La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, Mmes Laurence FRANCESCHINI et Isabelle LATOURNARIE-WILLEMS et Didier KLING, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le code des postes et des communications électroniques ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2025-1154 du 8 août 2025 du Conseil Constitutionnel relative à la conformité aux droits et libertés garantis par la Constitution de l’article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Vu la décision n° 2022-175C du 29 septembre 2022 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements de données à caractère personnel relatifs à la mise en œuvre et l’utilisation du service de messagerie électronique " Gmail " et tout traitement, y compris publicitaire, lié auprès de tout organisme susceptible d’être concerné par leur mise en œuvre ;

Vu la décision n° 2023-103C du 19 avril 2023 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements relatifs aux traceurs lus et déposés sur le terminal des personnes connectées à un compte Google lors de leur navigation auprès de tout organisme susceptible d’être concerné par leur mise en œuvre ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés du 30 avril 2024 portant désignation d’un rapporteur devant la formation restreinte ;

Vu le rapport de Mme Anne DEBET, commissaire rapporteure, signifié aux sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED le 25 juillet 2024 ;

Vu les observations écrites versées par le Conseil des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED le 4 octobre 2024 ;

Vu la réponse de la rapporteure à ces observations, signifiée aux sociétés le 25 novembre 2024 ;

Vu les observations écrites versées par le Conseil des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED le 29 janvier 2025 et le 28 avril 2025 ;

Vu la clôture de l’instruction, signifiée aux sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED le 26 mai 2025 ;

Vu les observations orales formulées lors de la séance de la formation restreinte du 26 juin 2025 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 26 juin 2025 :

- Mme Anne DEBET, commissaire, entendue en son rapport ;

En qualité de représentants des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED :

• […]

Les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED ayant été informées, à titre conservatoire et au regard des implications encore incertaines de la jurisprudence du Conseil constitutionnel en cette matière, de leur droit de garder le silence sur les faits qui leur étaient reprochés, et celles-ci ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. FAITS ET PROCÉDURE

1. La société GOOGLE LLC est une société à responsabilité limitée ayant son siège social en Californie (États-Unis). Depuis sa création en 1998, elle a développé de nombreux services à destination des particuliers et des entreprises, tels que le moteur de recherche Google Search, la messagerie électronique Gmail, le service de cartographie Google Maps ou encore la plateforme de vidéos YouTube. Elle possède plus de 70 bureaux implantés dans une cinquantaine de pays et employait plus de […] personnes en 2024. Depuis août 2015, elle est une filiale détenue à 100% par la société ALPHABET Inc., maison-mère du groupe GOOGLE.

2. Dans le cadre de la présente décision, le groupe GOOGLE s’entend comme étant formé par la société GOOGLE LLC et l’ensemble de ses filiales, dont la société GOOGLE IRELAND LIMITED (ci-après la société " GIL ") qui officie en tant qu’entité en charge de la gestion des produits Google dans l’Espace économique européen (ci-après " EEE ") et en Suisse, et la société GOOGLE France, établissement français du groupe et dont le siège social est situé à Paris (France).

3. En 2024, la société ALPHABET Inc. a réalisé un chiffre d’affaires de 350 milliards de dollars et plus de 100 milliards de dollars de bénéfice. En 2023, son chiffre d’affaires était de plus de 307 milliards de dollars et celui de la société GOOGLE LLC de plus de 305 milliards de dollars.

4. La société GOOGLE IRELAND LIMITED a réalisé en 2022 un chiffre d’affaires de plus de 72,6 milliards d’euros et de plus de 64,8 milliards d’euros en 2021.

5. La société GOOGLE France a réalisé en 2023 un chiffre d’affaire de plus de […] et de plus de […] en 2022.

6. Créée en 2004, la messagerie électronique Gmail est un service gratuit dont l’utilisation nécessite au préalable la création d’un compte Google. La création d’un compte Google permet d’accéder à de nombreux produits Google, tels que Gmail, Google Ads, Youtube etc.. Entre le 1er avril 2021 et le 26 octobre 2023, […] comptes Google ont été créés par des utilisateurs résidant en France au moment de leur inscription.

7. Le 24 août 2022, la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a été saisie d’une plainte émanant de l’organisation None Of Your Business (ci-après " NOYB "), mandatée pour le compte de trois plaignants indiquant recevoir des courriels publicitaires dans l’onglet " Promotions " de leur messagerie électronique Gmail sans consentement.

8. Le groupe GOOGLE a fait l’objet de deux procédures de contrôle distinctes, visant à vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après " la loi Informatique et Libertés " ou " loi du 6 janvier 1978 modifiée ") et des autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.

9. D’une part, en application de la décision n° 2022-175C du 29 septembre 2022 de la présidente de la CNIL, plusieurs contrôles ont été effectués afin de vérifier la conformité des traitements de données à caractère personnel relatifs à la mise en œuvre et l’utilisation du service de messagerie électronique Gmail et de tout traitement, y compris publicitaire, lié.

10. Tout d’abord, une délégation a procédé le 20 octobre 2022 à une mission de contrôle en ligne qui s’est terminée le 4 novembre 2022.

11. Ensuite, les 29 novembre et 6 décembre 2022, deux contrôles sur place ont été réalisés dans les locaux de la société GOOGLE France. Des éléments complémentaires ont été adressés à la délégation par le conseil des sociétés les 9 et 16 décembre 2022 et les 18 janvier, 11 avril et 22 mai 2023.

12. Enfin, la délégation a procédé à un nouveau contrôle sur place le 5 septembre 2023 dans les locaux de la société GOOGLE France. Le 26 septembre 2023, le conseil des sociétés a adressé à la délégation des éléments complémentaires.

13. D’autre part, en application de la décision n° 2023-103C du 19 avril 2023 de la présidente de la CNIL, la délégation a procédé le 20 avril 2023 à un contrôle en ligne des traitements relatifs aux traceurs lus et déposés sur le terminal des personnes connectées à un compte Google depuis le site web google.fr, lors de leur navigation sur YouTube, Google Maps et Google Search.

14. Le 14 novembre 2023, le conseil des sociétés a adressé des éléments complémentaires en réponse au questionnaire que lui avait adressé la délégation, portant sur Google Search, YouTube, Google Maps ainsi que sur le parcours de création de compte et la personnalisation des annonces.

15. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 30 avril 2024, désigné Mme Anne DEBET en qualité de rapporteure sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.

16. Le 25 juillet 2024, à l’issue de son instruction, la rapporteure a fait signifier aux sociétés GOOGLE LLC et GIL (ci-après dénommées ensemble " les sociétés ") un rapport détaillant les manquements aux articles 82 de la loi Informatique et Libertés et L. 34-5 du code des postes et des communications électroniques (ci-après, " le CPCE ") qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer à l’encontre des sociétés une amende administrative, ainsi qu’une injonction de mettre en conformité ses pratiques avec les dispositions susvisées, assortie d’une astreinte. Il proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.

17. Le 4 octobre 2024, les sociétés ont produit des observations en réponse au rapport de sanction.

18. La rapporteure a répondu à ces observations le 25 novembre 2024.

19. Le 17 janvier 2025 les sociétés ont sollicité que soit ordonné un sursis à statuer dans l’attente de la décision du Conseil constitutionnel sur la question prioritaire de constitutionnalité relative à l’article L. 621-12 alinéa 1er du code monétaire et financier, renvoyée par le Conseil d’Etat le 27 décembre 2024 et portant sur la nécessité de notifier le droit de se taire lors d’une visite domiciliaire menée par les enquêteurs de l’Autorité des marchés financiers. Par courrier du 30 janvier 2025, le président de la formation restreinte a indiqué en réponse ne pas faire droit à cette demande.

20. Le 29 janvier 2025 et le 28 avril 2025, les sociétés ont produit de nouvelles observations en réponse à celles de la rapporteure.

21. Le 26 mai 2025, la rapporteure a, en application de l’article 40-III du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés (ci-après, " le décret du 29 mai 2019 "), informé les sociétés que l’instruction était close.

22. Le 6 juin 2025, les sociétés ont été informées que le dossier était inscrit à l’ordre du jour de la formation restreinte du 26 juin 2025.

23. La rapporteure et les sociétés ont présenté des observations orales lors de la séance de la formation restreinte.

II. MOTIFS DE LA DECISION

A. Sur la compétence de la CNIL

1. Sur la compétence matérielle de la CNIL et l’applicabilité du mécanisme de " guichet unique " prévu par le RGPD

24. L’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après " la directive ePrivacy "), relatif au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés, au sein du chapitre IV " Droits et obligations propres au traitements dans le secteur des communications électroniques " de cette loi.

25. L’article 13, paragraphe 1, de cette même directive, relatif à la prospection électronique a été transposé en droit interne à l’article L. 34-5 du code des postes et des communications électroniques (ci-après " CPCE "), qui prévoit en son alinéa 6 que " La Commission nationale de l’informatique et des libertés veille, pour ce qui concerne la prospection directe utilisant les coordonnées d’un abonné ou d’une personne physique, au respect des dispositions du présent article en utilisant les compétences qui lui sont reconnues par la loi n°78-17 du 6 janvier 1978 précitée. ".

26. Aux termes de l’article 16 de la loi Informatique et Libertés, " la formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi ". Au terme de l’article 20 paragraphe IV de cette même loi, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant […] de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut […] saisir la formation restreinte […]".

27. La rapporteure considère que la CNIL est matériellement compétente en application de ces dispositions pour contrôler et, le cas échéant, sanctionner les opérations de prospection électronique et les opérations d’accès ou d’inscription d’informations mises en œuvre par les sociétés GOOGLE LLC et GIL qui relèvent des dispositions précitées.

28. En défense, les sociétés GOOGLE LLC et GIL considèrent que la création d’un compte Google est un traitement de données à caractère personnel transfrontalier, qui rentre dans le champ d’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après " le RGPD ") et pour lequel l’autorité de contrôle chef de file - en vertu de l’article 56 du RGPD - compétente pour mettre en œuvre le mécanisme de coopération entre autorités de contrôle prévu au chapitre VII de ce Règlement, est l’autorité de protection des données irlandaise, la Data Protection Commission (ci-après " la DPC "). […]

29. En premier lieu, la formation restreinte rappelle que dès lors que les traitements objets du contrôle sont effectués dans le cadre de la fourniture de services de communications électroniques accessibles au public par le biais d’un réseau public de communications électroniques proposé au sein de l’Union européenne, ils entrent dans le champ d’application matériel de la directive ePrivacy.

30. Elle relève qu’il ressort des dispositions précitées que le législateur français a chargé la CNIL de veiller au respect, par les responsables de traitement, des dispositions de la directive ePrivacy transposées à l’article 82 de la loi Informatique et Libertés et à l’article L. 34-5 du CPCE, en lui confiant notamment le pouvoir de sanctionner toute méconnaissance de ces articles.

31. La formation restreinte rappelle ensuite que le Conseil d’État a, dans sa décision Société GOOGLE LLC et société GOOGLE IRELAND LIMITED du 28 janvier 2022, confirmé que le contrôle des opérations d’accès ou d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, relève de la compétence de la CNIL et que le système du guichet unique prévu par le RGPD n’est pas applicable : " il n’a pas été prévu l’application du mécanisme dit du " guichet unique " applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive. Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978 […] " (CE, 28 janvier 2022, 10ème et 9ème chambres réunies, société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, au recueil). Le Conseil d’État a réaffirmé cette position dans un arrêt du 27 juin 2022 (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423, aux tables).

32. La formation restreinte relève que la position du Conseil d’État s’agissant de l’absence de mécanisme de guichet unique concerne l’ensemble des mesures de mise en œuvre et de contrôle de la directive ePrivacy, ce qui comprend donc – outre l’article 5, paragraphe 3, de ladite directive – les obligations relatives à la prospection électronique issues de l’article 13, paragraphe 1, de ladite directive.

33. En second lieu, la formation restreinte rappelle que le principe non bis in idem, notamment garanti par l’article 50 de la Charte des droits fondamentaux de l’Union européenne, a vocation à s’appliquer dans l’hypothèse où une personne a déjà été condamnée ou acquittée par un jugement définitif, pour des faits relevant de la même infraction (CJUE, 7 janvier 2004, Aalborg Portland e.a./Commission, affaire C 204/00 P, § 338).

34. Elle relève que les sociétés ont mis en place une interface – les parcours de création de compte Google – à partir de laquelle de multiples traitements de données à caractère personnel peuvent être mis en œuvre, en l’espèce, des traitements de données encadrés par le RPGD et des traitements encadrés par la directive ePrivacy.

35. Pour autant, si ce parcours de création de compte Google constitue une même porte d’entrée pour plusieurs traitements, ceux-ci sont bien distincts car ils ont des objets très différents (inscription d’informations sur le terminal utilisateur - ci-après " cookies " - enregistrement des recherches web ou encore de l’historique YouTube) et ils sont encadrés par des textes différents et des règles de compétences distinctes qui permettent de faire obstacle à la possibilité que les sociétés puissent être sanctionnées plusieurs fois pour des faits identiques entrant dans un même champ de compétence matériel et territorial.

36. En effet, comme rappelé aux points 29 à 32, la formation restreinte relève, d’une part, que la CNIL dispose d’une compétence exclusive pour sanctionner le non-respect par les sociétés des dispositions de l’article 82 de la loi Informatique et Libertés et de l’article L-34-5 du CPCE en ce qui concerne les utilisateurs situés en France et que, d’autre part, elle n’est pas compétente pour sanctionner d’éventuels manquements aux obligations des sociétés au RGPD qui concerneraient un traitement de données transfrontalier.

37. […] Au surplus, il ne ressort pas des éléments fournis, que les sociétés GOOGLE LLC et GIL aient déjà été définitivement condamnées ou acquittées par quelque autorité de contrôle nationale ou juridiction que ce soit, par une décision ou un jugement définitif, pour les manquements visés dans la présente procédure. En conséquence, la formation restreinte considère que le principe non bis in idem n’est pas méconnu.

38. Il résulte de ce qui précède que le mécanisme de guichet unique prévu par le RGPD n’est pas applicable à la présente procédure et que la CNIL est compétente pour contrôler et sanctionner les traitements mis en œuvre par les sociétés relevant du champ d’application de la directive ePrivacy, dans la mesure où ils se rattachent à sa compétence territoriale.

2. Sur la compétence territoriale de la CNIL

39. La règle d’application territoriale des exigences énoncées aux articles 82 de la loi Informatique et Libertés et L. 34-5 du CPCE est fixée à l’article 3, paragraphe I de la loi Informatique et Libertés qui dispose " sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements de donnée à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement […] sur le territoire français, que le traitement ait lieu ou non en France ".

40. La rapporteure considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que les traitements objets de la présente procédure, consistant en des opérations de prospection électronique et des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation des services Google, notamment à des fins publicitaires, sont effectués dans le " cadre des activités " de la société GOOGLE France, qui constitue " l’établissement " sur le territoire français du groupe GOOGLE, en charge de la promotion et de la commercialisation des produits Google et de leurs solutions publicitaire en France.

41. En premier lieu, s’agissant de l’existence d’un " établissement du responsable de traitement sur le territoire français ", la formation restreinte rappelle que la Cour de Justice de l’Union Européenne (ci-après " la CJUE ") a considéré de façon constante que la notion d’établissement devait être appréciée de façon souple et qu’à cette fin, il convenait d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans un État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question. La Cour a précisé que " la notion d’ " établissement ", au sens de la directive 95/46, s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable ", le critère de stabilité de l’installation étant examiné au regard de la présence de " moyens humains et techniques nécessaires à la fourniture de services concrets en question " (CJUE, 1er octobre 2015, Weltimmo, C 230/14, points 30 et 31).

42. En l’occurrence, la formation restreinte relève tout d’abord que la société GOOGLE France, immatriculée en France depuis le 14 août 2002, est le siège de la filiale française de la société GOOGLE LLC. Elle dispose de locaux situés au 8 rue de Londres à Paris (75009) et emploie environ […]. La formation restreinte relève que les statuts de la société " mis à jour suite à la modification de l’article 2 avec effet à compter du 1er novembre 2022 (suivant Décisions de l’associé Unique du 28 octobre 2022) ", précisent qu’elle a pour objet en France et/ou à l’étranger notamment " la fourniture de tous services et/ou conseils relatifs aux logiciels, au réseau internet, aux réseaux télématiques ou en ligne, et en particulier la fourniture de services et/ou conseils relatifs aux logiciels, au réseau internet, aux réseaux télématiques ou en ligne, notamment l’intermédiation en matière de vente de publicité en ligne, la promotion sous toutes ses formes de la publicité en ligne, la promotion directe de produits et services et la mise en œuvre d’infrastructures techniques ; l’achat et la vente d’espaces publicitaires, ainsi que tout autre produit ou service, en qualité de revendeur ou par tout autre moyen ; ". La formation restreinte relève ensuite que, dans sa décision Société GOOGLE LLC et société GOOGLE IRELAND LIMITED du 28 janvier 2022, le Conseil d’État a confirmé que la société GOOGLE FRANCE constituait un établissement des sociétés GOOGLE LLC et GIL au sens de l’article 3 de la loi Informatique et Libertés.

43. En deuxième lieu, s’agissant de l’existence de traitements effectués " dans le cadre des activités " de cet établissement, la formation restreinte relève que, concernant le traitement relatif aux opérations d’accès et/ou d’inscription d’informations dans le terminal des utilisateurs situés en France lors de l’utilisation des services de Google elle a démontré dans sa délibération n° SAN-2020-012 du 7 décembre 2020 que les sociétés GOOGLE LLC et GIL disposent d’un " établissement " sur le territoire français et que les opérations d’accès ou d’inscription d’informations en cause dans sa délibération étaient bien effectuées " dans le cadre des activités " de cet établissement dès lors que ces opérations poursuivent des finalités publicitaires dans le cadre desquelles intervient notamment la société GOOGLE France, établissement situé en France, chargé de la promotion et de la commercialisation des produits Google et de leurs solutions publicitaires en France. La formation restreinte relève que son analyse n’a pas été contestée par les sociétés lors de la présente procédure ni précédemment devant le Conseil d’État, ce dernier ayant par ailleurs confirmé en tout point la décision rendue par la CNIL (CE, 28 janvier 2022, 10ème et 9ème chambres réunies, société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, au recueil).

44. En troisième lieu, s’agissant du traitement relatif à la prospection électronique sur le service Gmail, la formation restreinte relève qu’il ressort des opérations de contrôle que la société GOOGLE France accompagne notamment les petites et moyennes entreprises en France " à travers le développement d’outils de collaboration, de solutions publicitaires ou pour leur donner les clés de compréhension de leurs marché[s] et de leurs consommateurs ". La formation restreinte relève qu’il ressort également du procès-verbal du contrôle sur place réalisé le 29 novembre 2022 que " la société GOOGLE FRANCE a une activité de conseil et de marketing dans le cadre d’un contrat de prestation de service passé avec GOOGLE IRELAND LIMITED " et " fait la promotion des produits et services " Google " en France et est en charge des relations avec les pouvoirs publics français ". Or, la formation restreinte relève qu’il ressort explicitement des " Règles de confidentialité et conditions d’utilisation " de Google que la messagerie Gmail fait partie des " services Google " : " Un compte Google vous permet d’accéder à toute une gamme de services Google, comme Gmail et Google Drive. ". De plus, au sein de la société GOOGLE France, une équipe " Ads " est chargée de l’accompagnement des sociétés françaises dans la mise en œuvre de leurs campagnes de publicité via " Google Ads " qui est la plate-forme de création et de gestion des campagnes publicitaires sur les services Google tels que Gmail, Discover ou encore Youtube. La formation restreinte relève ainsi que si un annonceur rencontre un problème en lien avec l’affichage de ses publicités, il peut faire remonter le problème à un point de contact au sein de la société GOOGLE France, qui se charge de le communiquer à la société GIL. L’équipe " Ads " au sein de la société GOOGLE France est répartie selon les secteurs d’activité des annonceurs et est composée de […] personnes travaillant et résidant en France.

45. Dès lors, la formation restreinte relève que les traitements en cause – consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs des services de Google résidant en France, notamment à des fins publicitaires et relatifs à la prospection électronique sur le service Gmail – sont effectués dans le cadre des activités de la société GOOGLE FRANCE sur le territoire français, laquelle est chargée de la promotion et de la commercialisation des produits et services Google et de leurs solutions publicitaires.

46. Il résulte de ce qui précède que la loi française est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, y compris celui de prendre une mesure de sanction concernant les traitements en cause qui relèvent du champ d’application de la directive ePrivacy.

B. Sur les griefs tirés de l’irrégularité de la procédure

1. Sur la régularité de la collecte d’informations

47. Les sociétés considèrent d’abord que la CNIL a commis un abus de droit en outrepassant sa compétence territoriale lors des contrôles sur place réalisés dans les locaux de la société GOOGLE France les 6 décembre 2022 et 5 septembre 2023, durant lesquels des auditions par visioconférence des salariés de GIL basés en Irlande ont été menées. Les sociétés considèrent que de telles auditions outrepassaient la compétence territoriale de la CNIL. Ensuite, les sociétés considèrent qu’en entendant les salariés de GIL basés en Irlande, la CNIL n’a pas respecté les garanties et les formes prévues par le décret d’application de la loi Informatique et Libertés – soit la convocation préalable de 8 jours avant l’audition de l’organisme et la communication de l’information selon laquelle l’organisme dispose du droit d’être assisté par un conseil.

48. En premier lieu, la formation restreinte relève qu’elle a démontré aux points 24 à 46 de la présente délibération que la CNIL est compétente pour contrôler le respect, par les sociétés GOOGLE LLC et GIL, des exigences prévues à l’article 82 de la loi Informatique et Libertés et à l’article L. 34-5 du CPCE dans le cadre des traitements en cause, quand bien même ces sociétés ne se trouvent pas sur le territoire français. Elle relève que ni la loi Informatique et Libertés, ni la directive ePrivacy ne limitent la possibilité pour la CNIL de diligenter des enquêtes auprès des seuls établissements des responsables de traitement situés sur le territoire français.

49. Elle relève que la CJUE a confirmé la faculté pour une autorité de contrôle d’exercer ses pouvoirs directement à l’encontre de l’établissement doté du pouvoir décisionnel quand bien même celui-ci ne serait pas situé sur le territoire de l’autorité, dans sa décision Facebook Ireland et autres (CJUE, grande chambre, 15 juin 2021, Facebook Ireland e.a., C 645/19, pt 96). Bien que cette décision ait été rendue dans le cadre de l’interprétation de dispositions relatives au RGPD, la formation restreinte considère que, compte tenu des liens entre les deux textes, les principes qui sont énoncés sont valables à l’égard de la directive ePrivacy. En effet, la formation restreinte rappelle à ce titre que l’article 1er, paragraphe 2 de la directive ePrivacy énonce qu’elle a pour objectif de préciser et compléter les dispositions de la directive 95/46/CE, aujourd’hui remplacée par le RGPD.

50. La formation restreinte relève enfin que l’article 19 de la loi Informatique et Libertés qui prévoit les conditions dans lesquelles sont réalisés les contrôles sur place par la délégation, lui donne compétence pour vérifier la conformité d’opérations de traitement et recueillir tout renseignement et justifications utiles, sans limitation au territoire français.

51. Ainsi, la formation restreinte considère que la délégation de contrôle n’a pas outrepassé sa compétence territoriale en procédant à l’audition des salariés de GIL lors des contrôles qu’elle a réalisés et, dès lors, que l’abus de droit n’est pas caractérisé.

52. En second lieu, la formation restreinte relève que les sociétés contestent les modalités dans lesquelles les informations ont été recueillies lors des opérations de contrôles sur place du 6 décembre 2022 et du 5 septembre 2023.

53. Contrairement à ce que soutiennent les sociétés, la formation restreinte considère tout d’abord que le régime applicable aux auditions sur convocation fixé par l’article 34 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi Informatique et Liberté n’est pas applicable au contrôle du 6 décembre 2022, qui constitue un contrôle sur place, conformément à l’article 31 du décret précité et non un contrôle sur audition.

54. En l’espèce, la formation restreinte relève que, lors du premier contrôle sur place réalisé dans les locaux de la société GOOGLE France le 29 novembre 2022, les salariés de la société GOOGLE France ont indiqué à la délégation, en réponse à certaines questions qui leur étaient posées, que seuls les employés de la société GIL pouvaient répondre à ces questions relatives à la conformité à la législation française de protection des données à caractère personnel en ce qui concerne le service Gmail, le service Discovery et l’affichage de publicité sur le service Gmail. Les employés de la société GIL n’ayant pu être contactés par téléphone le 29 novembre 2022 pour répondre à ces questions, la délégation de contrôle a alors informé les salariés de la société GOOGLE France, et le conseil des sociétés, qu’elle se présenterait à nouveau dans les locaux le 6 décembre 2022 afin de poursuivre ses investigations et constatations, notamment avec des employés de GIL, et qu’ils ne s’y sont pas opposés. Elle considère que le simple fait, pour la délégation, de revenir le 6 décembre 2022 dans les locaux de la société GOOGLE France ne suffit pas à considérer qu’il s’agissait alors d’un contrôle sur audition.

55. Au vu de ce qui précède, la formation restreinte note que la délégation a agi dans le cadre d’un contrôle sur place, conformément aux dispositions de l’article 19 de la loi Informatique et Libertés lui donnant compétence pour recueillir tout renseignement et justifications utiles, sans limitation au territoire français. Elle relève que la loi Informatique et Liberté et le décret d’application précité ne prévoient pas que l’organisme, et par extension que les personnes qui seront interrogées lors du contrôle sur place, doivent en être préalablement informés. Le contrôles du 6 décembre 2022 a donc été mené dans le respect des dispositions applicables.

56. Ensuite, s’agissant du contrôle du 5 septembre 2023 réalisé dans les locaux de la société GOOGLE France, la formation restreinte relève que par courrier du 31 juillet 2023, la délégation de la CNIL avait régulièrement convoqué la société GIL à un contrôle sur audition, en application de l’article 34 du décret précité, au siège de la CNIL et que c’est le conseil de la société GIL qui a sollicité, par courriel du 22 août 2023, que cette audition se déroule exceptionnellement dans les locaux de GOOGLE France, ce que la délégation de la CNIL a accepté. Il ne saurait dès lors être reproché à la CNIL de ne pas avoir respecté les garanties et formes prévues par le décret d’application de la loi Informatique et Libertés, alors que la société GIL a, pour ce contrôle sur audition, été convoquée conformément aux dispositions applicables et que le lieu du contrôle a été modifié à la demande de la société.

57. Enfin, la formation restreinte note que lors des deux contrôles pendant lesquels les salariés de la société GIL ont été entendus par la délégation de contrôles, le 6 décembre 2022 et le 5 septembre 2023, des interprètes et le conseil des sociétés étaient présents.

58. Au regard de l’ensemble de ces éléments, la formation restreinte considère que la collecte d’informations a été réalisée dans le respect des dispositions légales et règlementaires.

2. Sur le respect du droit à un procès équitable

a. Sur les principes de confiance légitime et d’équité dans la procédure

59. Les sociétés relèvent que le contrôle en ligne réalisé par la délégation le 20 octobre 2022 a été interrompu le 20 octobre 2022 et a repris le 4 novembre 2022 sans justification. Elles considèrent que l’interruption du contrôle en ligne les a privées du droit de bénéficier de conditions garantissant l’authenticité et l’intégrité des éléments de preuve collectés lors du contrôle comme le prévoit pourtant la Charte des contrôles.

60. La formation restreinte relève tout d’abord que la Charte des contrôles, publiée sur le site web de la CNIL, présente les modalités pratiques les plus courantes de déroulement des contrôles. Elle considère que si cette Charte permet d’offrir une plus grande prévisibilité des méthodes utilisées par les contrôleurs de la CNIL aux organismes contrôlés, elle n’a pas pour autant de caractère normatif et ne saurait se substituer aux dispositions légales. Elle note également qu’aux termes de l’article 19-III de la loi Informatique et Libertés et de l’article 33 du décret pris pour son application, les agents habilités peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d'emprunt afin de contrôler des services de communication au public en ligne.

61. Elle relève ensuite que l’article 33 du décret précité, qui prévoit la possibilité pour la délégation de la CNIL d’effectuer des contrôles en ligne, ne limite pas la durée pendant laquelle doivent se dérouler ces opérations. Elle relève par ailleurs que le procès-verbal n° 2022-175/1 indique que les constatations réalisées lors du contrôle en ligne qui a débuté le 20 octobre 2022 à 9h56 ont été suspendues à 17h08 et ont repris le 4 novembre à 16h38. Il apparait que la délégation, après avoir créé un compte sur le service Gmail, a laissé passer le laps de temps nécessaire à la constatation des opérations de prospection sur la boite électronique du compte de messagerie Gmail, lesquelles ne peuvent être réalisées qu’au bout de plusieurs heures ou jours. Dans ces conditions, la formation restreinte considère que la suspension du contrôle avait justement vocation à reproduire ce qui se passe pour un internaute qui se connecte à son compte Google plusieurs jours après l’avoir créé. Elle relève en tout état de cause que les sociétés ne contestent pas la matérialité des faits révélés par le contrôle en ligne, à savoir, le dépôt de cookies sur le terminal des utilisateurs résidant en France et l’affichage des annonces publicitaires dans la boite électronique des utilisateurs de Gmail.

62. Au regard de ces éléments, la formation restreinte considère que les informations collectées lors du contrôle en ligne l’ont été de façon loyale, dans le respect des dispositions définies par les textes applicables.

b. Sur les droits de ne pas s’auto-incriminer et de se taire

63. Les sociétés soutiennent que la CNIL a méconnu leur droit de se taire durant la phase d’enquête. Elles considèrent que la CNIL a tiré avantage du contrôle sur place dans les locaux de GOOGLE France, de l’obligation de coopérer et des sanctions pénales encourues en cas d’entrave, pour obtenir la mise en place de visioconférences avec des salariés irlandais de GIL. Elles soutiennent que les salariés se sont sentis obligés de répondre aux questions de la CNIL et ont ainsi fourni des éléments de preuve sur le rôle de la société GIL et le fonctionnement des annonces Gmail.

64. La formation restreinte rappelle que l’article 19 de la loi Informatique et Libertés définit les règles applicables aux procédures de contrôles menées par les agents de la CNIL. Elle relève que cette phase d’enquête, préalable à l’ouverture d’une procédure de sanction, implique diverses méthodes d’investigation, pouvant consister en des opérations d’analyse à distance, des contrôles en ligne ou des inspections sur place. L'objectif primordial de cette étape est la collecte systématique d’éléments factuels et tangibles relatifs aux pratiques en cause. Elle considère que les interactions verbales ou écrites avec les parties concernées visent exclusivement à obtenir des précisions sur les faits constatés, sans chercher à établir une quelconque culpabilité ni à qualifier juridiquement les faits à ce stade. Elle relève également que l’article 18 de la loi Informatique et Liberté instaure une obligation de coopération, destinée à permettre à la CNIL de recueillir les éléments nécessaires à la constatation et le cas échéant à la sanction de manquements à la loi Informatique et Libertés. Elle considère qu’en vertu des dispositions précitées, la phase de contrôle - et la procédure de sanction menée par la CNIL - ont pour objectif de garantir l’effectivité du droit fondamental des personnes physiques à la protection de leurs données à caractère personnel, reconnu par l’article 8, paragraphe 1 de la Charte des droits fondamentaux de l’Union européenne.

65. Elle relève ensuite que le Conseil d’État a récemment considéré, dans le cadre de l’examen d’une demande de renvoi d’une question prioritaire de constitutionnalité, que les dispositions de l’article 19 de la loi Informatique et Libertés " n’ont pas pour objet le recueil, par les enquêteurs de la CNIL, des explications d’une personne portant sur des faits pour lesquels elle serait mise en cause dans le cadre d’une procédure tendant à l’adoption de mesures de sanction à son encontre. Elles n’impliquent donc pas par elles-mêmes que les personnes sollicitées se voient notifier leur droit de se taire. " (CE, 10e et 9e chambres réunies, 18 avril 2025, n° 482872).

66. Il résulte de cette décision que la délégation de contrôle de la CNIL n’était pas tenue d’informer les sociétés de leur droit de se taire à l’occasion des missions de contrôle auxquelles elle a procédé.

67. En tout état de cause, elle relève également que le Conseil d’État a considéré que l’annulation n’était encourue, si le droit de se taire n’était pas notifié, que si la décision en cause se fondait de manière déterminante sur les propos tenus par le mis en cause (CE, Section, 19 décembre 2024, n° 490157). Or, la formation restreinte considère en l’espèce que les manquements reprochés aux sociétés sont seulement fondés sur les constatations réalisées dans le cadre des contrôles et sur la documentation fournie dans le cadre de la procédure.

68. La formation restreinte relève en outre, que les informations fournies dans ce cadre par les sociétés contenaient exclusivement des éléments de faits objectifs, décrivant l’architecture technique de ses traitements relatifs au dépôt et à la lecture de cookies sur le terminal des utilisateurs situés France et créant un compte Google ainsi que ceux relatifs à l’affichage d’annonces dans la messagerie électronique Gmail. Ainsi, la délégation de contrôle de la CNIL s’est bornée à recueillir des éléments purement factuels afin de s’assurer de disposer d’une compréhension suffisante des traitements mis en œuvre par les sociétés, dans le respect des pouvoirs qui lui sont conférés par les articles 8(2), g) et 19 de la loi Informatique et Libertés. La formation restreinte relève de surcroit que la caractérisation des manquements proposés par la rapporteure repose sur les constatations issues des contrôles en ligne réalisés par la délégation de la CNIL.

69. La formation restreinte relève enfin que dans sa décision n°2025-1154 QPC du 8 août 2025, relative à la procédure de sanction suivie devant la formation restreinte, le Conseil constitutionnel a considéré qu’en ne prévoyant pas qu’une personne mise en cause devant la formation restreinte soit informée de son droit de se taire, les dispositions de l’article 22 de la loi du 6 janvier 1978 précitée devaient être déclarées contraires à la Constitution.

70. Elle observe néanmoins que le Conseil Constitutionnel a décidé d’une part, de reporter l’effet de cette inconstitutionnalité au 1er octobre 2026 et indiqué d’autre part, que " les mesures prises avant la publication de la présente décision ne peuvent être contestées sur le fondement de cette inconstitutionnalité ",

71. Il résulte de ce qui précède que la formation restreinte considère que le grief tiré de l’absence de notification du droit de se taire doit être écarté.

c. Sur les griefs tirés de la méconnaissance des droits de la défense

72. Les sociétés estiment que la jonction tardive des deux procédures de contrôle a limité le temps disponible pour préparer leur défense. Elles considèrent que ce temps aurait été supérieur si les deux procédures étaient demeurées distinctes. Elles indiquent également que la CNIL a manqué à son devoir de loyauté en ne les informant pas, lors de la procédure de contrôle, de la nature des charges et manquements allégués. Elles soutiennent que la CNIL a méconnu le principe de loyauté de la preuve en utilisant des éléments de preuve collectés lors des contrôles sur place portant sur le traitement de prospection par voie électronique dans le volet de la présente procédure portant sur les cookies.

73. La formation restreinte relève d’abord que la première procédure de contrôle, qui avait pour objet de s’assurer de la conformité des traitements relatifs à la prospection par voie électronique dans la messagerie Gmail, a révélé un parcours utilisateur déployé par les sociétés à cette fin, qui était commun au parcours utilisateur mis en œuvre par les sociétés en matière de cookies. La formalisation de ces constatations a donc justifié une seconde procédure de contrôle dédiée à cette thématique pour laquelle la CNIL est également compétente. La formation restreinte considère que la jonction des procédures, qui n’est pas interdite par les textes et a été réalisée sans stratagème, apparait d’autant plus opportune qu’un seul parcours utilisateur marque l’entrée dans l’écosystème des services Google. Elle considère, en conséquence, que la délégation de contrôle n’a pas méconnu le principe de loyauté de la preuve, tous les éléments ayant été recueillis dans le respect des textes applicables.

74. En outre, s’agissant du droit de disposer du temps nécessaire à la préparation de sa défense, la formation restreinte rappelle que ce droit est l’une des composantes du droit à un procès équitable contenu à l’article 6 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales et qui doit, conformément à la jurisprudence de la Cour européenne des droits de l’homme, être analysé à la lumière de sa fonction dans le contexte général de la procédure (CEDH, 20 janvier 2005, Mayzit c. Russie n° 63378/00).

75. A cet égard, la formation restreinte rappelle d’abord, comme indiqué ci-dessus, qu’aucune obligation n’imposait à la CNIL de mener deux procédures de sanction distinctes et que, s’agissant des délais, la mise en œuvre du principe du contradictoire prévoit en application de l’article 40 du décret n° 2019-536 du 29 mai 2019 que le responsable de traitement à qui est notifié un rapport de sanction dispose d’un délai d’un mois pour transmettre ses observations en réponse. La formation restreinte rappelle ensuite que le Conseil d’État a déjà eu l’occasion d’écarter l’exception d’illégalité concernant ce délai d’un mois prévu à l’article 75 du décret du 20 octobre 2005 (désormais l’article 40 du décret n° 2019-536 du 29 mai 2019) (CE, 19 juin 2020, n° 430810 pt 13). Dans cette affaire, le Conseil d’État a considéré que la société avait été mise à même de préparer et de présenter utilement sa défense dès lors qu’elle avait disposé d’un délai d’un mois pour répondre au rapport du rapporteur. Enfin, la formation restreinte relève qu’outre ce délai d’un mois, les sociétés ont en l’espèce bénéficié à deux reprises d’un délai supplémentaire au cours de la procédure contradictoire pour répondre aux observations de la rapporteure et qu’elles ont eu la faculté de s’exprimer de nouveau devant la formation restreinte. La formation restreinte considère en conséquence qu’il n’a pas été porté atteinte aux droits de la défense des sociétés, de sorte que le grief tenant à la limitation du temps pour préparer leur défense sera écarté.

76. Au regard de l’ensemble de ces éléments, la formation restreinte considère que la jonction des procédures de contrôle, motivée par une logique de cohérence, n’a pas violé le droit à un procès équitable, ni porté atteinte aux droits de la défense.

C. Sur la détermination du responsable de traitement

77. Aux termes de l’article 4, paragraphe 7, du RGPD, le responsable de traitement est " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ". Aux termes de l’article 26, paragraphe 1 du RGPD, " lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ".

78. La CJUE s’est prononcée sur la notion de responsabilité conjointe du traitement dans son arrêt Témoins de Jéhovah dans lequel elle a considéré que, selon les dispositions de l’article 2, sous d), de la directive 95/46 sur la protection des données personnelles, " la notion de " responsable du traitement " vise la personne physique ou morale qui, " seule ou conjointement avec d’autres ", détermine les finalités et les moyens du traitement de données à caractère personnel. Cette notion ne renvoie, dès lors, pas nécessairement à une personne physique ou morale unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux devant alors être soumis aux dispositions applicables en matière de protection des données […]. L’objectif de cette disposition étant d’assurer, par une définition large de la notion de " responsable ", une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce " (CJUE, 10 juillet 2018, C 25/17, points 65 et 66).

79. La rapporteure considère que les sociétés GIL et GOOGLE LLC sont responsables conjoints des traitements en cause en application de ces dispositions, dès lors que les sociétés déterminent toutes les deux les finalités et les moyens des traitements consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs des services de Google résidant en France, et relatifs à la prospection électronique sur le service Gmail.

80. En défense, les sociétés considèrent que seule la société GIL est responsable des traitements en cause. Elles indiquent dans le cadre du contradictoire, que " [la société] GOOGLE LLC est un développeur tiers agissant pour le compte de GIL et suivant les instructions de GIL dans le cadre de sa contribution au développement d’un produit. Ces relations sont documentées dans un contrat de traitement des données entre GIL et Google LLC ". Elles relèvent également que des changements opérationnels ont eu lieu depuis les arrêts du Conseil d’Etat au cours desquels la responsabilité conjointe des sociétés GOOGLE LLC et GIL n’avait pas été contestée (CE, 28 janvier 2022, 10ème et 9ème chambres réunies, société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, au recueil et CE, 19 juin 2020, 10ème et 9ème chambres réunies, société GOOGLE LLC, n° 430810, au recueil). Parmi ces changements, elles citent notamment la création […]. Elles ajoutent que […] jouent un rôle central dans la gouvernance en matière de protection des données personnelles et exercent un travail de supervision sur le lancement des produits.

1. Sur la responsabilité de la société GIL

81. En premier lieu, la formation restreinte relève que, s’agissant spécifiquement des traitements relatifs aux opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation des services Google, la responsabilité de la société GIL a déjà été établie à deux reprises (SAN-2020-012 du 7 décembre 2020 et SAN-2021-023 du 31 décembre 2021) et que cette analyse n’a pas été contestée devant le Conseil d’Etat (CE, 28 janvier 2022, 10ème et 9ème chambres réunies, société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, au recueil et CE, 19 juin 2020, 10ème et 9ème chambres réunies, société GOOGLE LLC, n° 430810, au recueil), ni même dans le cadre de la présente procédure.

82. En second lieu, s’agissant spécifiquement des traitements relatifs à la prospection électronique, la formation restreinte relève qu’il ressort de la documentation fournie lors des contrôles menés par la délégation ainsi que des échanges contradictoires qui se sont déroulés au cours de la procédure de sanction que la société GIL est identifiée comme le responsable de traitement pour les utilisateurs des services Google basés dans l’espace économique européen ou en Suisse, qui incluent les traitements liés à la mise en œuvre de Gmail et l’affichage de publicités au sein des services de Google.

83. Il en ressort que la société GIL est, au moins pour partie, responsable des traitements contrôlés consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation des services Google et ceux relatifs à la prospection électronique sur le service Gmail.

2. Sur la responsabilité de la société GOOGLE LLC

84. La formation restreinte relève tout d’abord, qu’elle a, à deux reprises, retenu la responsabilité conjointe de la société GOOGLE LLC (CNIL, formation restreinte, 7 décembre 2020, Sanction n° SAN-2020-012 et CNIL, formation restreinte, 31 décembre 2021, n° SAN-2021-023 publiée aux Tables IL) s’agissant du traitement relatif aux opérations d’accès et/ou d’inscriptions d’informations dans le terminal des utilisateurs situé en France lors de l’utilisation de services Google, au regard du fait qu’elle conçoit et construit la technologie des produits Google, du rôle fondamental joué par la société dans l’ensemble du processus décisionnel portant sur le traitement, et au regard de son implication réelle décrite dans le contrat de sous-traitance du 11 décembre 2018, la liant à la société GIL. Elle rappelle que cette analyse n’a pas été contestée devant le Conseil d’Etat (CE, 28 janvier 2022, 10ème et 9ème chambres réunies, société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, au recueil et CE, 19 juin 2020, 10ème et 9ème chambres réunies, société GOOGLE LLC, n° 430810, au recueil).

85. La formation restreinte relève ensuite que les représentants des sociétés ont confirmé dans leurs écritures que la société GOOGLE LLC participe toujours au développement des produits Google.

86. S’agissant du service Gmail, la formation restreinte relève que seuls les utilisateurs localisés dans l’espace économique européen (ci-après " l’EEE ") se voient proposer d’activer les fonctionnalités dites " intelligentes " - qui permettent notamment d’opérer une séparation de la boite de réception de la messagerie en trois onglets distincts " Principale ", " Promotion " et " Réseaux sociaux " - et qui sont désactivées par défaut contrairement aux utilisateurs dans le reste du monde pour qui ces fonctionnalités sont activées par défaut. Elle relève néanmoins que les publicités affichées dans le service Gmail sont mises en œuvre de façon uniforme partout dans le monde via le service Discovery de Google Ads. La formation restreinte considère que la désactivation par défaut des " fonctionnalités intelligentes " concernant les utilisateurs de l’EEE n’est qu’une différence d’exécution qui ne remet pas en cause la finalité publicitaire globale du service Gmail et qui n’illustre pas en tant que telle une autonomie décisionnelle totale de GIL sur l’ensemble des caractéristiques essentielles des moyens et finalités du traitement en cause.

87. En outre, la formation restreinte relève que […], le […] est chargé de l’approbation des politiques internes de protection de la vie privée auxquelles doivent se conformer tous les produits, services ou fonctionnalités lancés par Google dans l’EEE et en Suisse. […].

88. Elle relève néanmoins qu’au sein de l’organigramme décisionnel existant au sein du groupe GOOGLE, d’autres instances interviennent directement sur les traitements en cause. En effet, il ressort de la documentation fournie au cours des investigations que […].

89. Or, la formation restreinte note qu’il ressort des pièces du dossier que […] est une entité rattachée à Google LLC chargée de prendre des décisions sur tous les traitements de données mis œuvre dans le cadre de la fourniture des produits et services Google et qu’il agit en tant qu’organe d’arbitrage lorsqu’une question se pose en matière de protection des données.

90. Il ressort également des pièces du dossier que le […] est composé, au moins pour partie, […].

91. La formation restreinte considère que si, lorsqu’une question concernant les utilisateurs de l’EEE est transmise […] conduit nécessairement à considérer que cette dernière participe à la prise de décisions concernant les produits et services déployés dans l’espace économique européen et les questions en lien avec la protection des données qu’ils peuvent soulever.

92. Ainsi, la formation restreinte relève que malgré la participation de la société GIL aux différentes étapes et instances liées à la définition des modalités de mise en œuvre des traitements relatifs aux cookies déposés lors de l’utilisation des services Google et à la prospection électronique sur Gmail, l’organisation matricielle décrite par les sociétés a mis en évidence que la société GOOGLE LLC est également représentée dans les organes adoptant les décisions relatives au déploiement des produits au sein de l’EEE et en Suisse et aux traitements de données à caractère personnel des utilisateurs y résidant et qu’elle y exerce une influence significative.

93. De même, la formation restreinte relève que le délégué à la protection des données désigné par la société GIL est […]. Elle considère que cela témoigne encore de l’implication importante de GOOGLE LLC sur les traitements de données mis en œuvre dans l’EEE.

94. La formation restreinte relève enfin que le contrat de sous-traitance liant les sociétés, n’a pas subi d’évolution depuis la délibération de sanction no SAN-2021-023 du 31 décembre 2021. Dès lors, la formation restreinte considère que l’analyse menée dans le cadre de cette précédente procédure est toujours pertinente s’agissant des traitements liés aux cookies et qu’elle est également pertinente s’agissant du traitement relatif à la prospection électronique sur le service Gmail, dans la mesure où le contrat en question vise également précisément ce service.

95. Il résulte de ce qui précède que les sociétés GOOGLE LLC et GIL déterminent conjointement les finalités et les moyens des traitements consistant en des opérations d’accès et/ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation des services Google et relatif à la prospection électronique réalisée sur le service Gmail à destination des messageries électroniques des utilisateurs résidant en France.

D. Sur le manquement à l’obligation d’informer les personnes concernées et d’obtenir leur consentement avant d’inscrire des informations (cookies) sur leur terminal de communications électroniques

96. En droit, l’article 82 de la loi Informatique et Libertés, transposant en droit français l’article 5, paragraphe 3 de la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002, dispose que tout " abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète […] des moyens dont il dispose pour s’y opposer " et que, sauf s’il s’agit de cookies strictement nécessaires à la fourniture du service sollicité par l’utilisateur ou de cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, une opération d’accès et/ou d’inscription d’informations ne peut avoir lieu qu’à la condition que l’utilisateur ait exprimé son consentement.

97. Pour être valable, le consentement de l’internaute doit répondre aux caractéristiques requises par le RGPD, la directive précitée renvoyant en effet à la définition du consentement telle que prévue, à ce jour par le RGPD. A cet égard, la formation restreinte observe que la délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives aux " cookies et autres traceurs " rappelle expressément que le consentement exigé par l’article 82 de la loi Informatique et Libertés renvoie à la définition et aux conditions prévues aux articles 4 paragraphe 11 et 7 du RGPD (§ 5 et 6).

98. En vertu de l’article 4 paragraphe 11 du RGPD, le consentement s’entend comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

99. Le considérant 32 du RGPD prévoit également que " Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant […]. ".

100. La formation restreinte souligne que les travaux conduits par la Commission sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé.

101. S’agissant du caractère libre du consentement, la Commission recommande que les solutions mises à la disposition de l’utilisateur pour refuser l’utilisation de cookies présentent le même degré de simplicité que celles prévues pour en accepter l’usage. La CNIL a rappelé les obligations légales en la matière et formulé des recommandations pour leur application dans les lignes directrices et une recommandation sur les traceurs (délibérations n°2020-091 et 2020-092 du 17 septembre 2020). Il y est notamment indiqué que : " Afin de ne pas induire en erreur les utilisateurs, la Commission recommande aux éditeurs de sites de s’assurer que la présentation des interfaces de recueil des choix n’intègre pas de pratiques potentiellement trompeuses qui mettent visuellement plus en valeur un choix plutôt qu’un autre " (§34 de la délibération n° 2020-092 précitée). Plus précisément, la recommandation précitée prévoit que " le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité " (§30 de la délibération n° 2020-092 précitée). En outre, la Commission recommande que " le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible […] avec la même facilité que le mécanisme permettant un consentement " afin que le choix de l’utilisateur qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement soit valable (§31 de la délibération n° 2020-092 précitée). À titre d’exemple, il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique (§34 de la délibération n° 2020-092 précitée). Il ressort de l’avis n° 08/2024 portant sur la validité du consentement dans le cadre des modèles " consentir ou payer " mis en place par les grandes plateformes en ligne adopté le 17 avril 2024 par le Comité européen de la protection des données (ci-après " CEPD "), que, pour que le consentement soit " libre ", " Les responsables du traitement doivent veiller à ce que les personnes concernées jouissent d’une réelle liberté de choix lorsqu’elles sont invitées à consentir au traitement de leurs données à caractère personnel, et ils ne peuvent limiter l’autonomie des personnes concernées en rendant le refus plus difficile que le consentement. " (§68).

102. Dans sa décision Meta (C 252/21, 4 juillet 2023), la CJUE apporte un éclairage sur les conditions dans lesquelles le consentement donné par l’utilisateur d’un service peut être considéré comme libre. Ainsi, au point 150 de sa décision, la Cour indique que les " utilisateurs doivent disposer de la liberté de refuser individuellement, dans le cadre du processus contractuel, de donner leur consentement à des opérations particulières de traitement de données non nécessaires à l’exécution du contrat sans qu’ils soient pour autant tenus de renoncer intégralement à l’utilisation du service offert par l’opérateur du réseau social en ligne, ce qui implique que lesdits utilisateurs se voient proposer, le cas échéant contre une rémunération appropriée, une alternative équivalente non accompagnée de telles opérations de traitement de données. " (soulignements ajoutés).

103. S’agissant des alternatives évoquées par la CJUE, le CEPD considère dans l’avis précité, que " Le fait d’offrir une (unique) option alternative au service qui soit payante et qui inclu[t] le traitement à des fins de publicité comportementale ne devrait pas constituer la voie à suivre par défaut pour les responsables du traitement. Au contraire, lorsqu’ils conçoivent l’option alternative à la version du service avec publicité comportementale, les responsables du traitement devraient envisager de proposer aux personnes concernées une " option alternative équivalente " qui n’implique pas le versement d’une rémunération, telle que l’option alternative gratuite sans publicité comportementale […]. Cette autre solution ne doit pas comprendre de traitement à des fins de publicité comportementale et peut, par exemple, être une version du service assortie d’une autre forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel, par exemple de la publicité contextuelle ou générale ou de la publicité fondée sur des thèmes que la personne concernée a sélectionnés dans une liste de sujets d’intérêt." (§73 et§75) (soulignements ajoutés). Il est également précisé que " le fait qu’une option alternative gratuite sans publicité comportementale soit proposée ou non constitue un facteur particulièrement important à prendre en considération lorsqu’il s’agit d’évaluer si les personnes concernées peuvent exercer un choix réel et, partant, si le consentement est valable. " (§77) (soulignements ajoutés) et " Bien qu’il n’existe aucune obligation pour les grandes plateformes en ligne de toujours proposer des services gratuits, la mise à la disposition des personnes concernées de cette autre option supplémentaire renforce leur liberté de choix. Il est ainsi plus facile pour les responsables du traitement de démontrer que le consentement est donné librement. " (§76) (soulignement ajouté). Enfin, l’avis indique que " le CEPD considère notamment qu’au moment d’évaluer la validité du consentement et de déterminer si la personne concernée est en mesure d’exercer un véritable choix, il est pertinent de savoir si un utilisateur se voit proposer, outre un service reposant sur une technologie de suivi et un service payant, un autre type de service, tel qu’un service assorti d’une forme de publicité moins intrusive. " (§77). (soulignements ajoutés).

104. S’agissant du caractère éclairé du consentement, le considérant 42 du RGPD prévoit que " Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable de traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. ".

105. Les lignes directrices 5/2020 sur le consentement au sens du Règlement (UE) 2016/679 du CEPD du 4 mai 2020, indiquent que " les responsables du traitement devraient élaborer des mécanismes de consentement clairs pour les personnes concernées. Ils doivent éviter toute ambiguïté et veiller à ce que l’acte par lequel le consentement est accordé puisse se distinguer de tout autre acte. " (soulignements ajoutés).

106. À titre d’éclairage, les lignes directrices précisent que " le responsable des données devrait accompagner chacune des demandes de consentement distinctes d’informations spécifiques concernant les données traitées pour chaque finalité afin que les personnes concernées soient conscientes de l’incidence de leur choix. Les personnes concernées pourront ainsi donner leur consentement spécifique " (§56 à §61), et que " fournir des informations aux personnes concernées avant d’obtenir leur consentement est indispensable afin de leur permettre de prendre des décisions en toute connaissance de cause, de comprendre ce à quoi [elles] consentent et, par exemple, d’exercer leur droit de retirer leur consentement. Si le responsable du traitement ne fournit pas d’informations accessibles, le contrôle utilisateur devient illusoire et le consentement ne constituera pas une base valable pour le traitement " (§ 62).

107. Par ailleurs, l’avis du CEPD précité précise " qu’il incombe aux responsables du traitement, en vertu du principe de responsabilité, d’élaborer et de documenter un processus d’information permettant aux personnes concernées d’avoir une compréhension complète et claire de la valeur, de la portée et des conséquences des différents choix qui s’offrent à elles. " (§145). Le CEPD ajoute que " Les grandes plateformes en ligne devraient veiller à ce que les personnes concernées aient une compréhension claire des activités de traitement et de tout changement les concernant, par exemple lorsqu’une telle plateforme passe à un modèle " consentir ou payer " (§147). Enfin, dans le cadre de la publicité comportementale, le CEPD ajoute qu’il " est important de fournir des informations suffisamment détaillées pour que les personnes concernées puissent comprendre à quels aspects du service elles consentent, tout en conservant la possibilité de ne pas consentir à d’autres. " (§148).

108. Le CEPD précise en outre que lorsque différentes options sont présentées aux utilisateurs, les responsables du traitement doivent veiller à ce que ces derniers comprennent parfaitement ce que chaque option suppose en matière de traitement des données et les conséquences de chacune de ces options. " La clarté des différentes options disponibles devrait également être prise en considération lors de la conception de l’interface, étant donné qu’il y a lieu d’éviter toute forme de conception trompeuse ou manipulatrice conformément au principe de loyauté. " (§81).

109. S’agissant des conséquences de la publicité comportementale ou personnalisée, il ressort de l’avis n° 08/2024 précité, portant sur la validité du consentement dans le cadre des modèles " consentir ou payer " mis en place par les grandes plateformes en ligne adopté par le CEPD, qu’elle " repose sur des données collectées en observant l’activité des utilisateurs au fil du temps (par exemple, à partir des pages qu’ils visitent, du temps qu’ils passent sur une page affichant un produit donné, du nombre de reconnexions à une page, des mentions "j’aime", ou de leur localisation). Dans ces cas, le suivi des utilisateurs s’effectue au moyen de cookies ou d’autres technologies de suivi similaires (par exemple, des modules sociaux ou des pixels). Les utilisateurs peuvent être suivis sur différents sites web par différents acteurs (par exemple, les plateformes ou des courtiers en données). Les données collectées, qui peuvent, dans certains cas, être agrégées avec des données fournies de manière active par l’utilisateur (par exemple, lorsqu’il crée un compte en ligne ou lorsqu’il se connecte sur un site web), ou avec des données hors ligne, permettent aux entreprises de déduire des informations sur les utilisateurs et de tirer des conclusions sur leurs préférences, leurs goûts et leurs intérêts. Plusieurs activités de traitement ont lieu lorsque les responsables du traitement traitent des données à caractère personnel à des fins de publicité comportementale. Il s’agit notamment du suivi du comportement des personnes concernées, de la collecte de données à caractère personnel et de leur analyse aux fins de la création et de la constitution des profils des utilisateurs, du partage de données à caractère personnel avec des tiers dans le cadre de la création et de la constitution des profils des utilisateurs ou de la mise en relation des annonceurs avec les éditeurs, de la proposition aux personnes concernées de publicités personnalisées sur la base du profil ainsi dressé, ou encore de l’analyse de l’interaction des utilisateurs avec les publicités affichées sur la base de leur profil. " (§20).

110. " C’est pourquoi la publicité comportementale est considérée comme une forme de publicité particulièrement intrusive, dans la mesure où elle peut fournir aux responsables du traitement une vue très détaillée de la vie personnelle des utilisateurs. En outre, comme le CEPD l’a rappelé dans ses lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux, elle présente des risques importants pour les libertés et droits fondamentaux des personnes concernées, y compris la possibilité de discrimination et d’exclusion et la manipulation éventuelle des utilisateurs. " (§21).

111. En l’espèce, la rapporteure relève qu’il ressort des constatations réalisées par la délégation lors des opérations de contrôle sur le site web google.fr que lors de la création d’un compte Google, deux parcours sont présentés à l’utilisateur – intitulés " personnalisation express (1 étape) " et " personnalisation manuelle (5 étapes) " – à l’issue desquels sont déposés des cookies alimentant deux modèles de publicités – générique ou personnalisée.

112. Elle relève qu’à l’occasion du premier contrôle, le mécanisme de recueil du consentement mis en place lors de la création d’un compte Google ne permettait pas aux utilisateurs de refuser le dépôt et/ou la lecture des cookies liés à la personnalisation de la publicité aussi facilement que de les accepter et d’opter pour des cookies alimentant la publicité générique lorsque l’utilisateur choisissait la " personnalisation express (1 étape) ". Elle considère que le consentement ainsi donné ne pouvait pas être qualifié de libre.

113. Elle souligne que ce mécanisme de recueil du consentement, mis en place par les sociétés depuis le 15 décembre 2020, a été modifié en octobre 2023, permettant désormais aux utilisateurs de refuser le dépôt et/ou la lecture de cookies liés à la personnalisation de la publicité aussi facilement que de les accepter depuis le parcours intitulé " personnalisation express (1 étape) " désormais intitulé " sélection express (1 étape) ". Elle considère néanmoins que l’utilisateur n’est toujours pas suffisamment informé de ce que l’inscription de certains cookies, quelle que soit leur finalité, est indissociable de la fourniture des services Google de sorte que le consentement donné, qui n’est pas éclairé, n’est pas valide.

114. En défense, les sociétés soutiennent d’abord recueillir valablement le consentement des utilisateurs pour le dépôt et/ou la lecture de cookies publicitaires sur leur terminal, grâce à la dernière étape du parcours de création de compte Google à partir de laquelle les utilisateurs sont invités à consentir à l’utilisation de cookies pour les finalités qui leur sont présentées. Ensuite, elles soutiennent que le parcours de création de compte Google a été mis en place conformément à l’avis n° 08/2024 du CEPD du 17 avril 2024 sur la validité du consentement dans le cadre des modèles " consentir ou payer " qui plaide en faveur du recours à des modèles moins intrusifs pour la vie privée des utilisateurs que les paywalls et prévoit l’exemple d’une alternative équivalente qui n’implique pas le versement d’une rémunération, à savoir une version gratuite mais comportant des annonces publicitaires génériques. Elles relèvent enfin que le fait d’exiger de fournir aux utilisateurs une information établissant un lien exprès entre la gratuité du service et l’acceptation de cookies publicitaires ne repose sur aucun fondement légal et, qu’en tout état de cause, ce lien est évident puisque l’utilisateur ne peut créer de compte sans accepter les cookies.

115. En outre, elles précisent avoir désactivé certains cookies publicitaires depuis septembre 2024.

1. Sur le déroulé du parcours de création d’un compte Google

116. La formation restreinte estime nécessaire de rappeler les différents parcours de création d’un compte Google ainsi que l’information communiquée aux utilisateurs afin d’apprécier la validité du consentement des utilisateurs aux dépôt et à la lecture de cookies publicitaires ainsi que la portée des modifications apportées par les sociétés en octobre 2023.

a. Le parcours de création de compte jusqu’en octobre 2023

117. La formation restreinte observe que dans le cadre des contrôles en ligne des 20 octobre 2022 et 20 avril 2023, la délégation a étudié le parcours utilisateur lors de la création d’un compte Google à son arrivée sur l’URL google.fr. Lorsqu’il clique directement sur le bouton " Se connecter " situé sur le bandeau cookies affiché sur la page à son arrivée, l’utilisateur peut créer un compte en cliquant sur " Créer un compte ". L’utilisateur doit ensuite choisir entre une " personnalisation " réalisée en une seule étape – intitulée " personnalisation express (1 étape) ", dont il est indiqué qu’elle implique la réception d’annonces personnalisées, et une " personnalisation manuelle " nécessitant cinq étapes – intitulée " personnalisation manuelle (5 étapes) ", dont il est indiqué qu’elle permet de désactiver la personnalisation des annonces.

118. L’utilisateur qui choisit la " personnalisation express (1 étape) " accède alors à une page intitulée " Confirmer les paramètres de personnalisation et les cookies ", mentionnant que des cookies sont utilisés pour " collecter des données pour : fournir et gérer des services, comme le suivi des indisponibilités et la protection contre le spam, la fraude et les abus ; […] Si vous acceptez, nous utiliserons aussi des cookies pour collecter des données pour : […] proposer des publicités personnalisées ou génériques, en fonction de vos paramètres, sur Google et sur le Web […] ". L’utilisateur peut soit cliquer sur " Confirmer " pour accepter les paramètres de personnalisation dont l’utilisation de cookies pour la réception d’annonces personnalisées, soit cliquer sur un bouton " Retour " lui permettant de revenir à l’étape précédente.

119. L’utilisateur qui choisit la " personnalisation manuelle (5 étapes) " doit choisir ses options de personnalisation à travers cinq écrans successifs : la première étape est relative à la personnalisation de l’activité de l’utilisateur sur le Web et les applications, la deuxième étape permet la personnalisation de la page d’accueil Youtube et la quatrième étape propose de recevoir des rappels occasionnels concernant la confidentialité des données. La troisième étape - intitulée " Activez le paramètre " Personnalisation des annonces " pour voir des annonces plus adaptées " - oblige l’utilisateur à choisir entre l’affichage d’annonces personnalisées ou génériques pour continuer sa navigation.

120. Puis à la cinquième étape l’utilisateur est informé que des cookies sont utilisés pour " collecter des données pour : fournir et gérer des services, comme le suivi des indisponibilités et la protection contre le spam, la fraude et les abus ; […] Si vous acceptez, nous utiliserons aussi des cookies pour collecter des données pour : […] proposer des publicités personnalisées ou génériques, en fonction de vos paramètres, sur Google et sur le Web […] ". Il est invité à confirmer ses choix, via un bouton " Confirmer " ou à revenir en arrière, via un bouton " Retour ".

b. Le parcours utilisateur à compter d’octobre 2023

121. La formation restreinte note qu’à partir d’octobre 2023, les sociétés ont modifié le parcours de " personnalisation express (1 étape) " désormais intitulé " sélection express (1 étape) " en y insérant les boutons " tout refuser " et " tout accepter ". Après avoir cliqué sur l’un ou l’autre des boutons précités, l’utilisateur accède à un écran de confirmation des paramètres, lui permettant soit de confirmer son choix – en cliquant sur le bouton " Confirmer " – soit de modifier son choix – en cliquant sur le bouton " Retour " qui le renvoie à l’étape précédente – et l’informant que des cookies sont utilisés pour " collecter des données pour : fournir et gérer des services, comme le suivi des indisponibilités et la protection contre le spam, la fraude et les abus ; […] Si vous acceptez, nous utiliserons aussi des cookies pour collecter des données pour : […] proposer des publicités personnalisées ou génériques, en fonction de vos paramètres, sur Google et sur le Web […] ".

122. Elle note que les sociétés ont également modifié le parcours de " personnalisation manuelle " désormais intitulé " sélection manuelle (4 étapes) ". Celui-ci permet toujours à l’utilisateur de choisir ses options de personnalisation à travers cinq écrans successifs. La formation restreinte relève que les modifications opérées ne portent pas sur le contenu des pages 3 et 5 qui sont celles liées aux annonces.

123. Ainsi, la troisième étape de la " sélection manuelle (4 étapes) " intitulée " Activez le paramètre " Personnalisation des annonces " pour voir des annonces plus adaptées ", demande toujours à l’utilisateur de choisir entre l’affichage d’annonces personnalisées ou génériques. Il est toujours précisé que les annonces sont soit personnalisées en fonction des activités ou d’autres données propres à l’utilisateur, soit génériques – c’est-à-dire qu’elles sont basées sur des facteurs généraux, tels que la position de l’utilisateur ou encore le contenu de la page consultée par celui-ci.

124. Arrivé à la cinquième étape, l’utilisateur est toujours invité à confirmer ses choix via un bouton " Confirmer " ou à revenir en arrière, via un bouton " Retour ". C’est toujours seulement à cette étape qu’il est informé que des cookies sont utilisés pour " proposer des services et nous assurer qu’ils fonctionnent correctement, par exemple en effectuant le suivi des interruptions de service et en vous protégeant contre le spam, la fraude et les abus ; […] Si vous acceptez, nous utiliserons aussi des cookies pour […] améliorer la qualité du service et en développer de nouveaux […] proposer des contenus personnalisées en fonction de vos paramètres ; proposer des publicités personnalisées ou génériques, en fonction de vos paramètres, sur Google et sur le Web […] ".

2. Sur la caractérisation du manquement à l’article 82 de la loi Informatique et Libertés

125. A titre liminaire, la formation restreinte constate que les parcours utilisateurs décrits ci-dessus – tant avant qu’après octobre 2023 – ne permettent pas à l’utilisateur de refuser le dépôt de cookies liés à l’affichage de publicités. L’utilisateur ne peut choisir qu’entre le dépôt de cookies permettant soit l’affichage de publicités personnalisées soit l’affichage de publicités génériques. Elle rappelle que les cookies liés à l’affichage de publicités ne font pas partie des cookies exemptés de consentement au titre de l’article 82 de la loi Informatique et Libertés dans la mesure où ils n’ont pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ni ne sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

126. Par une décision du 19 juin 2020, le Conseil d’Etat a jugé que l’exigence d’un consentement libre ne pouvait pas justifier une interdiction générale de la pratique des " murs de traceurs ", la liberté du consentement des personnes devant être appréciée au cas par cas, en tenant compte notamment de l’existence d’alternative réelle et satisfaisante proposée en cas de refus des cookies (CE, 10ème et 9ème chambre réunies, Association des agences-conseils en communication, 19 juin 2020, n° 434684).

127. La formation restreinte observe que si le fait de lier l’utilisation d’un service à l’inscription de cookies non strictement nécessaires à la fourniture du service fourni, pratique qui est assimilable à un mur de traceurs (cookie wall), n’est pas en soi illégal, c’est à la condition que le consentement soit libre – ce qui implique que tant le refus du consentement que son retrait n’entrainent pas de préjudice pour l’utilisateur. Dans cette perspective, la liberté du consentement doit être appréciée en tenant notamment compte de l’existence d’alternatives réelles et satisfaisantes.

128. Elle relève ainsi que dès 2020, la notion d’alternative équivalente était évoquée dans le cadre de l’affaire précitée devant le Conseil d’État et portant sur les murs de traceurs (cookie wall). Le Rapporteur public indiquait ainsi que " La clé nous paraît résider dans la nature du besoin que l’utilisateur cherche à satisfaire et, surtout, dans l’existence, la disponibilité et l’accessibilité d’alternatives raisonnables permettant d’atteindre un résultat équivalent. ". Le Rapporteur public indiquait également que cette notion d’alternative reprenait la position du CEPD dans son avis n° 1/2017 (WP 247) du 4 avril 2017 sur la proposition de règlement ePrivacy. Le CEPD indiquait en effet que " L’existence d’un libre choix pour les personnes concernées pourrait également être appréciée en fonction de l’existence d’alternatives. Dans le cadre des " services gratuits ", le Groupe de travail a déjà reconnu que " tant que ces autres services ne sont pas disponibles, il est plus difficile de prétendre qu’un consentement valide (donné librement) a été obtenu ". Ce qui est considéré comme une alternative dans ce contexte pourrait dépendre, entre autres, de la position du fournisseur sur le marché ou de l’existence véritable de choix équivalents pour la personne concernée " (§60).

129. La formation restreinte considère que les organismes décidant de recourir à un mur de traceurs (cookie wall), doivent démontrer que celui-ci est justifié dans la mesure où il a pour objectif de préserver un équilibre économique entre le fait de proposer un service et le coût de celui-ci.

130. En l’espèce, la formation restreinte relève qu’il ressort des pièces du dossier que le service Gmail est un service de messagerie électronique fourni sans contrepartie financière aux titulaires d’un compte Google et sa maintenance et son développement sont financés par les recettes publicitaires du groupe GOOGLE, lesquelles sont donc intrinsèquement liées au dépôt de cookies.

131. Dans ces conditions, elle considère que le fait pour les sociétés de conditionner l’accès au service Gmail au dépôt de cookies n’est pas illégal, pour autant que les conditions de validité du consentement énoncés précédemment soient respectées.

132. En l’espèce, la formation restreinte relève que les parcours de création d’un compte Google proposent aux utilisateurs le dépôt de cookies relatifs à deux modèles de publicités ayant des impacts très différents sur le traitement de données à caractère personnel des personnes concernées. Or, comme développé aux points 109 et 110 de la présente délibération, compte tenu de ce que la publicité personnalisée est beaucoup plus intrusive en termes de collecte de données personnelles et de profilage que la publicité dite générique ou contextuelle, il convient notamment de vérifier que le choix de l’utilisateur n’est pas biaisé en faveur de la publicité personnalisée pour s’assurer du caractère libre du consentement donné par ce dernier.

a) Sur le caractère libre du consentement

133. En premier lieu, s’agissant du caractère libre du consentement, la formation restreinte observe qu’avant les modifications apportées en octobre 2023, en cliquant sur le parcours de " personnalisation express (1 étape) ", puis sur le bouton " Confirmer ", deux clics suffisaient à l’utilisateur créant un compte Google pour accepter le dépôt et/ou l’écriture de cookies permettant l’affichage de publicité personnalisée dans son terminal. Or, dans le cas où l’utilisateur souhaitait refuser la personnalisation des annonces via ces cookies, il devait nécessairement effectuer six clics pour opter en faveur de la publicité générique, en basculant vers le parcours de " personnalisation manuelle ", composé de cinq étapes (décrites au § 112).

134. La formation restreinte estime que le fait de rendre le mécanisme de refus des cookies liés à la personnalisation des annonces plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser ces cookies et à les inciter à privilégier la facilité du bouton " Confirmer ". En effet, le fait de devoir cliquer sur " personnalisation manuelle " et comprendre la façon dont est construit le parcours en cinq étapes permettant de refuser les cookies liés à la personnalisation des annonces, est susceptible de décourager l’utilisateur qui souhaiterait pourtant refuser le dépôt de ces cookies mais qui va choisir l’option lui permettant d’accéder le plus rapidement au service. Il n’est pas contesté qu’en l’espèce, les sociétés offraient un choix entre l’acceptation ou le refus des cookies liés à la personnalisation des annonces, mais la formation restreinte considère que les modalités par lesquelles ce refus pouvait être exprimé dans le contexte de création d’un compte Google biaisaient l’expression du choix en favorisant le consentement au dépôt de cookies permettant la publicité personnalisée, altérant ainsi la liberté de choix.

135. La formation restreinte relève que dans sa sanction n°SAN-2021-023 du 31 décembre 2021 précitée concernant les deux sociétés, elle avait déjà rappelé le principe selon lequel lorsqu’un responsable de traitement offre aux utilisateurs deux options différentes emportant des conséquences en matière de traitement de données à caractère personnel, les modalités d’expression de son choix, notamment en termes de nombre d’actions à effectuer pour chacune des options, doivent être équivalentes.

136. En second lieu, la formation restreinte note qu’à partir d’octobre 2023, les sociétés ont modifié le parcours utilisateur et qu’il est désormais possible de refuser la personnalisation des annonces aussi facilement que de l’accepter grâce à l’insertion des boutons " tout refuser " et " tout accepter " sur le parcours de " personnalisation express (1 étape) " désormais intitulé " sélection express (1 étape) ". Elle considère que le caractère libre du consentement ne fait plus défaut depuis cette date.

137. Au regard de ce qui précède, la formation restreinte considère qu’un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés, interprétées à la lumière du RGPD, est constitué, dans la mesure où le consentement n’était pas libre jusqu’en octobre 2023, puisque l’utilisateur n’avait pas la possibilité de refuser le dépôt et/ou la lecture de cookies liés à la personnalisation des annonces avec le même degré de simplicité qu’il avait de les accepter.

b) Sur le caractère éclairé du consentement

138. La formation restreinte observe que l’ensemble du parcours utilisateur mis en place par les sociétés que ce soit avant ou après octobre 2023, est incompatible avec les caractéristiques d’un consentement valide, celui-ci n’étant pas éclairé. Elle note qu’à l’exception de certains intitulées d’étapes et de quelques phrases reformulées, le contenu des informations transmises à l’utilisateur demeure inchangé.

139. Comme rappelé dans l’avis du CEPD précité, les personnes concernées doivent avoir une compréhension complète et claire de la valeur, de la portée et des conséquences des différents choix qui s’offrent à elles, et il y a lieu d’éviter toute forme de conception trompeuse ou manipulatrice conformément au principe de loyauté.

140. Sur ce point, la formation restreinte relève que les parcours présentent plusieurs défaillances majeures.

141. Tout d’abord, quels que soient la période et le parcours étudié, elle relève qu’à aucun moment les sociétés n’indiquent aux utilisateurs de manière explicite que la création d’un compte Google implique nécessairement le dépôt de cookies à finalité publicitaire. Ainsi, s’agissant du parcours " personnalisation express (1 étape) ", si les deux pages affichées successivement à l’utilisateur comporte des mentions liées aux caractéristiques de chacune des formes de publicités affichées grâce aux cookies, telles que les catégories de données collectées à cette fin, elles ne contiennent aucune information sur le fait que l’accès au service est conditionné par le dépôt de cookies. Le constat est similaire s’agissant des pages affichées dans le cadre du parcours manuel, que ce soit avant ou après octobre 2023.

142. Or, le fait pour la personne concernée de savoir qu’il est impossible d’accéder aux services Google sans que des cookies ne soient déposés sur son terminal est une information fondamentale qui doit être portée à sa connaissance de manière claire afin qu’elle puisse décider, en toute connaissance de cause, de finaliser ou non la création de son compte. A défaut d’avoir une compréhension complète et claire des traitements mis en œuvre, de leur portée et, par conséquent, des conséquences des différents choix qui s’offrent à elle, la formation restreinte considère que le consentement donné n’est pas éclairé et, dès lors, pas valide.

143. Dans le cadre des parcours " personnalisation manuelle (5 étapes)" et " Sélection manuelle (4 étapes) ", la formation restreinte considère que ce n’est que de façon largement implicite que les sociétés présentent le recours aux cookies comme étant consubstantiel au service Gmail, alors qu’aucun refus global des cookies n’est possible. En effet, la formation restreinte observe que les informations susceptibles de faire comprendre à l’utilisateur que le service est conditionné à l’acceptation des cookies sont réparties dans deux étapes distinctes et qu’il revient à l’utilisateur d’établir le lien entre ces deux étapes pour comprendre qu’il n’a d’autre choix que celui d’accepter les cookies lorsqu’il crée un compte Google. Ce n’est qu’en parvenant à l’étape n° 5, présentée comme une étape de récapitulation et confirmation des choix, que les sociétés font état du lien entre l’utilisation de cookies et l’affichage de publicités, personnalisées ou génériques. Cette information est donc fournie tardivement à l’utilisateur puisqu’il aura déjà obligatoirement exprimé son choix entre l’affichage de publicités génériques ou personnalisées à l’étape n° 3 intitulée " Personnalisation des annonces ", sans être dès ce stade en mesure d’appréhender les implications de ce choix sur les cookies qu’il devra accepter. A cet égard, la formation restreinte relève qu’il n’est jamais clairement indiqué à l’utilisateur qu’il se trouve en présence d’un mur de traceurs (cookie wall).

144. La formation restreinte considère que si la multiplicité des paramètres proposés à l’utilisateur lorsqu’il crée un compte Google peut justifier une présentation du parcours en plusieurs étapes, cette circonstance ne saurait aucunement justifier le manque d’intelligibilité des informations fournies et de la portée des choix qui s’offrent à elle.

145. Elle relève que ce manque de clarté entourant l’utilisation des cookies est renforcé par le choix des termes employés dans ce parcours. En effet, à l’étape n°5, il est indiqué " […] Si vous acceptez, nous utiliserons aussi des cookies pour collecter des données pour : […] proposer des publicités personnalisées ou génériques, en fonction de vos paramètres, sur Google et sur le Web […] ". Or, l’emploi des termes " Si vous acceptez " en début de phrase devrait logiquement impliquer qu’il est possible de refuser l’ensemble des cookies liés à la publicité. Pourtant, comme démontré auparavant, les sociétés n’offrent pas la possibilité de refuser l’entièreté des cookies.

146. La formation restreinte considère qu’une présentation plus claire des deux options proposées, à l’aide de termes dénués de toute ambiguïté, aurait été conforme aux exigences et compatible avec le parcours utilisateur mis en place par les sociétés. Les sociétés auraient par exemple pu afficher au sein de leurs parcours, une étape comportant deux options telles que :

- créer gratuitement un compte en acceptant le dépôt et / ou la lecture des cookies afin de vous proposer des publicités et contenu personnalisés,

- créer gratuitement un compte en acceptant le dépôt et / ou la lecture des cookies ne permettant que l’affichage de publicités génériques.

147. Plutôt que d’opter pour un mur de traceurs (cookie wall), dénué de toute ambiguïté pour les personnes concernées, leur permettant de donner un consentement éclairé au dépôt de cookies à des fins publicitaires et de choisir entre deux alternatives claires – publicités personnalisées ou génériques – les sociétés ont opté pour un parcours complexe et ambigu.

148. Ensuite, la formation restreinte note que les informations fournies incitent l’utilisateur à choisir la publicité personnalisée au détriment de la publicité générique.

149. Par exemple, au sein du parcours " Sélection manuelle (1 étape) " " après les modifications d’octobre 2023, la formation restreinte observe qu’au sein de la page intitulée " Sélectionnez vos paramètres ", une très large place est consacrée à la présentation de la personnalisation des services Google, dont les annonces personnalisées, et aux avantages qu’elle représente. En effet, les sociétés mettent en avant le fait que les annonces seront plus pertinentes et que les utilisateurs pourront contrôler les informations utilisées à cette fin. A l’inverse, la formation restreinte relève que cette page ne contient aucune information sur la publicité générique. Or, c’est à la fin de cette étape que l’utilisateur est invité à exprimer son choix, lequel sera nécessairement fait à la lumière des informations qui viennent de lui être fournies. Elle note encore qu’à la page suivante, intitulée " Confirmer vos paramètres ", la publicité générique est présentée en une phrase expliquant quelles données sont utilisées à cette fin. Ainsi, compte tenu du net déséquilibre dans la présentation des deux types de publicités, la formation restreinte considère que le consentement recueilli ne peut pas être qualifié d’éclairé.

150. De la même façon, au sein du parcours " personnalisation manuelle (5 étapes)" devenu après octobre 2023 " Sélection manuelle (4 étapes) ", l’étape consacrée au choix du type de publicité était intitulée avant octobre 2023 " Activez le paramètre " Personnalisation des annonces " pour voir des annonces plus adaptées " puis est devenu " " Activez la personnalisation des annonces pour voir des annonces plus adaptées ". De cette façon, le choix de la personnalisation des annonces n’est pas présenté de façon neutre puisque l’emploi du verbe " activer " sous sa forme impérative, recommande clairement à l’utilisateur d’opter pour la personnalisation des annonces. La formation restreinte relève encore qu’en dessous du titre de ces pages figure un autre titre intitulé " Indiquez si vous souhaitez activer le paramètre " personnalisation des annonces " " avant octobre 2023 puis " Indiquez si vous souhaitez activer la personnalisation des annonces " depuis cette date. Elle observe là encore que les sociétés présentent la publicité personnalisée aux utilisateurs comme étant le seul choix viable, qui s’imposerait à eux de façon évidente.

151. A l’inverse, un espace beaucoup moins important est accordé à la présentation de la publicité non personnalisée. En effet, la formation restreinte note que lors de ces étapes, l’intégralité des informations fournies en dessous des deux options annonces personnalisées/annonces génériques est exclusivement consacrée à la publicité personnalisée. Ce n’est qu’à la toute dernière étape que la publicité générique est présentée succinctement en une seule phrase.

152. La formation restreinte admet que compte tenu de ce que la publicité personnalisée est alimentée par une grande quantité de données variées, sa description peut nécessiter de délivrer davantage d’informations que pour la publicité générique, mais elle estime toutefois que cette différence ne justifie pas un tel déséquilibre, tel que constaté en l’espèce, qui est en outre associé à un vocabulaire et des formulations incitant à choisir l’option de la publicité personnalisée, comme indiqué précédemment.

153. Dès lors, la formation restreinte considère qu’en raison du recours à des formulations implicites et ambiguës à différentes étapes du parcours utilisateur et en l’incitant à opter pour la publicité personnalisée sans lui présenter de manière équilibrée les différentes possibilités s’offrant à lui, le consentement donné par l’utilisateur n’était pas éclairé et, dès lors, pas valide.

154. Au vu de l’ensemble de ce qui précède, la formation restreinte considère que les modalités de recueil du consentement au dépôt et/ou à la lecture des cookies publicitaires mises en œuvre par les sociétés ne sont pas conformes aux dispositions de l’article 82 de la loi Informatique et Libertés, telles qu’éclairées par l’article 4, paragraphe 1 du RGPD.

E. Sur le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique en application de l’article L. 34-5 du code des postes et des communications électroniques

155. En droit, l’article L. 34-5 du CPCE prévoit qu’" est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l'article L. 32 [du même code], d'un télécopieur ou de courriers électroniques utilisant les coordonnées d'une personne physique, abonné ou utilisateur, qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen.

Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe.

Constitue une prospection directe l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services. Pour l'application du présent article, les appels et messages ayant pour objet d'inciter l'utilisateur ou l'abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé relèvent également de la prospection directe.

Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à l'occasion d'une vente ou d'une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d'ambiguïté, la possibilité de s'opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l'utilisation de ses coordonnées au moment où elles sont recueillies et chaque fois qu'un courrier électronique de prospection lui est adressé au cas où il n'aurait pas refusé d'emblée une telle exploitation ".

156. Ces dispositions transposent en droit français les règles régissant l’utilisation de systèmes automatisés d’appel et de communication sans intervention humaine (automates d’appel), de télécopieurs ou de courrier électronique à des fins de prospection directe fixées par la directive ePrivacy, telle que modifiée par la directive 2009/136/CE du 25 novembre 2009, et plus précisément son article 13 traitant des " communications non sollicitées ", dont le paragraphe 1 prévoit que " l’utilisation de systèmes automatisés d’appel et de communication sans intervention humaine (automates d'appel), de télécopieurs ou de courrier électronique à des fins de prospection directe ne peut être autorisée que si elle vise des abonnés ou des utilisateurs ayant donné leur consentement préalable ".

157. Par un arrêt du 25 novembre 2021, la CJUE a précisé que " l’article 13, paragraphe 1, de la directive 2002/58 doit être interprété en ce sens que constitue une " utilisation [...] de courrier électronique à des fins de prospection directe ", au sens de cette disposition, l’affichage dans la boîte de réception de l’utilisateur d’un service de messagerie électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique et au même emplacement que ce dernier sans que la détermination aléatoire des destinataires desdits messages ni la détermination du degré d’intensité de la charge imposée à cet utilisateur aient d’incidence à cet égard, cette utilisation n’étant autorisée qu’à condition que ledit utilisateur ait été informé de manière claire et précise des modalités de diffusion d’une telle publicité, notamment au sein de la liste des courriers électroniques privés reçus, et ait manifesté son consentement de manière spécifique et en pleine connaissance de cause à recevoir de tels messages publicitaires " (point 63) (CJUE, troisième chambre, 25 novembre 2021, StWL Städtische Werke Lauf a.d. Pegnitz Gmbh, C-102/20, ci-après, " l’arrêt du 25 novembre 2021 ").

158. La rapporteure relève tout d’abord, que pour obtenir une adresse électronique Gmail, il est nécessaire de créer un compte Google, en suivant notamment les parcours utilisateur de création de compte précédemment exposés et dans lesquels il convient de choisir entre la réception d’annonces personnalisées et la réception d’annonces génériques sur les services Google. Elle relève ensuite qu’il ressort du contrôle en ligne réalisé entre le 20 octobre et le 4 novembre 2022, à l’occasion duquel la délégation a constaté que lorsque l’utilisateur fait le choix de la réception d’annonces génériques lors la création de son compte Google, il lui est alors offert la possibilité d’activer ou de désactiver les " fonctionnalités intelligentes " lorsqu’il se rend sur sa messagerie Gmail. Après avoir cliqué sur " Continuer avec les fonctionnalités intelligentes " puis sur le bouton " Suivant ", la délégation a constaté que sa boite de réception était organisée en trois onglets au sein desquels les courriers électroniques sont triés en trois catégories intitulées " Principale ", " Promotions " et " Réseaux sociaux ".

159. Elle observe qu’il ressort des constatations réalisées par la délégation que, lors de leur connexion à leur boîte de messagerie Gmail - sur les versions mobiles et web, les utilisateurs de ce service ayant activé les " fonctionnalités intelligentes " voient s’afficher, entre les courriels reçus dans les onglets " Promotions " et " Réseaux sociaux " et sans qu’ils y aient consenti, des annonces publicitaires qui, selon la rapporteure, caractérisent une utilisation de courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE.

160. Elle considère que les modifications apportées par les sociétés en avril 2023 au format des annonces ne sont pas de nature à remettre en cause son analyse.

161. Elle considère dès lors qu’en ne recueillant pas le consentement des personnes concernées à l’affichage de telles publicités dans leur boîte de messagerie Gmail, les sociétés ont commis un manquement aux dispositions susvisées. La rapporteure se fonde notamment, pour étayer sa démonstration, sur l’arrêt de la CJUE précité.

162. En défense, les sociétés soutiennent tout d’abord qu’au regard de la nature et de la sévérité de la sanction proposée par la rapporteure, la présente procédure relève de la matière pénale, soumise au principe d’interprétation stricte de la loi pénale. Elles estiment que l’arrêt du 25 novembre 2021 rendu par la CJUE consacre une interprétation large de la notion de courrier électronique - sur laquelle s’est fondée la rapporteure –, et elles constatent que cet arrêt a été rendu en matière civile et commerciale. Elles considèrent donc que sa transposition en matière pénale est discutable puisque les raisonnements par analogie y sont prohibés, a fortiori lorsqu’ils sont défavorables au mis en cause, ce qui est le cas en l’espèce. Ensuite, les sociétés considèrent que les annonces affichées sur la messagerie Gmail - que ce soit antérieurement et postérieurement aux modifications d’avril 2023 - ne sont pas des courriers électroniques : elles ne répondent ni à la définition légale ni aux critères techniques d’un courrier électronique. Elles considèrent que l’arrêt du 25 novembre 2021 rendu par la CJUE doit être analysé comme effectuant une distinction entre les courriers électroniques personnels - ou privés - et les courriers électroniques de nature commerciale. Elles relèvent en outre que l’interprétation faite par la rapporteure du champ d’application matériel de l’article L. 34-5 du CPCE n’est pas suffisamment claire puisqu’elle considère que les bannières affichées dans les messageries échappent à la qualification de courrier électronique. Au regard de ces éléments, elles considèrent qu’il est infondé d’appliquer le régime répressif prévu à l’encontre des courriers électroniques à des fins de prospection aux annonces Gmail, sauf à violer le principe d’interprétation stricte de la loi pénale.

163. Les sociétés relèvent en outre que l’affichage des annonces non sollicitées dans Gmail a été restreint aux seuls onglets " Promotions " et " Réseaux sociaux " afin de préserver une expérience utilisateur qualitative.

164. Enfin, si l’application de l’arrêt du 25 novembre 2021 rendu par la CJUE était retenue, les sociétés soutiennent que le risque de confusion pour les utilisateurs entre les courriers électroniques et les annonces Gmail est quasi inexistant. Elles considèrent que le critère de " placement " dégagé par l’arrêt du 25 novembre 2021 n’est pas rempli en l’espèce puisque les annonces ne sont déposées que dans l’onglet prévu pour les courriers électroniques commerciaux qui ne comporte aucun courriel privé et qui n’est accessible par l’utilisateur que s’il clique dessus. Elles relèvent en outre que le critère de l’apparence n’est pas non plus rempli puisque 76% des personnes interrogées sur le format des annonces présentées par les sociétés sur Gmail depuis avril 2023 considèrent qu’il n’est pas difficile de les distinguer des courriers électroniques, d’après une étude menée par l’institut IPSOS à la demande des sociétés, qui a été transmise dans le cadre du contradictoire écrit.

165. De surcroît, les sociétés soutiennent que les modifications visuelles apportées aux annonces en avril 2023 mettent clairement en évidence qu’il n’y a pas de risque de confusion avec les courriers électroniques. Elles font notamment valoir que les annonces ne présentent pas une icône de suivi - étoile située à gauche des courriers électroniques – et que lorsque l’utilisateur passe le curseur de sa souris sur un courrier électronique quatre boutons de commande apparaissent - archiver, supprimer, marquer comme lu/non lu et mettre en attente, alors que la même action sur une annonce fait uniquement apparaitre l’option de suppression. Elles ajoutent que l’objet et le texte des annonces sont nettement décalés par rapport à ceux des courriers électroniques et que le logo de l’annonceur est bien visible à côté du nom de l’annonceur.

166. En tout état de cause, les sociétés indiquent recueillir le consentement préalable des utilisateurs à la réception de publicités personnalisées lors de la création d’un compte Google.

1. Sur le cadre juridique applicable aux publicités insérées entre les courriels

a. Sur l’articulation de la jurisprudence de la Cour de justice de l’Union européenne et des articles L. 34-5 du CPCE et 13 de la directive ePrivacy

167. La formation restreinte rappelle que, conformément à l’article 288 du traité sur le fonctionnement de l’Union européenne (ci-après, " le TFUE), les directives européennes " lie[nt] tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens ". Ainsi, si les autorités nationales déterminent la forme et les méthodes qu’elles utilisent pour incorporer lesdites directives dans leur droit national, ces mesures doivent atteindre l’objectif défini par celles-ci. La formation restreinte souligne en outre que ces directives définissent des normes minimales, les Etats ayant la possibilité de fixer des règles plus protectrices.

168. Par ailleurs, la CJUE a, à plusieurs reprises, rappelé qu’il " découle des exigences tant de l’application uniforme du droit de l’Union que du principe d’égalité que les termes d’une disposition du droit de l’Union qui ne comporte aucun renvoi exprès au droit des Etats membres pour déterminer son sens et sa portée doivent normalement trouver, dans toute l’Union, une interprétation autonome et uniforme. En outre, […] lors de l’interprétation d’une disposition du droit de l’Union, il y a lieu de tenir compte non seulement des termes de celle-ci et des objectifs qu’elle poursuit, mais également de son contexte ainsi que de l’ensemble des dispositions du droit de l’Union. La genèse d’une disposition du droit de l’Union peut également revêtir des éléments pertinents pour son interprétation " (CJUE, grande chambre, 26 mars 2019, SM, C-129/18 ; CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17).

169. De plus, la formation restreinte relève que la Cour européenne des droits de l’homme a souvent rappelé qu’" aussi clair que le libellé d’une disposition légale puisse être, dans quelque système juridique que ce soit, y compris le droit pénal, il existe immanquablement un élément d’interprétation judiciaire. Il faudra toujours élucider les points douteux et s’adapter aux changements de situation. D’ailleurs, il est solidement établi dans la tradition juridique [des] États parties à la Convention que la jurisprudence, en tant que source du droit, contribue nécessairement à l’évolution progressive du droit pénal " (CEDH, 22 nov. 1995, S.W. et C.R. c. Royaume-Uni ; v. aussi CEDH, gr. ch., 22 mars 2001, Streletz, Kessler et Krenz c. Allemagne, req. nos 34044/96, 35532/97 et 44801/98, Rec. 2001-II ; CEDH, gr. ch., 22 mars 2001, K.-H.W. c. Allemagne, req. n° 37201/97 ; CEDH, 5e sect., 12 juill. 2007, Jorgic c. Allemagne, req. n° 74613/01; CEDH, gr. ch., 19 sept. 2008, Korbely c. Hongrie, req. n° 9174/02; CEDH, gr. ch., 17 mai 2010, Kononov c. Lettonie, req. n° 36376/04) .

170. En l’espèce, les dispositions de l’article 13 de la directive ePrivacy ont été transposées en droit français à l’article L. 34-5 du CPCE, cité supra. La formation restreinte relève qu’en application de l’article 288 du TFUE et de la jurisprudence de la CJUE, le législateur et les juridictions nationales doivent s’assurer, dans toute la mesure du possible, que ces dispositions apportent aux personnes concernées une protection conforme à celle garantie par la directive européenne. Dès lors, il convient de lire ce texte au regard non seulement de l’article 13 de la directive ePrivacy, mais également à la lumière de la jurisprudence de la CJUE, dont le rôle est de veiller à ce que la législation de l’Union soit interprétée et appliquée de manière harmonisée dans l’ensemble des pays membres en prenant en compte les évolutions technologiques liées aux opérations de prospection électronique.

171. Si, lors de la rédaction du texte, la notion de prospection commerciale par voie électronique s’envisageait traditionnellement comme l’envoi d’un message par un destinataire à un autre destinataire en utilisant soit son numéro de téléphone, soit son numéro de télécopie, soit son adresse de courrier électronique en tant que tels, l’évolution de la technologie et le déploiement de nouvelles méthodes de prospection, se distinguant des modèles techniques classiques en vigueur au moment de l’adoption du texte par le législateur, doivent conduire à adopter une approche fonctionnelle des notions en jeu.

172. C’est la position adoptée par la CJUE pour interpréter l’article 13 de la directive ePrivacy, l’arrêt du 25 novembre 2021 rappelant les objectifs de ce texte, à savoir assurer un niveau égal de protection aux utilisateurs indépendamment des technologies utilisées, " ce qui confirme qu’il y a lieu de retenir une conception large et évolutive d’un point de vue technologique du type de communications visées par cette directive " (point 39). La Cour considère ainsi que " si des entrées publicitaires de quelque nature que ce soit apparaissent dans la boîte de réception de la messagerie Internet, à savoir dans la rubrique dans laquelle l’ensemble des courriers électroniques adressés à l’utilisateur s’affichent, il y a lieu de considérer que cette boîte de réception constitue le moyen par lequel les messages publicitaires concernés sont communiqués à cet utilisateur, ce qui implique l’utilisation de son courrier électronique à des fins de prospection directe, au sens de l’article 13, paragraphe 1, de la directive 2002/58 " (point 44).

173. La formation restreinte considère qu’il n’y a pas lieu d’adopter une interprétation différente s’agissant de l’article L. 34-5 du CPCE, la notion d’" utilisation des coordonnées " devant être interprétée comme le moyen d’atteindre l’utilisateur – en l’espèce, par le biais de sa messagerie électronique, à laquelle il accède après s’être authentifié –, indépendamment du traitement de l’adresse de courrier électronique en tant que telle. Ainsi, l’utilisation de la boite électronique de l’abonné pour afficher le message de prospection suffit à faire entrer cette opération dans le champ d’application de l’article L. 34-5 du CPCE. Par ailleurs, la formation restreinte estime que, comme l’a jugé la CJUE, peu importe le fait que les annonces en cause ne constituent pas, d’un point de vue technique, des courriels à proprement parler, leur seul affichage dans un espace normalement spécifiquement réservé aux courriels privés - dans un ou des espaces normalement privés où l’utilisateur s’attend à recevoir des courriels - suffit à considérer que ces messages sont communiqués au moyen de la boîte aux lettres électronique des personnes concernées, et donc de leur courrier électronique, au sens de l’article L. 34-5 du CPCE. De même, le fait de donner à des messages publicitaires l’apparence de véritables courriels et, ainsi, d’utiliser l’intérêt et la confiance que les utilisateurs d’un service de messagerie électronique portent à leur boîte de réception pour mettre en valeur ces messages, impose de faire suivre à ces derniers le même régime juridique que celui applicable aux courriers électroniques.

174. La formation restreinte relève enfin que l’arrêt évoqué supra évoque des " entrées publicitaires de quelque nature que ce soit ". Elle souligne que ce type d’annonces publicitaires - parce qu’elles sont affichées dans un espace spécifiquement réservé aux courriels privés et qu’elles prennent l’apparence de ces derniers, se distingue des bannières publicitaires qui apparaissent en marge et de façon séparée de la liste des courriels, lesquelles ne sont pas concernées par l’application de l’article L. 34-5 du CPCE. La formation restreinte relève que cette position est celle retenue dans sa délibération n° SAN-2024-019 du 14 novembre 2024. Dans cette affaire, elle avait relevé que le responsable de traitement avait modifié l’affichage de ses annonces, ces dernières n’apparaissant plus entre les courriels reçus mais au sein d’une bannière distincte et fixe figurant au pied de la boîte de réception des utilisateurs, en marge de la liste des courriels et séparément de ceux-ci. Elle a donc considéré dans sa délibération que ce format d’affichage permettait de distinguer clairement ces annonces des autres courriers électroniques reçus et que, dès lors, la pratique en cause ne pouvait plus être qualifiée d’utilisation de courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE.

175. De la même manière, la formation restreinte considère qu’il n’y a pas lieu de considérer, comme le font les sociétés, que l’intégralité des messages de prospection électronique ne peuvent en aucun cas s’assimiler à des courriers privés. Elle relève que la distinction proposée par les sociétés ne ressort pas de la décision de la CJUE précitée. Elle relève par ailleurs que la Cour fait référence aux courriers privés comme étant ceux reçus dans la boite de messagerie de l’utilisateur, à laquelle ce dernier accède après s’être authentifié. S’agissant des messages de prospection électronique, la formation restreinte rappelle que la seule distinction pertinente qu’il convient d’opérer est celle entre, d’une part, les messages de prospection qui satisfont aux conditions fixées par l’article L. 34-5 du CPCE et qui sont légitimes, soit parce que le consentement de la personne a été recueilli pour l’envoi de tels messages, soit parce que la prospection concerne un produit ou service analogue et, d’autre part, les messages de prospection ne satisfont pas aux conditions définies à cet article

176. En d’autres termes, même s’il est de nature commerciale, un message de prospection qui satisfait aux conditions fixées par l’article L. 34-5 du CPCE doit être considéré comme un courrier électronique entrant dans la catégorie des courriers privés, au même titre qu’un message d’ordre plus personnel, comme une correspondance privée entre deux personnes.

177. La formation restreinte observe d’ailleurs que la Cour s’est placée du point de vue du destinataire du message publicitaire, pour lequel ce dernier est affiché dans sa boite de réception - un espace normalement réservé aux courriels privés, ce qui créée un risque de confusion pour l’utilisateur entre les courriels privés et les messages publicitaires. La Cour évoque à ce titre, des sollicitations répétées et non souhaitées. La formation restreinte retient ainsi que ces courriers électroniques ne sont pas sollicités par l’utilisateur de la messagerie qui n’a pas consenti à leur réception.

b. Sur la prévisibilité du cadre juridique applicable et le respect du principe de légalité des délits et des peines

178. La formation restreinte relève que le principe d’interprétation stricte de la loi pénale découle du principe de légalité des délits et des peines qui exige que les obligations, manquements et les différentes sanctions possibles aient été définis à l’avance. Elle rappelle qu’en matière de sanction administrative, le Conseil constitutionnel a imposé le respect de principes fondamentaux, parmi lesquels le principe de légalité des délits et des peines (n° 88-248 DC, 17 janvier 1989).

179. Le Conseil d’Etat a précisé la portée de ce principe, qui implique que les éléments constitutifs des infractions soient définis de façon précise et complète (CE, 9 octobre 1996, Société Prigest, n° 170363, T. ; CE, Section, 12 octobre 2009, M. P., n° 311641, Rec.). En matière de sanctions administratives, la jurisprudence considère que " l’exigence d'une définition des infractions sanctionnées se trouve satisfaite […] dès lors que les textes applicables font référence aux obligations auxquelles les intéressés sont soumis en raison de l'activité qu'ils exercent, de la profession à laquelle ils appartiennent, de l'institution dont ils relèvent ou de leur qualité " et qu’une sanction peut être prononcé s’il est " raisonnablement prévisible par les personnes concernées et en tenant compte de leur qualité et des responsabilités qu'elles exercent, que le comportement litigieux constitue un manquement à ces obligations " (CE, 3 octobre 2018, SFCM, n° 411050, Rec.).

180. En l’espèce, la formation restreinte rappelle que le fait de recueillir le consentement des personnes concernées pour réaliser des opérations de prospection commerciale par voie électronique est clairement exigé par la législation, tant nationale qu’européenne, depuis de nombreuses années, la directive ePrivacy a ainsi été transposée en droit français en 2004. Cette exigence a en outre été rappelée par la CNIL à plusieurs reprises, tant à travers les publications sur son site web que par les multiples décisions rendues par sa formation restreinte en la matière.

181. En outre, la formation restreinte relève que l’arrêt en cause a été publié près d’un an avant les opérations de contrôle et qu’il est extrêmement clair : l’affichage dans la boîte de réception de l’utilisateur d’un service de messagerie électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique et au même emplacement que ce dernier constitue une " utilisation [...] de courrier électronique à des fins de prospection directe " et n’est autorisé qu’à condition que ledit utilisateur ait été informé de manière claire et précise des modalités de diffusion d’une telle publicité et ait manifesté son consentement de manière spécifique et en pleine connaissance de cause à recevoir de tels messages publicitaires (point 63 de la décision).

182. La formation restreinte observe que l’arrêt rendu par la CJUE le 25 novembre 2021 a fait l’objet d’un communiqué de presse. Elle relève que l’intitulé de ce communiqué était particulièrement clair sur la portée de l’arrêt : " Inbox advertising : l’affichage dans la boîte de réception électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique constitue une utilisation de courrier électronique à des fins de prospection directe au sens de la directive 2002/58 ". Au vu de ces éléments, il ne saurait dès lors être considéré que les règles applicables n’étaient pas prévisibles pour les sociétés.

183. Il appartenait ainsi aux sociétés, qui disposent des moyens matériels, humains et techniques pour assurer leur mise en conformité, d’adapter le cas échéant leurs pratiques.

184. Elle relève enfin que le principe de légalité ne proscrit pas " la clarification graduelle des règles de la responsabilité pénale par l’interprétation judiciaire […] " (CEDH, 22 nov. 1995, S.W. et C.R. c. Royaume-Uni, requête n° 20166/92) et que " Dans un domaine couvert par le droit écrit, la "loi" est le texte en vigueur tel que les juridictions compétentes l’ont interprété en ayant égard, au besoin, à des données techniques nouvelles. " (CEDH, 24 avril 1990, Kruslin c. France, requête n°11801/85).

185. Il apparait dès lors que les éléments constitutifs du manquement reproché aux sociétés sont définis de façon précise et complète et qu’il ne peut, dans ces conditions, être soutenu que le prononcé d’une sanction méconnaîtrait le principe de légalité des délits et des peines.

2. Sur la caractérisation du manquement à l’article L. 34-5 du CPCE

186. La formation restreinte relève qu’en l’espèce, les constatations réalisées par la délégation de contrôle entre le 20 octobre 2022 et le 4 novembre 2022 ont permis de mettre en évidence l’affichage sur les versions mobiles et web, dans la boîte de réception du compte de messagerie électronique des utilisateurs du service Gmail ayant fait le choix d’activer les " fonctionnalités intelligentes ", de messages publicitaires dont l’apparence se rapproche de véritables courriels. Elle relève qu’il ressort des constatations et des échanges contradictoires qu’au 11 décembre 2022, puis au 13 mai 2023, et enfin au 10 septembre 2024 et sur la base des 28 jours ayant précédé ces dates, le volume de comptes ayant activé ces fonctionnalités représente, en France, environ […]% des comptes actifs au moins une fois sur les périodes.

187. Etaient en effet insérées, entre les courriels reçus dans les onglets " Promotions " et " Réseaux sociaux " de la messagerie, des entrées exactement de la même taille que les autres courriels, ne s’en distinguant, pour la version web du compte Gmail, que par l’absence de date – remplacée par l’icône " ⋮ " - de case à cocher permettant traditionnellement de sélectionner un courriel et par une mention " annonce " de couleur verte apposée entre le nom de l’expéditeur et la rubrique de l’objet du courriel. La formation restreinte relève que sur la version mobile, les messages publicitaires se distinguaient des autres messages par une mention " annonce " de couleur verte apposée sous le nom de l’expéditeur ainsi que par la présence d’une icône " ⓘ " située sur le côté du message.

188. La formation restreinte relève que, sur les versions mobile et web, le nom de l’expéditeur apparaissait dans les mêmes formes que ceux des véritables courriels et que l’objet des messages s’apparentait également à ceux des autres courriels. Un clic sur ces entrées entraînait l’ouverture de la publicité complète sous la forme d’un courrier électronique.

189. Afin de déterminer si l’affichage des annonces publicitaires en cause constituent une utilisation de courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE, lu à la lumière de l’article 13 de la directive ePrivacy tel qu’interprété par la CJUE, la formation restreinte considère qu’il convient de vérifier, comme l’a fait la Cour dans son arrêt du 25 novembre 2021, " en premier lieu, si le type de communication utilisée à des fins de prospection directe figure parmi celles visées par ladite disposition ; en deuxième lieu, si une telle communication a pour finalité la prospection directe, et, en troisième lieu, si l’exigence d’obtenir un consentement préalable de la part de l’utilisateur a été respectée " (point 37).

a. Sur le moyen de communication utilisé

190. Il ressort de l’arrêt susvisé que les messages sur lesquels la CJUE s’est prononcée se présentaient comme " des entrées qui ne se distinguaient visuellement de la liste des autres courriels de l’utilisateur du compte que par le fait que la date était remplacée par la mention " Anzeige " (annonce), qu’aucun expéditeur n’était mentionné et que le texte apparaissait sur un fond gris. La rubrique " Objet " correspondant à cette entrée de liste contenait un texte destiné à la promotion de prix avantageux pour les services d’électricité et le gaz " (point 21 de la décision).

191. La Cour a ainsi considéré que " si des entrées publicitaires de quelque nature que ce soit apparaissent dans la boîte de réception de la messagerie Internet […] il y a lieu de considérer que cette boîte de réception constitue le moyen par lequel les messages publicitaires concernés sont communiqués à cet utilisateur, ce qui implique l’utilisation de son courrier électronique à des fins de prospection directe, au sens de l’article 13, paragraphe 1, de la directive 2002/58 " (point 44 de la décision).

192. Il est souligné par cet arrêt que " du point de vue du destinataire, ledit message publicitaire est affiché dans la boîte de réception de l’utilisateur de la messagerie électronique, à savoir dans un espace normalement réservé aux courriels privés. L’utilisateur ne peut libérer cet espace pour obtenir une vue d’ensemble de ses courriers électroniques exclusivement privés qu’après avoir vérifié le contenu de ce même message publicitaire et seulement après l’avoir supprimé activement. Si l’utilisateur clique sur un message publicitaire tel que celui en cause au principal, il est redirigé vers un site Internet contenant la publicité en question, au lieu de poursuivre la lecture de ses courriels privés (point 41). Ainsi, contrairement aux bannières publicitaires ou aux fenêtres contextuelles, qui apparaissent en marge de la liste des messages privés ou séparément de ceux-ci, l’apparition des messages publicitaires en cause au principal dans la liste des courriers électroniques privés de l’utilisateur entrave l’accès à ces courriers d’une manière analogue à celle utilisée pour les courriels non sollicités (appelés également " spam ") dans la mesure où une telle démarche requiert la même prise de décision de la part de l’abonné en ce qui concerne le traitement de ces messages (point 42). Par ailleurs, […] dans la mesure où les messages publicitaires occupent des lignes de la boîte de réception qui sont normalement réservées aux courriels privés et en raison de leur ressemblance avec ces derniers, il existe un risque de confusion entre ces deux catégories de messages pouvant conduire l’utilisateur qui cliquerait sur la ligne correspondant au message publicitaire à être redirigé contre sa volonté vers un site Internet présentant la publicité en cause, au lieu de continuer la consultation de ses courriels privés " (point 43 de la décision).

193. En premier lieu, la formation restreinte relève qu’en l’espèce, les caractéristiques des messages publicitaires en cause dans le cadre de la présente procédure présentent de très fortes similitudes avec celles des messages examinés par la CJUE dans son arrêt. Dans les deux cas, il s’agit de publicités insérées entre les courriels privés reçus par l’utilisateur, la date est remplacée par la mention " annonce ", il y a la présence d’un texte destiné à la promotion d’un produit dans la rubrique " objet ", et il existe un risque de confusion compte tenu de l’emplacement des messages et de leur ressemblance avec de véritables courriels. Si de légères différences existent entre les messages examinés par la Cour et ceux affichés au sein de la boîte de réception des utilisateurs du service Gmail, la formation restreinte considère que celles-ci ne sont pas de nature à remettre en cause l’analyse qui doit en être faite. Ainsi, s’agissant de l’affichage de la publicité concernée par l’annonce, lorsque l’utilisateur cliquait sur la ligne correspondant au message publicitaire examiné par la CJUE il était directement redirigé vers un site web présentant la publicité en question alors que dans le cas présent, l’utilisateur voit apparaitre la publicité complète sous la forme d’un courrier électronique. La formation restreinte relève néanmoins que la CJUE a souligné à cet égard que l’apparition de tels messages entravait l’accès aux courriels privés de l’utilisateur, dans la mesure où leur suppression requérait, comme pour les courriers indésirables (ou " spams "), une prise de décision de la part de la personne concernée. De surcroît, la formation restreinte relève que certaines distinctions montrent que les messages publicitaires Gmail sont plus proches des courriels classiques que ceux visés dans l’affaire de la CJUE : ainsi le texte des annonces examinées par la CJUE apparaissait sur fond grisé, se distinguant des autres courriels, alors que les messages publicitaires dans le cas présent apparaissent sur fond blanc, de manière identique aux autres courriers électroniques.

194. En deuxième lieu, la formation restreinte relève que les sociétés soutiennent que les annonces ne répondent pas à la définition légale d’un courrier électronique – puisqu’elles ne sont pas stockées dans l’espace de stockage des courriers électroniques des utilisateurs, elles ne restent pas dans la boite de réception des utilisateurs car elles se renouvellent à intervalles réguliers et changent au fil des sessions d’utilisation, elles ne sont pas échangées entre " deux personnes identifiables " et ne constituent pas une " correspondance ". Les sociétés précisent qu’elles ne répondent pas non plus aux critères techniques d’un courrier électronique - elles apparaissent dans l’interface visuelle de l’utilisateur mais ne sont pas conservées dans sa boite de réception ou dans l’espace de stockage des courriers électroniques, elles ne peuvent faire l’objet d’une recherche, ne contiennent pas d’informations telles que l’adresse email de l’expéditeur ou d’autres métadonnées associées à un courrier électronique, ne peuvent pas être organisées ou déplacées, les utilisateurs ne peuvent y répondre, elles sont dynamiques puisqu’elles peuvent varier selon que l’utilisateur utilise Gmail sur Android, iOS ou un ordinateur et elles évoluent entre chaque utilisation de Gmail puisque leur affichage est attribué selon un système d’enchères.

195. Comme elle l’a relevé dans la présente délibération, la formation restreinte considère qu’il ressort de l’arrêt de la CJUE qu’il est indifférent que les annonces en cause ne constituent pas, d’un point de vue technique, de véritables courriels. Dès lors que les annonces publicitaires en cause sont insérées dans un espace normalement spécifiquement réservé aux courriels privés - messages qui s’adressent directement et individuellement aux utilisateurs en ce qu’ils apparaissent dans leur boîte de messagerie électronique à laquelle ils n’obtiennent l’accès qu’après s’être authentifiés à l’aide de leur identifiant et de leur mot de passe - la Cour considère qu’ils caractérisent une utilisation de courrier électronique à des fins de prospection.

196. En troisième lieu, la formation restreinte relève que l’argument des sociétés selon lequel l’affichage des annonces non sollicitées dans Gmail a été restreint aux seuls onglets " Promotions " et " Réseaux sociaux " dans le but de préserver une expérience utilisateur qualitative est sans incidence sur la portée de l’obligation en cause.

197. En effet, il ressort de l’arrêt de la CJUE que " Ces annonces publicitaires sont apparues dans la boîte de réception des boîtes à lettres électroniques privées de ces utilisateurs, à savoir dans la rubrique dans laquelle les courriels reçus figurent sous la forme d’une liste, en étant insérées entre les courriels reçus " (point 20 de la décision).

198. La formation restreinte relève que lorsqu’il fait le choix d’activer les " fonctionnalités intelligentes " dans Gmail, l’utilisateur accepte uniquement que ses courriels soient classés dans trois onglets distincts. Ce choix n’a pas d’incidence sur le fait que les courriers électroniques regroupés dans ces trois onglets demeurent des courriels privés qui ont pu être sollicités par l’utilisateur telles que les newsletters auxquelles l’utilisateur est inscrit ou encore comme l’ont démontrées les opérations de contrôles, des alertes du site web Seloger auxquelles la délégation s’était inscrite. La formation restreinte renvoie ici à la notion de courriels privés développée précédemment.

199. En outre, la formation restreinte relève que le classement des courriels privés, réalisé lorsque les " fonctionnalités intelligentes " sont activées, est opéré directement par les sociétés et à leur discrétion, de sorte que l’utilisateur n’a aucun contrôle sur le tri effectué et sur l’orientation de ses courriels privés dans l’un ou l’autre des onglets. L’utilisateur demeure donc contraint de consulter les trois onglets existants pour prendre connaissance de l’ensemble de ses courriels privés. A titre d’exemple, la formation restreinte relève que les annonces non sollicitées qui sont affichées dans l’onglet " Réseaux sociaux " sont insérées entre des courriels qui sont adressés par les réseaux sociaux auxquels l’utilisateur est abonné et qui l’informent que des contenus pouvant l’intéresser sont consultables. Ainsi, si l’utilisateur souhaite consulter les courriels provenant des réseaux auxquels il est abonné pour être informé des contenus qui pourraient l’intéresser, il devra se rendre sur l’onglet " Réseaux sociaux ", dans lequel sont également affichées les annonces non sollicitées. De manière analogue aux courriers indésirables (ou " spam "), l’affichage d’annonces non sollicitées dans les onglets " Promotions " et " Réseaux sociaux " perturbe nécessairement l’utilisateur dans la lecture de ses courriels privés.

200. Ainsi, la formation restreinte considère que malgré leurs intitulés " Promotions " et " Réseaux sociaux ", ces onglets constituent bien un espace de messagerie privé au même titre que l’onglet intitulé " Principale ". Elle relève ainsi que les annonces non sollicitées qui sont diffusées par les sociétés dans les onglets " Promotions " et " Réseaux sociaux " des boites électroniques des utilisateurs du service Gmail sont bien insérées au sein de la boite de réception et dans la liste permettant de visualiser les courriels – dans un espace destiné à recevoir des courriels privés.

201. Au regard de l’ensemble de ces éléments, la formation restreinte considère que les messages en cause ont bien été diffusés aux utilisateurs du service Gmail, au moyen de leur boîte de réception, ce qui implique l’utilisation de leur courrier électronique.

b. Sur la finalité des communications visées

202. Pour déterminer si les messages en cause ont bien pour finalité la prospection directe, la Cour a précisé qu’il convenait de vérifier si de telles communications poursuivent un but commercial et s’adressent directement et individuellement au consommateur (point 47 de la décision).

203. En l’espèce, la formation restreinte relève qu’à l’instar de l’affaire examinée par la CJUE, les messages affichés dans la boîte de réception des utilisateurs du service Gmail, en ce qu’ils visent la promotion de produits ou services proposés par des annonceurs tiers, poursuivent bien un but commercial, ce que les sociétés ne contestent pas. La délégation a ainsi constaté dans la messagerie créée à l’occasion du contrôle, l’affichage de messages poursuivant un but commercial, dont notamment la promotion de produits bancaires.

204. En outre, ces messages s’adressent directement et individuellement aux utilisateurs, en ce qu’ils apparaissent dans leur boîte de messagerie électronique, à laquelle ils n’obtiennent l’accès qu’après s’être authentifiés à l’aide de leur identifiant et de leur mot de passe. Tel était également le cas des messages examinés par la CJUE.

205. Dans ces conditions, la formation restreinte considère que les annonces publicitaires insérées entre les courriels reçus caractérisent une utilisation de courrier électronique à des fins de prospection.

c. Sur l’absence de recueil du consentement

206. La formation restreinte rappelle que l’organisme souhaitant procéder à de telles opérations de prospection est tenu de recueillir le consentement libre, spécifique et informé des personnes concernées, en application de l’article L. 34-5 du CPCE.

207. La formation relève que l’argument des sociétés selon lequel, s’agissant des publicités personnalisées, un tel consentement était bien recueilli préalablement lors de la création d’un compte Google, ne saurait prospérer. En effet, la formation restreinte rappelle qu’elle a démontré supra que, lors de la création d’un compte Google – quel que soit le parcours de création de compte utilisé, l’utilisateur n’est pas informé qu’il recevra de la publicité au sein de sa messagerie Gmail, les sociétés se contentant d’expliquer que des publicités seront affichées sur les services Google, sans davantage de précisions. Elle considère dans ces conditions qu’aucun consentement à recevoir de la prospection commerciale dans la boite électronique Gmail n’est recueilli par les sociétés.

208. De même, la formation restreinte considère que la fenêtre proposant aux utilisateurs d’activer les " fonctionnalités intelligentes " apparaissant lors de la première utilisation de la boite électronique Gmail, ne constitue pas un recueil valable du consentement, dans la mesure où l’activation de cette option n’est accompagnée d’aucune information sur l’affichage des publicités au sein des boites de réception de la messagerie électronique Gmail.

209. La formation restreinte rappelle que peu importe le fait que les annonces en cause ne constituent pas, d’un point de vue technique, des courriels à proprement parler. Le seul affichage d’" entrées publicitaires de quelque nature que ce soit " dans un espace normalement spécifiquement réservé aux courriels privés suffit à considérer que ces messages sont communiqués au moyen de la boîte aux lettres électronique des personnes concernées, et donc de leur courrier électronique, au sens de l’article L. 34-5 du CPCE.

210. Au regard de ces éléments, il ressort des constatations réalisées par la délégation que le consentement de l’utilisateur à voir s’afficher des publicités au sein de la boîte de réception de sa messagerie électronique n’était à aucun moment recueilli – ni au moment de la création du compte, ni au moment de la connexion audit compte, par exemple par l’intermédiaire d’une case à cocher ou d’un bouton poussoir – et qu’en outre, les réglages du compte de messagerie ne permettaient pas de s’opposer à cet affichage.

211. En conséquence, en procédant à l’affichage, dans la boîte de réception des utilisateurs de son service de messagerie électronique Gmail, de messages publicitaires insérés entre les courriels reçus, sans recueillir le consentement préalable desdits utilisateurs, les sociétés ont commis un manquement à l’article L. 34-5 du CPCE.

3. Sur les modifications relatives à l’affichage des annoncées réalisées en avril 2023

212. La formation restreinte relève que le 11 avril 2023, au cours de la procédure de contrôle, les sociétés ont indiqué avoir modifié l’affichage des annonces sur la version mobile de Gmail en France et dans l’EEE et que des changements similaires sur ordinateur seraient progressivement déployés en France et dans l’EEE. Les sociétés ont produit dans le cadre de la procédure, un sondage démontrant, depuis ces changements, le faible risque de confusion pour les utilisateurs entre les courriels électroniques et les annonces non sollicitées sur Gmail.

213. La formation restreinte relève que des modifications visuelles ont en effet été apportées par les sociétés depuis le 11 avril 2023 : sur les versions mobile et web, la mention " annonce " est à présent de couleur noire (et non verte comme précédemment), une image est présentée, les annonces Gmail présentent une icône carrée avec une flèche vers la droite (à la place de l’heure sur les autres courriers électroniques) et lorsque l’utilisateur passe sa souris sur une annonce il voit apparaitre l’option de suppression (alors que sur un courrier électronique, quatre boutons de commande apparaissent), l’objet et le texte des annonces sont décalés par rapport à ceux des courriers et enfin le logo de l’annonceur apparaît. Sur la version web uniquement, les lignes électroniques correspondant aux annonces non sollicitées sont plus larges que les autres messages et sur la version mobile l’annonce est dorénavant présentée dans un encadré, au milieu de la liste des autres messages.

214. La formation restreinte relève qu’il ressort des points 44 à 46 et 63 précités de l’arrêt de la CJUE que peu importe le fait que les annonces en cause présentent quelques différences avec les courriels à proprement parler – qu’elles soient visuelles ou techniques, leur seul affichage dans un espace normalement spécifiquement réservé aux courriels privés suffit à considérer que ces messages, s’ils ont pour finalité la prospection directe, sont soumis aux dispositions de l’article L. 34-5 du CPCE.

215. La formation restreinte relève que les annonces sont toujours affichées dans la boite de réception des utilisateurs (onglet " Promotions " et " Réseaux sociaux "), au début et au milieu de la liste des messages privés. Elle relève que l’utilisateur ne peut libérer cet espace pour obtenir une vue d’ensemble de ses courriers électroniques privés qu’après avoir pris connaissance de l’intitulé de ces messages publicitaires et seulement après les avoir supprimés activement. Les annonces continuent donc d’entraver l’accès à ces courriers d’une manière analogue à celle utilisée pour les courriels non sollicités évoqués par la CJUE.

216. En conséquence, la formation restreinte considère que les modifications apportées le 11 avril 2023 sur les annonces non sollicitées affichées dans les onglets " Promotions " et " Réseaux sociaux " dans la boite de réception du service Gmail ne sont pas de nature à remettre en cause le régime juridique applicable à l’affichage de ces messages. Au regard des motifs exposés ci-dessus, l’analyse de la formation restreinte reste la même pour les annonces affichées après cette date que pour celles ayant fait l’objet du contrôle. La formation restreinte précise par ailleurs que le parcours utilisateur permettant de créer un compte Google – préalable obligatoire pour disposer d’une messagerie Gmail, n’a pas fait l’objet de modification en vue de recueillir le consentement des utilisateurs à la réception d’annonces publicitaires dans la boîte de réception de leur messagerie électronique.

217. Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’en procédant à l’affichage d’annonces publicitaires dans les onglets " Promotions " et " Réseaux sociaux " de la boite de réception de l’utilisateur d’un compte de messagerie électronique et en les insérant entre les courriels reçus, sans recueillir le consentement préalable des utilisateurs, les sociétés ont commis un manquement aux dispositions de l’article L. 34-5 du CPCE.

III. SUR LES MESURES CORRECTRICES ET LEUR PUBLICITÉ

218. Aux termes de l’article 20-IV de la loi n° 78-17 du 6 janvier 1978 modifiée, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans les cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte ;

7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".

219. L’article 83 du RGPD prévoit en outre que " chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

220. L’article 22, alinéa 2 de la loi Informatique et Libertés dispose ensuite que " la formation restreinte peut rendre publique les mesures qu’elle prend ".

221. Le considérant 150 du RGPD prévoit que " Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l'Union européenne ".

222. Les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 précisent que la notion d’entreprise doit s’entendre comme " une unité économique pouvant être formée par la société mère et toutes les filiales concernées. Conformément au droit et à la jurisprudence de l’Union, il y a lieu d’entendre par entreprise l’unité économique engagée dans des activités commerciales ou économiques, quelle que soit la personne morale impliquée ".

223. Dans un arrêt du 5 décembre 2023 (CJUE, grande chambre, C-807/21), la CUJE a considéré, s’agissant de la notion d’ " entreprise " qu’" ainsi que l’a relevé M. l’avocat général au point 45 de ses conclusions, c’est dans ce contexte spécifique du calcul des amendes administratives imposées pour des violations visées à l’article 83, paragraphes 4 à 6, du RGPD qu’il y a lieu d’appréhender le renvoi, effectué au considérant 150 de ce règlement, à la notion d’" entreprise ", au sens des articles 101 et 102 TFUE. À cet égard, il convient de souligner que, aux fins de l’application des règles de la concurrence, visées par les articles 101 et 102 TFUE, cette notion comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement. Elle désigne ainsi une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales. Cette unité économique consiste en une organisation unitaire d’éléments personnels, matériels et immatériels poursuivant de façon durable un but économique déterminé (arrêt du 6 octobre 2021, Sumal, C 882/19, EU:C:2021:800, point 41 et jurisprudence citée). Ainsi, il ressort de l’article 83, paragraphes 4 à 6, du RGPD, qui vise le calcul des amendes administratives pour les violations énumérées dans ces paragraphes, que, dans le cas où le destinataire de l’amende administrative est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, le montant maximal de l’amende administrative est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise concernée. En définitive, ainsi que M. l’avocat général l’a relevé au point 47 de ses conclusions, seule une amende administrative dont le montant est déterminé en fonction de la capacité économique réelle ou matérielle de son destinataire, et donc imposée par l’autorité de contrôle en se fondant, en ce qui concerne le montant de celle-ci, sur la notion d’unité économique au sens de la jurisprudence citée au point 56 du présent arrêt, est susceptible de réunir les trois conditions énoncées à l’article 83, paragraphe 1, du RGPD, à savoir d’être à la fois effective, proportionnée et dissuasive. Dès lors, lorsqu’une autorité de contrôle décide, au titre des pouvoirs qu’elle détient en vertu de l’article 58, paragraphe 2, du RGPD, d’imposer à un responsable du traitement, qui est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, une amende administrative en application de l’article 83 dudit règlement, cette autorité est tenue de se fonder, en vertu de cette dernière disposition, lue à la lumière du considérant 150 du même règlement, lors du calcul des amendes administratives pour les violations visées aux paragraphes 4 à 6 de cet article 83, sur la notion d’" entreprise ", au sens de ces articles 101 et 102 TFUE " (paragraphes 55 à 59).

224. Cette position a été confirmée par la Cour dans son arrêt du 13 février 2025 (CJUE, cinquième chambre, C-383/23.

A. Sur le prononcé d’une amende administrative et son montant

225. La rapporteure propose à la formation restreinte de prononcer à l’encontre des sociétés une amende administrative au regard des manquements constitués aux articles 82 de la loi Informatique et Libertés et L. 34-5 du CPCE. Elle estime également que le prononcé d’une injonction sous astreinte est nécessaire afin d’assurer la mise en conformité des sociétés relative aux deux manquements précités. Elle propose enfin que la délibération de la formation restreinte soit rendue publique.

226. En défense, les sociétés estiment d’abord que le manque de transparence de la rapporteure sur sa méthode de calcul des amendes caractérise une violation des principes de sécurité juridique et de prévisibilité. Elles produisent à cet effet une analyse économique sur la détermination de la sanction proposée, qui conclut à une application erronée, par la rapporteure, des obligations fixées par le RGPD pour déterminer le quantum de la sanction.

227. Elles soutiennent ensuite que le montant de l’amende proposé par la rapporteure apparait disproportionné, arbitraire et discriminatoire. Elles insistent sur le fait, d’une part, que les utilisateurs ne sont pas tenus de créer un compte Google pour accéder aux services les plus importants et les plus utilisés de Google - Google Search, Google Maps, You Tube, et d’autre part, qu’elles proposent en tout état de cause une alternative en offrant aux utilisateurs la possibilité de créer un compte gratuit comportant de la publicité réalisée à partir d’annonces génériques au lieu d’annonces personnalisées, conformément aux recommandations du CEPD. Elles rappellent avoir mené des démarches afin d’améliorer leurs traitements, d’abord de manière proactive, puis à la suite des contrôles réalisés par la délégation de la CNIL. Elles estiment ainsi ne pas avoir fait preuve de négligence et considèrent que la rapporteure n’a pas pris en compte le degré de collaboration dont elles ont fait preuve durant l’ensemble de la procédure.

228. Enfin, elles considèrent que l’amende proposée par la rapporteure ne prend pas en compte l’absence de préjudice subi par les personnes concernées puisque d’une part, s’agissant de l’article 82 de la loi Informatique et Libertés, les personnes concernées n’ont subi aucun préjudice dans la mesure où les utilisateurs peuvent accéder aux principaux produits et services de Google sans avoir de compte Google. S’agissant d’autre part du manquement à l’article L. 34-5 du CPCE, elles relèvent qu’une partie importante des utilisateurs de Gmail ne voient pas la moindre annonce objet de la procédure – soit parce qu’ils n’ont pas activé les " Fonctionnalités intelligentes ", soit par qu’ils ont désactivé les onglets " Promotions " et " Réseaux sociaux ". Particulièrement, elles considèrent que tous les comptes de messagerie Gmail régulièrement créés antérieurement à l’arrêt du 25 novembre 2021 ne sauraient être considérés comme soumis aux règles plus sévères dégagées à cette occasion.

229. Les sociétés ajoutent que la rapporteure n’a pas pris en compte les circonstances atténuantes majeures résultant notamment du placement des annonces dans des onglets distincts de l’onglet principal et aux titres évocateurs.

230. En outre, elles considèrent que la rapporteure a fait une confusion entre le chiffre d’affaires du groupe GOOGLE et les avantages financiers retirés des pratiques litigieuses. Elles relèvent ainsi que la rapporteure a pris en compte les revenus publicitaires mondiaux de la société ALPHABET pour évaluer les avantages financiers retirés des pratiques litigieuses. Or, elles soutiennent qu’une très large part de ces revenus ne provient pas de ceux générés par les pratiques litigieuses mises en œuvre par la société GIL au niveau européen. De plus elles considèrent la notion de revenu impropre pour déterminer les gains financiers puisqu’elle ne prend pas en compte les charges qui doivent être déduites.

231. A titre liminaire, la formation restreinte rappelle que l’exigence de motivation d’une sanction administrative n’impose ni à la formation restreinte, ni à la rapporteure de se prononcer sur l’ensemble des critères prévus à l’article 83 du RGPD, et qu’elle n’implique pas non plus que soient indiqués les éléments chiffrés relatifs au mode de détermination du montant de la sanction proposée ou prononcée (CE, 10e/9e, 19 juin 2020, n° 430810 ; CE, 10e/9e, 14 mai 2024, n° 472221).

232. La formation restreinte considère qu’en l’espèce, la rapporteure a fait apparaître de façon claire et détaillée les éléments lui ayant permis d’apprécier la gravité avérée des manquements retenus et de permettre aux sociétés de se défendre au regard de ces éléments. Dès lors, aucune atteinte aux principes de sécurité juridique et de prévisibilité n’apparait constituée.

233. Ceci étant rappelé, la formation restreinte considère qu’il convient, en l’espèce, d’examiner les critères pertinents de l’article 83 du RGPD pour décider s’il y a lieu d’imposer une amende administrative aux sociétés et, le cas échéant, pour déterminer son montant.

1. Sur le prononcé de l’amende

234. En premier lieu, la formation restreinte considère qu’il y a lieu de tenir compte, en application de l’article 83, paragraphe 2, a) du RGPD, de la nature, de la gravité et de la durée des violations, compte tenu de la nature, de la portée ou de la finalité des traitements concernés, ainsi que du nombre de personnes concernées affectées.

235. S’agissant tout d’abord du manquement à l’article 82 de la loi Informatique et Libertés, la formation restreinte relève que jusqu’en octobre 2023, le parcours des utilisateurs créant un compte Google était biaisé en faveur de l’acceptation d’une publicité ciblée, privant ainsi les utilisateurs de leur liberté de choix. Elle relève ensuite que l’absence de consentement valide des utilisateurs situés en France au dépôt et/ou à la lecture de cookies publicitaires sur leur terminal persiste à ce jour lorsqu’un utilisateur souhaite créer un compte Google depuis le site web google.fr, dans la mesure où ce consentement n’est toujours pas recueilli de manière conforme. La formation restreinte considère qu’en ne respectant pas les exigences de l’article précité, les sociétés ne permettent pas aux utilisateurs de comprendre les conséquences et la portée de leurs choix en matière de traitement de leurs données à caractère personnel.

236. Elle souligne que les sociétés GOOGLE réalisent l’essentiel de leurs bénéfices dans les deux principaux segments du marché de la publicité en ligne que constituent la publicité ciblée et la publicité contextuelle, dans lesquels les cookies jouent un rôle indéniable, quoique différent.

237. Tout d’abord, dans le segment de la publicité ciblée, dont l’objet est d’afficher un contenu dans une zone spécifique d’un site web et dans lequel les cookies et traceurs sont utilisés pour identifier les utilisateurs au cours de leur navigation aux fins de leur proposer les contenus les plus personnalisés, il est établi que le groupe GOOGLE propose des produits à tous les échelons de la chaîne de valeur de ce segment et que ses produits sont systématiquement dominants sur ces différents échelons. Ainsi, il a récemment été établi que le groupe détenait 91% du marché global des éditeurs et 87% du marché global des annonceurs pour les affichages dans l’internet ouvert, marchés pertinents pour la publicité en ligne (US District Court for the Eastern District of Virginia, Google Ad Tech, Case No. 1:23-cv-108 (LMB/JFA), Judgment, 17 April 2025 et US DoJ, Google Ad Tech, Press release, 17 April 2025). Le groupe GOOGLE indique par ailleurs, sur un de ses sites web, qu’il propose pour la publicité un écosystème accessible depuis ses outils et services capable de toucher plus de 2 millions de sites, vidéos et applications et plus de 90% des utilisateurs de l’Internet dans le monde. Ensuite, le segment de la publicité contextuelle, dont l’objet est d’afficher des résultats sponsorisés en fonction des mots clef tapés par les utilisateurs, nécessite également l’usage de cookies dans sa mise en œuvre pratique, par exemple pour pouvoir déterminer la localisation géographique des utilisateurs et, par-là, adapter les annonces proposées en fonction de cette localisation. À cet égard, il ressort du rapport annuel de la société ALPHABET pour l’année 2023 que ce segment constitue à lui seul, à travers notamment le service Google Ads - anciennement AdWords -, 77,4 % du chiffre d’affaires du groupe GOOGLE.

238. Elle relève ensuite que le CEPD a rappelé dans ses lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux, que la publicité comportementale – ou publicité ciblée présente des risques importants pour les libertés et droits fondamentaux des personnes concernées, y compris la possibilité de discrimination et d’exclusion et la manipulation éventuelle des utilisateurs.

239. La formation restreinte considère que le traitement présente un caractère massif. Elle relève à cet effet que les sociétés ont indiqué que plus de […] de comptes Google standard ont été créés par des utilisateurs résidant en France entre le 15 décembre 2020 et le 26 octobre 2023, et plus de […] entre le 1er avril 2021 – entrée en vigueur des lignes directrices et de la recommandation " cookies et autres traceurs de la CNIL " précitées – et le 26 octobre 2023. Elle relève également à titre d’illustration que pour la période allant de janvier à juin 2023, la moyenne mensuelle des utilisateurs actifs connectés à un compte Google en France était de plus de […] sur le service Google Search, et de plus de […] sur le service YouTube. La formation restreinte note que ces chiffres ne correspondent pas nécessairement au nombre de personnes uniques concernées. Toutefois, même si une seule personne est susceptible de correspondre à plusieurs identifiants différents en raison de l’utilisation de multiples terminaux et navigateurs, ce volume reflète la place centrale occupée par les comptes Google dans le quotidien des personnes résidant en France.

240. S’agissant ensuite du manquement à l’article L. 34-5 du CPCE, la formation restreinte entend souligner qu’il présente une gravité avérée, notamment au regard du caractère intrusif de la pratique en cause. Il convient ainsi de rappeler que les règles posées par la directive ePrivacy en matière de prospection commerciale par voie électronique, transposées à l’article L. 34-5 du CPCE, ont pour objet de protéger la vie privée des utilisateurs ou abonnés s’agissant des communications non sollicitées. La formation restreinte relève que, si les sociétés ont mis en place différents onglets dans la boite de réception de l’utilisateur qui active les " fonctionnalités intelligentes " et qu’aucune annonce non sollicitée n’apparait dans l’onglet intitulé " Principale ", il n’en demeure pas moins qu’aucun consentement de sa part n’est recueilli pour recevoir cette prospection commerciale, de sorte que celui-ci est forcé de recevoir des messages publicitaires au milieu de ses courriels privés dans les onglets intitulés " Promotions " et " Réseaux sociaux " de sa boite de réception. Une telle pratique, qui consiste à utiliser la confiance de l’abonné dans le service utilisé, correspond très précisément à une pratique intrusive.

241. La formation restreinte relève en outre que ce manquement concerne un nombre important de personnes puisqu’il ressort des constatations des contrôles qu’au 11 décembre 2022, et sur la base des 28 jours ayant précédé cette date, il y avait en France, plus de […] de comptes Gmail grand public actifs au moins une fois au cours de cette période, pour lesquels l’affichage du service Gmail contenait les onglets " Promotions " ou " Réseaux sociaux " dans lesquels les annonces non sollicitées étaient affichées. La formation restreinte note que ce nombre était porté à plus de […] au 13 mai 2023, et à […] au 10 septembre 2024, sur la base des 28 jours ayant précédé cette date. Même si ces chiffres ne correspondent pas nécessairement au nombre de personnes uniques concernées (une personne pouvant disposer de plusieurs comptes de messagerie) la formation restreinte relève que ce volume reste considérable puisqu’il représente environ […]% des comptes actifs au moins une fois au cours des périodes données en France, sur la base des 28 jours ayant précédé la date de référence.

242. Enfin, ainsi qu’il a déjà été rappelé, la formation restreinte souligne que les règles relatives à la prospection commerciale par voie électronique sont définies depuis de nombreuses années tant par la législation nationale qu’européenne, la directive ePrivacy de 2002 ayant été transposée en droit français en 2004. L’exigence tenant à recueillir le consentement des personnes concernées pour réaliser des opérations de prospection commerciale par voie électronique est ainsi clairement requise au regard de cette législation. Elle a par ailleurs été rappelée par la CNIL à plusieurs reprises, tant à travers les publications sur son site web que par les multiples décisions rendues en la matière. En outre, l’arrêt de la CJUE du 25 novembre 2021, rendu près d’un an avant les opérations de contrôle, est rédigé en des termes parfaitement clairs : l’affichage dans la boîte de réception de l’utilisateur d’un service de messagerie électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique et au même emplacement que ce dernier constitue une " utilisation [...] de courrier électronique à des fins de prospection directe " et n’est autorisée qu’à condition que ledit utilisateur ait été informé de manière claire et précise des modalités de diffusion d’une telle publicité et ait manifesté son consentement de manière spécifique et en pleine connaissance de cause à recevoir de tels messages publicitaires (point 63). Les sociétés auraient dès lors dû, compte tenu notamment de leur position sur le marché et des moyens dont elles disposent, se montrer particulièrement vigilantes à l’égard des règles applicables en matière de prospection électronique. Ainsi, en s’affranchissant du respect de ces règles, la formation restreinte considère que les sociétés se sont montrées, à tout le moins, fortement négligentes.

243. En deuxième lieu, la formation restreinte estime qu’il convient de tenir compte du critère prévu à l’article 83, paragraphe 2, b) et e) du RGPD, relatifs au fait que la violation a été commise délibérément ou par négligence et qu’elle fait suite à une violation pertinente ayant été commise précédemment par le responsable du traitement. Elle considère que ces critères sont en l’espèce liés car les sociétés ont fait preuve d’une négligence avérée au regard notamment du fait qu’elles avaient été précédemment sanctionnées.

244. Elle rappelle ainsi qu’en l’espèce les sociétés ont déjà fait l’objet d’une sanction n°SAN-2021-023 le 31 décembre 2021 portant sur un manquement à l’article 82 de la loi Informatique et Libertés dans la mesure où, sur les sites internet " google.fr " et " youtube.com ", elles ne mettaient pas à disposition des utilisateurs situés en France, un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage. La formation restreinte estime donc que les sociétés étaient en mesure de savoir que les autres mécanismes de recueil du consentement qu’elles mettaient en place de façon identique - dans un environnement connecté cette fois-ci, n’étaient pas conformes à l’article 82 de la loi Informatique et Liberté.

245. Elle considère que les sociétés - qui figurent parmi les acteurs mondiaux les plus importants de l’internet, dont les opérations de lecture ou écriture d’informations dans le terminal des utilisateurs sont au cœur de leur modèle d’activité, en particulier publicitaire et qui gèrent certains des sites les plus visités - se sont montrées à tout le moins négligentes en ne mettant pas place un système de refus aisé des cookies lors de la création d’un compte Google, alors même qu’elles avaient déjà fait l’objet d’une précédente sanction portant sur un sujet connexe.

246. Par ailleurs, ainsi qu’il a déjà été rappelé, la formation restreinte souligne que les règles relatives à la prospection commerciale par voie électronique sont définies depuis de nombreuses années et que l’arrêt de la CJUE, dont les termes sont particulièrement clairs, a été rendu près d’un an avant les opérations de contrôle. Les sociétés auraient dès lors dû, compte tenu notamment de leur position sur le marché et des moyens dont elles disposent, se montrer particulièrement vigilantes à cet égard. Ainsi, en s’affranchissant du respect de ces règles, la formation restreinte considère que les sociétés se sont montrées négligentes s’agissant de la violation des dispositions de l’article L. 34-5 du CPCE.

247. En troisième lieu, la formation restreinte considère que le critère relatif aux mesures prises par le responsable de traitement pour atténuer le dommage subi par les personnes concernées doit également être pris en compte, en application de l’article 83, paragraphe 2, c) du RGPD.

248. Il apparait en effet qu’après la saisine de la CNIL par l’association NOYB du 24 août 2022 dénonçant publiquement les pratiques des sociétés, celles-ci ont pris des mesures pour mettre en conformité une partie de leurs pratiques avec les dispositions de l’article 82 de la loi Informatique et Libertés, en modifiant le processus de création d’un compte Google afin de permettre aux utilisateurs de refuser le dépôt de cookie liés à la personnalisation des annonces sur le parcours express dès octobre 2023.

249. La formation restreinte relève par ailleurs que les sociétés ont également pris des mesures au cours de la procédure de sanction – désactivation de plusieurs cookies liés à la publicité personnalisée et modification du format visuel des annonces dans Gmail afin de réduire le risque de confusion avec les courriels, sans pour autant qu’elles permettent une mise en conformité totale.

250. En quatrième lieu, la formation restreinte entend tenir compte de certaines autres circonstances applicables aux faits de l’espèce, en application de l’article 83, paragraphe 2, k) du RGPD.

251. La formation restreinte considère notamment que les sociétés ont tiré des violations commises un avantage financier certain. Ainsi, s’agissant du manquement à l’article 82 de la loi Informatique et Libertés, si l’ensemble des revenus des sociétés ne sont pas directement liés aux cookies, la publicité en ligne repose essentiellement sur le ciblage des internautes, auquel le cookie et la personnalisation des annonces participent directement en permettant de singulariser et d’atteindre l’utilisateur identifié en vue de lui afficher du contenu publicitaire correspondant à ses centres d’intérêts et à son profil. S’agissant ensuite du manquement à l’article L. 34-5 du CPCE, la formation restreinte rappelle que les sociétés sont rétribuées par les annonceurs pour utiliser l’espace entre les courriels pour y insérer les annonces.

252. La formation restreinte relève à cet égard que la publicité via les services du groupe GOOGLE a généré près de […] de dollars en 2022 et plus de […] de dollars en 2023.

253. La formation restreinte considère que l’avantage financier tiré des violations commises doit dès lors être pris en compte, à titre de circonstance aggravante, bien qu’il n’ait pas été chiffré au cours de la procédure. Elle rappelle que l’article 83, paragraphe 2, k) du RGPD n’est qu’un seul des nombreux critères pris en compte pour déterminer le montant de l’amende et que ce montant ne résulte pas en tant que tel de l’application d’un pourcentage au chiffre d’affaires de l’entreprise ou de ses bénéfices.

254. Par ailleurs, de manière plus générale, la formation restreinte considère que compte tenu de la position des sociétés sur le marché – le groupe GOOGLE détient une position centrale sur le marché publicitaire en ligne et son application Gmail est le deuxième service de messagerie dominant au monde – ainsi que des moyens humains, techniques et financiers dont elles disposent, celles-ci se doivent de faire preuve d’une particulière rigueur en matière de protection des données à caractère personnel.

255. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le prononcé d’une amende apparait justifié.

2. Sur le montant de l’amende

256. La formation restreinte relève qu’en application des dispositions de l’article 20-IV-7° de la loi Informatique et Libertés, la formation restreinte peut prononcer à l’encontre d’un responsable du traitement ayant commis les manquements constatés, une " amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ". Elle rappelle ensuite que les amendes administratives doivent être dissuasives et proportionnées, au sens de l’article 83, paragraphe 1, du RGPD.

257. Elle considère qu’il convient de recourir à la notion d’entreprise en droit de la concurrence, en vertu de la référence directe et explicite opérée par le considérant 150 du RGPD ainsi que les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 qui considèrent qu’il s’agit d’une unité économique pouvant être formée par la société mère et toutes les filiales concernées et d’une unité économique engagée dans des activités commerciales ou économiques, quelle que soit la personne morale impliquée.

258. La formation restreinte considère qu’en visant le RGPD à l’article 20 de la loi Informatique et Libertés, le législateur français a fait le choix d’harmoniser les règles relatives à la détermination du montant des amendes en matière de protection des données à caractère personnel, que l’amende ait vocation à sanctionner un manquement au titre du RGPD ou de la loi Informatique et Libertés.

259. Or, dans des arrêts rendus au titre du RGPD, la CJUE a confirmé que la notion d’ " entreprise " contenue à l’article 83 du RGPD devait bien s’appréhender au regard du droit de la concurrence, régit par les articles 101 et 102 du TFUE (CJUE, grande chambre, 5 décembre 2023, C-807/21 et CJUE, cinquième chambre, 13 février 2025, C-383/23).

260. La formation restreinte considère que compte tenu de la proximité entre le RGPD et la directive ePrivacy, il est cohérent que les règles régissant l’imposition d’amendes aux organismes soient uniformes qu’il s’agisse d’un manquement trouvant son origine dans le RGPD ou dans la directive ePrivacy.

261. S’agissant ensuite de ce que recouvre la notion " d’entreprise ", la formation restreinte relève que dans son arrêt précité du 5 décembre 2023, la CJUE retient qu’une entreprise est une unité économique, même si du point de vue juridique cette unité économique est constituée de plusieurs personnes morales. La CJUE précise qu’à l’instar du droit de la concurrence (Cour de Cassation, ch. com., 7 juin 2023, pourvoi n° 22-10.545 ; Autorité de la concurrence, décisions n° 21-D-10 du 3 mai 2021 et n° 21-D-28 du 9 décembre 2021), lorsqu’une filiale est détenue directement ou indirectement à 100% par sa maison mère, il existe une présomption réfragable selon laquelle la maison mère exerce une influence déterminante sur le comportement de la société. Pour déterminer le montant de l’amende envisagée, et qu’il corresponde à la capacité économique réelle de son destinataire, il convient alors, selon les deux arrêts précités, si les deux sociétés peuvent matériellement être regardées comme relevant de la même unité économique, de prendre en compte le chiffre d’affaire de la maison mère afin que l’amende soit effective, proportionnée et dissuasive.

262. La formation restreinte rappelle que la société ALPHABET Inc. détient à 100% les sociétés GOOGLE LLC et GIL et considère ainsi, à l’instar du droit de la concurrence, qu’il existe une présomption réfragable selon laquelle ALPHABET Inc. exerce une influence déterminante sur le comportement des sociétés GOOGLE LLC et GIL sur le marché (CJUE, grande chambre, 5 décembre 2023, C-807/21 ; également JUE, troisième chambre, 10 septembre 2009, Akzo C 97/08 P, paragraphes 58 à 61). Voir également, pour l’application de la présomption d’influence déterminante en cas de détention en chaîne : CJUE, Eni c/ Commission, 8 mai 2013 (C-508/11 P, § 48). Par conséquent, les sociétés ALPHABET Inc., GOOGLE LLC et GIL, constituent une seule entité économique et forment donc une seule entreprise au sens de l’article 101 du TFUE.

263. Compte tenu de ce qui précède, la formation restreinte considère qu’il y a lieu de retenir le chiffre d’affaire de l’entreprise au sens d’" unité économique ", à savoir celui de la maison mère du groupe. Elle rappelle qu’en 2024, la société ALPHABET Inc. a réalisé un chiffre d’affaire de plus de 350 milliards de dollars en 2024 – soit environ 312 milliards d’euros selon le cours EUR/USD du 16 mai 2025.

264. S’agissant du montant de l’amende qui doit être proportionnée et dissuasive, au regard de la responsabilité des sociétés, de leurs capacités financières et des critères pertinents de l’article 83 du RGPD la formation considère qu’apparait dissuasif et proportionné : le fait de prononcer à l’encontre de la société GOOGLE LLC une amende administrative d’un montant de de deux cents millions (200 000 000) d’euros, au regard des manquements constitués à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et de l’article L. 34-5 du code des postes et des communications électroniques.

265. De même, la formation restreinte considère qu’apparait dissuasif et proportionné le fait de prononcer à l’encontre de la société GOOGLE IRELAND LIMITED une amende administrative d’un montant de cent vingt-cinq millions (125 000 000) d’euros, au regard des manquements constitués à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et de l’article L. 34-5 du code des postes et des communications électroniques.

B. Sur le prononcé d’une injonction sous astreinte

266. La rapporteure estime qu’au regard du degré de gravité des manquements, le prononcé d’une injonction est nécessaire afin d’assurer la mise en conformité des sociétés.

267. Les sociétés soutiennent que l’injonction apparait sans objet s’agissant du manquement à l’article 82 de la loi Informatique et Libertés compte tenu de leur mise en conformité. En tout état de cause, si une injonction était prononcée, elles sollicitent qu’un délai d’au moins six mois leur soit accordé, compte tenu du fait que les modifications de l’infrastructure sous-jacente du parcours de création de compte Google nécessitent un travail important ainsi qu’un déploiement progressif afin de détecter et corriger les éventuels problèmes techniques. S’agissant du manquement à l’article L. 34-5 du CPCE, elles sollicitent également qu’un délai de six mois leur soit accordé en raison des modifications de l’affichage des annonces dans Gmail ou du procédé de collecte du consentement pour ces annonces qui nécessitent le respect d’un processus rigoureux incluant de nombreuses étapes et des approbations internes.

268. La formation restreinte relève qu’au jour de la séance, les sociétés n’ont pas justifié de l’évolution de leurs pratiques, de sorte qu’elle considère qu’afin de s’assurer de leur mise en conformité s’agissant des manquements relevés aux articles 82 de la loi Informatique et Libertés et L. 34-5 du CPCE, le prononcé d’une injonction apparait nécessaire.

269. S’agissant du manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la formation restreinte considère que les sociétés doivent fournir une information suffisante pour permettre aux utilisateurs situés en France de comprendre que des cookies poursuivant une finalité publicitaire seront nécessairement déposés lors de la création d’un compte Google.

270. S’agissant du manquement à l’article L. 34-5 du code des postes et des communications électroniques, la formation restreinte considère que les sociétés doivent recueillir le consentement préalable des utilisateurs situés en France, avant toute opération de prospection électroniques sur leur compte Gmail prenant la forme d’annonces publicitaires insérées entre les courriels ;

271. Par ailleurs, pour garantir le respect de cette injonction, la formation restreinte considère qu’au regard du chiffre d’affaires des sociétés et des moyens financiers, humains et techniques dont elles disposent pour remédier aux manquements constatés, il convient de prononcer une astreinte journalière d’un montant de cent mille (100 000) euros par jour de retard, liquidable à l’issue d’un délai de six (6) mois à compter de la notification de la décision.

C. Sur la publicité de la sanction

272. La rapporteure propose que la délibération de la formation restreinte soit rendue publique afin d’alerter les utilisateurs français des services Google et notamment Gmail, Google Search et Youtube de la caractérisation des manquements aux articles 82 de la loi Informatique et Libertés et L. 34-5 du CPCE.

273. Les sociétés sollicitent le rejet de la demande de publication de la décision, cette mesure n’apparaissant pas strictement nécessaire, et donc disproportionnée eu égard au montant de l’amende suggérée.

274. La formation restreinte considère qu’une telle mesure se justifie au regard de la gravité avérée des manquements en cause, de la position des sociétés sur le marché ainsi que du nombre de personnes concernées, lesquelles se doivent d’être informées.

275. Elle estime en outre que cette mesure apparait proportionnée dès lors que la décision n’identifiera plus nommément les sociétés à l’issue d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

- prononcer à l’encontre de la société GOOGLE LLC une amende administrative d’un montant de deux cents millions (200 000 000) d’euros, au regard des manquements constitués à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et à l’article L. 34-5 du code des postes et des communications électroniques ;

- prononcer à l’encontre de la société GOOGLE IRELAND LIMITED une amende administrative d’un montant de cent vingt-cinq millions (125 000 000) d’euros, au regard des manquements constitués à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et à l’article L. 34-5 du code des postes et des communications électroniques;

- prononcer une injonction, à l’encontre des deux sociétés de mettre en conformité le traitement avec les dispositions des articles 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et L. 34-5 du code des postes et des communications électroniques, et en particulier :

o s’agissant du manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, de fournir une information suffisante pour permettre aux utilisateurs situés en France de comprendre que des cookies poursuivant une finalité publicitaire seront nécessairement déposés lors de la création d’un compte Google ;

o s’agissant du manquement à l’article L. 34-5 du code des postes et des communications électroniques, de recueillir le consentement préalable des utilisateurs situés en France, avant toute opération de prospection électroniques sur leur compte Gmail prenant la forme d’annonces publicitaires insérées entre les courriels ;

- Assortir l’injonction d’une astreinte de cent mille (100 000) euros par jour de retard à l’issue d’un délai de six (6) mois suivant la notification de la délibération de la formation restreinte ;

- rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément les sociétés à l’issue d’une durée de deux ans à compter de sa publication.

Le président

Philippe-Pierre CABOURDIN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.