives répressives, des garanties procédurales du procès équitable et du droit à ne pas s’auto-incriminer. Les sociétés avaient préalablement sollicité un sursis à statuer dans l’attente de cette décision du Conseil constitutionnel, demande rejetée par le président de la formation restreinte au motif que la QPC en cause portait sur un texte distinct.

La formation restreinte retient enfin la circonstance aggravante de la récidive : les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED avaient déjà été sanctionnées par la CNIL en 2020 et en 2021 pour des manquements en matière de traceurs, et ces sanctions avaient été validées par le Conseil d’État. Le fait que les sociétés aient maintenu, pendant plusieurs années après ces condamnations, des pratiques non conformes en matière de consentement aux traceurs lors de la création de compte Google caractérise une négligence que la formation restreinte qualifie d’aggravée.

POINTS ESSENTIELS