Publicités insérées entre les courriels et cookies : la CNIL sanctionne GOOGLE d’une amende de 325 millions d’euros

Le contexte

Saisie d’une plainte déposée par l’organisation None Of Your Business (NOYB) le 24 août 2022, la CNIL a mené plusieurs contrôles entre 2022 et 2023 sur la messagerie électronique Gmail et sur le parcours de création d’un compte Google.

Sur la base des constatations effectuées, les contrôles ont permis de constater que les sociétés GOOGLE IRELAND LIMITED et GOOGLE LLC affichaient, entre les courriels présents au sein des onglets « Promotions » et « Réseaux sociaux » de la messagerie électronique Gmail, des annonces publicitaires prenant la forme de courriels. La formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’affichage de telles publicités nécessitait le recueil du consentement des utilisateurs de la messagerie Gmail, en application de l’article L. 34-5 du code des postes et des communications électroniques (CPCE).

Par ailleurs, la formation restreinte a considéré que, lorsqu’ils créent un compte Google, les utilisateurs sont incités à choisir les traceurs liés à l’affichage de publicités personnalisées, au détriment de ceux liés à l’affichage de publicités génériques, et qu’ils ne sont pas clairement informés que l’accès aux services de Google est conditionné au dépôt de traceurs à finalité publicitaire. Leur consentement recueilli dans ce cadre n’est donc pas valable, ce qui constitue un manquement à la loi Informatique et Libertés (article 82).

Pour ces deux manquements, la formation restreinte a, par décision publique, prononcé :

• Deux amendes d’un montant total de 325 millions d’euros à l’encontre de GOOGLE (200 millions d’euros à l’encontre de la société GOOGLE LLC et 125 millions d’euros à l’encontre la société GOOGLE IRELAND LIMITED).
• Une injonction afin que les sociétés mettent en œuvre, dans un délai de 6 mois, des mesures garantissant de cesser l’affichage d’annonces publicitaires entre les courriels dans la messagerie des utilisateurs du service Gmail sans consentement préalable, et un consentement valable des utilisateurs à la création d’un compte Google pour le dépôt de traceurs publicitaires. À défaut, les sociétés devront chacune payer une astreinte de 100 000 euros par jour de retard.

Les montants de ces amendes, qui prennent uniquement en compte le nombre d’utilisateurs résidant en France, tiennent compte du nombre très élevé de personnes concernées puisque le manquement sur les traceurs concerne plus de 74 millions de comptes. Parmi ceux-ci, 53 millions avaient, de manière illicite, vu s’afficher les publicités en cause dans les onglets « Promotions » et « Réseaux sociaux » de leurs messageries.

La formation restreinte a également souligné que le groupe GOOGLE détient une position centrale sur le marché publicitaire en ligne et que son application Gmail est le deuxième service de messagerie le plus utilisé au monde. Elle a précisé que les sociétés réalisent l’essentiel de leurs bénéfices dans les deux principaux segments du marché de la publicité en ligne que constituent la publicité contextuelle et la publicité ciblée.

La formation restreinte a enfin considéré que les sociétés ont fait preuve de négligence alors qu’elles avaient été précédemment sanctionnées par la CNIL à deux reprises, en 2020 et en 2021, pour des manquements en matière de traceurs.

Les manquements sanctionnés

Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L.34-5 du CPCE)

Les contrôles réalisés ont permis de constater qu’il est proposé aux utilisateurs du service de messagerie Gmail d’activer des « fonctionnalités intelligentes » afin d’organiser leurs boîtes de réception en trois onglets :

• « Principale » ;
• « Promotions » ; et
• « Réseaux sociaux ».

La CNIL a constaté que les utilisateurs ayant fait le choix d’activer ce paramètre voient s’afficher au sein de leur boîte de réception, dans les onglets « Promotions » et « Réseaux sociaux », sans qu’ils y aient consenti, des messages publicitaires prenant la forme de courriers électroniques insérés entre les courriels privés qu’ils ont reçus.

La CNIL , s’appuyant sur un arrêt de la Cour de justice de l’Union européenne (CJUE) du 25 novembre 2021, a considéré que ces messages faisant la promotion de services ou de biens et qui ne sont pas envoyés par un utilisateur à un autre utilisateur, mais affichés dans un espace normalement réservé aux courriels privés en prenant l’apparence de véritables courriels, constituent de la prospection directe par courrier électronique. En conséquence, il est nécessaire de recueillir le consentement des personnes concernées en application de l’article L. 34-5 du CPCE.

La CNIL a relevé que les sociétés ont apporté des modifications visuelles aux messages publicitaires dès avril 2023, afin de réduire le risque de confusion avec les autres courriels. Elle a cependant considéré que ces modifications n’étaient pas de nature à remettre en cause le régime juridique applicable à l’affichage de ces annonces puisque celles-ci ne se distinguent toujours pas clairement des véritables courriels.

Un manquement lié au dépôt de traceurs (cookies) en l’absence de consentement libre et éclairé (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, jusqu’en octobre 2023, le consentement des utilisateurs créant un compte Google n’était pas libre puisque le refus des traceurs liés à la publicité personnalisée était plus difficile à effectuer que leur acceptation.

La CNIL a ensuite considéré que l’accès à un service peut être conditionné au dépôt de traceurs publicitaires sur les terminaux des utilisateurs, à condition que ces derniers aient une compréhension complète et claire de la valeur, de la portée et des conséquences de leurs choix. En l’espèce, la CNIL a relevé que le consentement n’était pas éclairé lors du parcours de création de compte, car aucune information n’indiquait que l’accès aux services du groupe GOOGLE était conditionné au dépôt de traceurs liés à la publicité (générique ou personnalisée selon le choix de l’utilisateur).

En octobre 2023, les sociétés ont ajouté un bouton permettant de refuser aussi facilement que d'accepter le dépôt de traceurs liés à la publicité personnalisée. Néanmoins, la CNIL a constaté que le défaut d’un consentement éclairé continue de subsister.

La compétence de la CNIL

La CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux traceurs déposés par les sociétés et à la prospection électronique réalisées sur les terminaux des internautes situés en France. Le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’a pas vocation à s’appliquer dans ces procédures dans la mesure où les opérations liées à l’utilisation des traceurs et à la prospection électronique relèvent non pas du RGPD mais d’autres règles (la directive « ePrivacy », transposée aux articles 82 de la loi Informatique et Libertés pour les traceurs et L. 34-5 du CPCE pour la prospection commerciale par voie électronique).
 
La formation restreinte a considéré que la CNIL est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours aux traceurs et la prospection électronique est effectué dans le « cadre des activités » de la société GOOGLE France, qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED.

Elle a également estimé que ces dernières sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et moyens liés à l’usage des traceurs et à la prospection commerciale. Elle a considéré que les changements organisationnels intervenus étaient sans incidence sur la responsabilité conjointe des sociétés.