Délibération SAN-2025-004 du 1 septembre 2025
La Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé des sanctions financières significatives à l’encontre de Google LLC (200 millions d’euros) et Google Ireland Limited (125 millions d’euros), assorties d’injonctions de mise en conformité.
Cette décision majeure, datée du 1er septembre 2025, met en lumière des manquements graves aux règles de protection des données personnelles, notamment concernant le recueil du consentement pour les cookies publicitaires et la prospection électronique via Gmail.
Cette affaire est un rappel de l’importance pour toutes les entreprises de se conformer rigoureusement au Règlement Général sur la Protection des Données (RGPD) et à la directive ePrivacy (transposée en France par la loi Informatique et Libertés et le Code des Postes et Communications Électroniques).
1. Le manquement au consentement des Cookies : un Choix non libre et non éclairé
La CNIL a sanctionné Google pour non-respect des dispositions de l’article 82 de la loi Informatique et Libertés, qui exige un consentement libre, spécifique et éclairé pour le dépôt et/ou la lecture de cookies publicitaires sur les terminaux des utilisateurs.
- Consentement Non Libre (avant octobre 2023) : Avant octobre 2023, le parcours de création d’un compte Google était conçu de manière à biaiser le choix de l’utilisateur. Accepter les cookies pour la publicité personnalisée nécessitait seulement deux clics via la « personnalisation express (1 étape) », tandis que refuser cette personnalisation et opter pour des publicités génériques exigeait six clics via un parcours « manuel » plus complexe. Ce déséquilibre a été jugé contraire à la liberté de choix de l’utilisateur.
- Consentement Non Éclairé (persistant) : La CNIL a constaté que, même après les modifications d’octobre 2023, les utilisateurs ne sont toujours pas suffisamment informés qu’ils ne peuvent pas créer un compte Google sans accepter des cookies à finalité publicitaire. Le processus présente un « mur de traceurs » implicite, sans que cela soit clairement indiqué. De plus, le langage utilisé est souvent ambigu, et la présentation des options favorise nettement la publicité personnalisée, ne permettant pas à l’utilisateur de comprendre pleinement la portée de ses choix.
2. La Publicité dans Gmail : Une Prospection Électronique sans Consentement
Un autre manquement significatif concerne l’affichage de publicités dans la messagerie Gmail.
La CNIL a jugé que Google n’avait pas recueilli le consentement préalable des utilisateurs pour cette forme de prospection électronique, en violation de l’article L. 34-5 du Code des Postes et des Communications Électroniques (CPCE).
Publicités considérées comme de la « prospection directe » : La CNIL, se basant sur une jurisprudence de la Cour de Justice de l’Union Européenne (CJUE), a affirmé que les publicités insérées entre les courriels reçus dans les onglets « Promotions » et « Réseaux sociaux » de Gmail constituent une « utilisation de courrier électronique à des fins de prospection directe ». Peu importe que ces publicités ne soient pas techniquement des emails, leur affichage dans un espace normalement réservé aux courriels privés et leur apparence similaire créent un risque de confusion et entravent l’accès aux messages.
Absence de consentement préalable : Les sociétés n’ont pas démontré avoir recueilli le consentement libre, spécifique et informé des utilisateurs pour l’affichage de ces publicités dans leur messagerie Gmail, que ce soit lors de la création du compte ou de l’activation des « fonctionnalités intelligentes ».
3. Les enseignements
Les amendes de 200 millions d’euros pour Google LLC et 125 millions d’euros pour Google Ireland Limited sont parmi les plus élevées prononcées par la CNIL et s’inscrivent dans une volonté d’assurer que les sanctions soient « effectives, proportionnées et dissuasives ». Ces montants sont calculés en tenant compte du chiffre d’affaires de l’entreprise au sens d’« unité économique », incluant la maison mère Alphabet Inc..
Outre les amendes, la CNIL a ordonné à Google de se conformer aux exigences sous six mois, sous peine d’une astreinte de 100 000 euros par jour de retard. La décision a également été rendue publique pour alerter les utilisateurs et renforcer la transparence.
Cette délibération de la CNIL est un signal fort pour toutes les entreprises, quel que soit leur taille, opérant sur le territoire français ou ciblant des utilisateurs en France et met en exergue le fait que :
- Le consentement n’est pas une formalité : Il doit être réellement libre (options d’acceptation et de refus équivalentes), spécifique (pour chaque finalité), éclairé (informations claires et complètes sur les traitements et leurs conséquences) et univoque (acte positif clair).
- Attention à la « dark patterns » : Les interfaces qui incitent ou manipulent les utilisateurs vers un choix favorable à l’entreprise sont prohibées. La présentation des choix doit être neutre et équilibrée.
- La prospection électronique est strictement encadrée : Toute communication à des fins commerciales insérée dans l’espace privé de messagerie d’un utilisateur, même si elle n’est pas un email au sens technique, requiert un consentement préalable. Les onglets « Promotions » ou « Réseaux sociaux » ne sont pas des exceptions.
- La compétence de la CNIL : La CNIL peut contrôler et sanctionner des entités, même étrangères, dès lors que leurs traitements concernent des utilisateurs français, notamment pour les aspects couverts par la directive ePrivacy, sans application systématique du mécanisme de « guichet unique » du RGPD.
Naviguer dans le labyrinthe des réglementations sur la protection des données est complexe. La sanction de Google démontre que même les géants du numérique doivent faire preuve d’une rigueur absolue.
Le cabinet de Maître Sarah Garcia, spécialiste en Droit du Numérique, RGPD, et DPO Externe, se tient à vos côtés pour vous accompagner. Nous vous aidons à :
- Évaluer et mettre en conformité vos pratiques en matière de cookies et de recueil de consentement.
- Sécuriser vos opérations de prospection commerciale électronique.
- Mettre en place une politique d’accompagnement juridique réactive, rigoureuse et humaine pour tous vos projets numériques.