Google condamné par la Cnil à payer une amende de 325 millions d’euros

Les opinions exprimées par l’auteur sont personnelles et n’engagent pas la Cour de justice de l’Union européenne

Le géant américain se voit reprocher l’insertion de publicités dans la boîte de courriels Gmail et l’installation opaque de cookies publicitaires lors de la création d’un compte Google, en violation de la directive ePrivacy.

Le 24 août 2022, la Commission nationale de l’informatique et des libertés (Cnil) a été saisie d’une plainte par l’organisation non gouvernementale None Of Your Business. Cette organisation, qui veille à l’application des lois relatives à la protection des données (dont le RGPD1 et la directive ePrivacy2), fut mandatée par trois plaignants qui reprochaient à Google de transmettre des courriels publicitaires, sans leur consentement, dans l’onglet Promotions de leur messagerie électronique Gmail.

À la suite de cette saisine, la Cnil procéda à plusieurs contrôles, y compris dans les locaux de la société Google France, afin de vérifier la conformité des traitements de données à caractère personnel relatifs à la mise en œuvre et à l’utilisation du service de messagerie Gmail et du traitement publicitaire associé.

Dans sa décision publiée le 1er septembre 2025, la Commission constate, d’une part, que, lors de la création d’un compte Google, les utilisateurs étaient incités à choisir les traceurs liés à l’affichage de publicités personnalisées au détriment de ceux relatifs à la publicité générique et, d’autre part, que le service de messagerie Gmail affiche de la publicité sous forme de courriel sans avoir recueilli l’accord des utilisateurs.

S’agissant du premier de ces manquements, la Cnil rappelle que, selon la directive 2002/58/CE, dite « directive ePrivacy », tout utilisateur d’un service de messagerie doit être informé de manière claire et complète des conditions dans lesquelles des informations peuvent être stockées ou accessibles depuis son terminal et, sauf si les cookies sont strictement nécessaires à la fourniture du service demandé ou qu’ils ont pour seul but de faciliter la communication électronique, qu’il doit disposer de la liberté de s’opposer à un tel traitement de données.

La Cnil a ainsi relevé que le service Gmail est proposé gratuitement aux utilisateurs et que la maintenance ainsi que le développement de ce service reposent sur les revenus publicitaires du groupe Google et, donc, dépendent du dépôt de cookies. Il apparaît ainsi à la Cnil que conditionner l’accès au service Gmail à l’usage de cookies n’a rien d’illégal. Encore faut-il que les utilisateurs y consentent librement.

La Cnil va, dans un premier temps, examiner dans quelle mesure il est aisé pour un utilisateur de personnaliser les cookies lors de la création d’un compte Google, nécessaire à l’utilisation du service Gmail. Elle relève alors que, avant les modifications apportées par Google en 2023, la création d’un compte permettait, en deux clics, de souscrire au dépôt ou à l’écriture de cookies favorisant l’affichage de publicités personnalisées. En revanche, il fallait effectuer six clics pour refuser la personnalisation des annonces via ces cookies et donc, opter pour la publicité générique. Néanmoins, la Cnil constate que les modifications apportées en octobre 2023 corrigent cette situation puisqu’il est désormais tout aussi facile de refuser la personnalisation des annonces que de l’accepter.

Dans un second temps, la Cnil s’intéresse aux informations communiquées par Google relatives aux cookies publicitaires lors de la création du compte. Elle observe que, tant avant qu’après 2023, le parcours de création d’un compte n’indique pas suffisamment clairement aux utilisateurs que cela implique nécessairement le dépôt de cookies à finalité publicitaire. Or, c’est un élément important du consentement, au regard de la Cnil, puisque, sans cette information, un utilisateur n’est pas pleinement éclairé sur ce qu’implique la création d’un compte Google. La Cnil observe à cet égard que Google aurait pu opter pour un « mur de traceurs », c’est-à-dire une option conditionnant l’accès à un contenu : soit à l’acceptation de traceurs contribuant à rémunérer son service ; soit au paiement d’une somme d’argent. Toutefois, la Commission déplore qu’à défaut l’utilisateur soit confronté à un parcours « complexe et ambigu ».

À la lumière de ces deux éléments, la Cnil constate que les modalités du consentement du dépôt et de la lecture des cookies publicitaires ne répondent pas aux exigences de la directive ePrivacy.

S’agissant du second de ces manquements, la Cnil rappelle qu’une personne ne peut faire l’objet de prospection par un moyen de communication électronique automatisé qu’à la condition préalable d’avoir exprimé son consentement à un tel démarchage et par un tel moyen de communication.

La Cnil va alors s’appuyer sur la jurisprudence de la Cour de justice de l’Union européenne et, plus particulièrement, sur son arrêt StWL Städtische Werke Lauf a.d. Pegnitz GmbH3 ayant jugé que : « Si des entrées publicitaires de quelque nature que ce soit apparaissent dans la boîte de réception de la messagerie internet, à savoir dans la rubrique dans laquelle l’ensemble des courriers électroniques adressés à l’utilisateur s’affichent, il y a lieu de considérer que cette boîte de réception constitue le moyen par lequel les messages publicitaires concernés sont communiqués à cet utilisateur, ce qui implique l’utilisation de son courrier électronique à des fins de prospection directe, au sens de l’article 13, paragraphe 1, de la directive 2002/58. »4

La Cnil observe ensuite que l’affichage des versions mobile et web de la boîte de réception des utilisateurs du service Gmail fait apparaître des messages publicitaires dont l’apparence se rapproche de véritables courriels. Google faisait valoir qu’il ne s’agissait pas de véritables courriels puisque ces messages n’étaient pas stockés dans l’espace de stockage des courriels des utilisateurs, qu’ils changeaient à intervalles réguliers et qu’ils n’étaient pas échangés entre deux personnes identifiables. Il reste que, pour la Cnil, en vertu de l’arrêt de la Cour de Justice de l’Union européenne, l’argument n’est pas pertinent : le seul fait que ces messages publicitaires soient insérés dans un espace normalement réservé aux courriels privés, lesquels sont adressés directement et individuellement aux utilisateurs, suffit à les qualifier de « courrier électronique à des fins de prospection ».

Le même constat s’impose à la Cnil concernant les changements effectués par Google, en 2023, dans son service de messagerie : Google avait pourtant modifié l’affichage de ces messages, et réalisé un sondage révélant que, suite à ces changements visuels, peu d’utilisateurs les confondaient avec de véritables messages. Néanmoins, insiste la Cnil, ce n’est pas tant l’apparence qui compte, que leur emplacement.

Quant à la question du consentement, Google soutenait que celui-ci était recueilli lors de la création d’un compte. Argument rejeté par la Cnil qui relève que la création d’un compte Google ne mentionne jamais explicitement à l’utilisateur qu’il est susceptible de recevoir de la publicité au sein de sa messagerie Gmail. Il est seulement indiqué, sans autre précision, que des publicités seront affichées sur les services Google.

Au vu de ces manquements, il est donc justifié, selon la Cnil, d’imposer à Google la lourde amende de 325 millions d’euros, ainsi que l’injonction de régulariser la situation dans un délai de six mois sous peine d’une astreinte de 100 000 euros par jour de retard.

On observe que, pour parvenir à un tel montant, la décision de la Cnil a tenu compte du fait que les règles relatives à la prospection commerciale par voie électronique ont été définies dans les législations française et européenne il y a de nombreuses années et que, compte tenu de la place qu’occupe Google sur le marché et des moyens dont cette société dispose, celle-ci s’est montrée particulièrement négligente. En outre, la présente décision s’appuie sur une précédente condamnation de Google par la Cnil en décembre 2021 : le groupe américain n’avait pas installé, sur les sites youtube.com et google.fr, des options pour refuser les opérations consistant à déposer et à lire un cookie qui aient le même degré de simplicité que celui prévu pour en accepter l’usage. Il était donc évident pour la Cnil que Google était à même de mesurer la portée de ses obligations sur l’ensemble de ses services et de déterminer ceux n’étant pas conformes à la législation en vigueur.

Alors même que la législation européenne relative à la protection des données fait grincer des dents outre-Atlantique, la décision de la Cnil et le montant de l’amende infligée à Google tendent à indiquer que cette protection, au moins en France, ne se négocie pas, même sous la menace de l’augmentation des droits de douane.

1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
2. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive Vie privée et communications électroniques).
3. Arrêt StWL Städtische Werke Lauf a.d. Pegnitz ontre eprimo GmbH, C 102/20,  EU:C:2021:954, 25 novembre 2021.
4. Ibid., point 44.

Sources :

• Cnil, « Délibération de la formation restreinte n° SAN-2025-004 du 1er septembre 2025 concernant les sociétés Google LLC et Google Ireland Limited », cnil.fr
• Cnil, « Publicités insérées entre les courriels et cookies : la Cnil sanctionne Google d’une amende de 325 millions d’euros », cnil.fr, 3 septembre 2025.