La CNIL sanctionne Google notamment pour l'insertion de publicités entre les e-mails reçus dans Gmail

Dans une délibération SAN-2025-004 du 1er septembre 2025, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED pour des manquements graves aux règles de protection des données personnelles.

Les faits et le contexte

Cette procédure trouve son origine dans une plainte déposée le 24 août 2022 par l’organisation None Of Your Business (NOYB), mandatée pour le compte de trois plaignants dénonçant «des courriels publicitaires dans l’onglet “Promotions” de leur messagerie électronique Gmail sans consentement». L’enjeu central porte sur le respect des obligations de consentement, tant pour le dépôt de cookies publicitaires que pour la prospection commerciale par voie électronique.

La procédure s’appuie sur deux séries de contrôles menés entre 2022 et 2023. D’une part, plusieurs vérifications ont été effectuées «afin de vérifier la conformité des traitements de données à caractère personnel relatifs à la mise en œuvre et l’utilisation du service de messagerie électronique Gmail et de tout traitement, y compris publicitaire, lié». D’autre part, la CNIL a procédé à «un contrôle en ligne des traitements relatifs aux traceurs lus et déposés sur le terminal des personnes connectées à un compte Google depuis le site web google.fr».

Les investigations ont révélé un parcours de création de comptes Google proposant deux options: une «personnalisation express (1 étape)» et une «personnalisation manuelle (5 étapes)». La formation restreinte relève que «jusqu’en octobre 2023, en cliquant sur le parcours de “personnalisation express (1 étape)”, puis sur le bouton “Confirmer”, deux clics suffisaient à l’utilisateur créant un compte Google pour accepter le dépôt et/ou l’écriture de cookies permettant l’affichage de publicité personnalisée», tandis que le refus nécessitait «six clics pour opter en faveur de la publicité générique».

Parallèlement, les contrôles ont mis en évidence l’affichage, dans les boîtes de réception Gmail, d’annonces publicitaires «insérées, entre les courriels reçus dans les onglets “Promotions” et “Réseaux sociaux” de la messagerie, des entrées exactement de la même taille que les autres courriels». Ces pratiques concernent un nombre considérable d’utilisateurs, puisque «entre le 1er avril 2021 et le 26 octobre 2023, […] comptes Google ont été créés par des utilisateurs résidant en France» (le nombre exact n’est pas communiqué par la CNIL, qui indique toutefois que «ce volume reflète la place centrale occupée par les comptes Google dans le quotidien des personnes résidant en France»).

Les arguments de Google

Face aux griefs formulés par la rapporteure, les sociétés Google ont développé une défense articulée autour de plusieurs axes principaux. Concernant la compétence de la CNIL, elles soutenaient que «la création d’un compte Google est un traitement de données à caractère personnel transfrontalier, qui rentre dans le champ d’application du [RGPD] et pour lequel l’autorité de contrôle chef de file […] compétente […] est l’autorité de protection des données irlandaise».

S’agissant du recueil du consentement aux cookies, les sociétés arguaient qu’elles «recueillent valablement le consentement des utilisateurs pour le dépôt et/ou la lecture de cookies publicitaires sur leur terminal, grâce à la dernière étape du parcours de création de compte Google». Elles revendiquaient en outre la conformité de leur approche avec «l’avis n° 08/2024 du CEPD du 17 avril 2024 sur la validité du consentement dans le cadre des modèles “consentir ou payer” qui plaide en faveur du recours à des modèles moins intrusifs».

Concernant les annonces Gmail, les sociétés niaient catégoriquement qu’il s’agisse de prospection électronique, estimant que «les annonces affichées sur la messagerie Gmail […] ne sont pas des courriers électroniques: elles ne répondent ni à la définition légale ni aux critères techniques d’un courrier électronique». Elles invoquaient par ailleurs le principe d’interprétation stricte de la loi pénale pour contester l’application de l’arrêt de la CJUE du 25 novembre 2021 (C-102/20).

Le raisonnement de la CNIL

La formation restreinte a d’abord établi sa compétence en s’appuyant sur la jurisprudence du Conseil d’État (décision du 28 janvier 2022, n° 449209). Elle rappelle que «le contrôle des opérations d’accès ou d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, relève de la compétence de la CNIL et que le système du guichet unique prévu par le RGPD n’est pas applicable». Cette position se fonde sur le fait que «il n’a pas été prévu l’application du mécanisme dit du “guichet unique” […] pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE».

S’agissant du manquement relatif aux cookies, la CNIL a caractérisé un double défaut du consentement. D’une part, celui-ci n’était pas libre jusqu’en octobre 2023, car «le fait de rendre le mécanisme de refus des cookies liés à la personnalisation des annonces plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser ces cookies». D’autre part, le consentement demeure non éclairé, notamment parce que «à aucun moment les sociétés n’indiquent aux utilisateurs de manière explicite que la création d’un compte Google implique nécessairement le dépôt de cookies à finalité publicitaire».

Concernant la prospection électronique, la formation restreinte s’est appuyée sur l’arrêt de la CJUE du 25 novembre 2021 pour considérer que «l’affichage dans la boîte de réception de l’utilisateur d’un service de messagerie électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique et au même emplacement que ce dernier constitue une “utilisation […] de courrier électronique à des fins de prospection directe”». Elle précise que «peu importe le fait que les annonces en cause ne constituent pas, d’un point de vue technique, des courriels à proprement parler», l’essentiel étant leur insertion «dans un espace normalement spécifiquement réservé aux courriels privés».

La décision et ses implications

La formation restreinte a prononcé des sanctions d’une ampleur exceptionnelle, traduisant la gravité des manquements constatés. GOOGLE LLC se voit infliger «une amende administrative d’un montant de deux cents millions (200 000 000) d’euros», tandis que GOOGLE IRELAND LIMITED écope de «cent vingt-cinq millions (125 000 000) d’euros». Ces montants tiennent compte de la position dominante du groupe sur le marché publicitaire et de «l’avantage financier certain» tiré des violations.

Au-delà des amendes, la CNIL impose une injonction de mise en conformité sous astreinte de «cent mille (100 000) euros par jour de retard à l’issue d’un délai de six (6) mois». Les sociétés devront notamment «fournir une information suffisante pour permettre aux utilisateurs situés en France de comprendre que des cookies poursuivant une finalité publicitaire seront nécessairement déposés lors de la création d’un compte Google» et «recueillir le consentement préalable des utilisateurs situés en France, avant toute opération de prospection électronique sur leur compte Gmail».

Cette sanction, qui s’élève au total à 325 millions d’euros, constitue l’une des plus importantes jamais prononcées par la CNIL et illustre la volonté de l’autorité de faire respecter les droits fondamentaux des utilisateurs face aux géants du numérique.

Les sociétés disposent d’un délai de quatre mois à compter de la notification de la décision pour la contester devant le Conseil d’État.

(Résumé assisté par l’IA)