La rentrée démarre mal pour Google sur le front des contentieux concernant la protection des données personnelles. La Cnil vient en effet de prononcer une amende de 325 M€ à l’encontre de Google pour plusieurs manquements liés au consentement. L’affaire débute en 2022 par une plainte déposée par l’association Noyb, fondée par Max Schrems (tombeur du Safe Harbor et du Privacy Shield régulant le transfert des données entre l’Europe et les Etats-Unis). Deux problèmes ont été mis en avant. Le premier porte sur l’organisation des courriels au sein de la messagerie Gmail. En effet, le service propose aux utilisateurs de classer les messages dans trois onglets : principales, réseaux sociaux et promotions. La Cnil a constaté que ceux qui ont choisi d’activer ces onglets reçoivent des messages publicitaires sous la forme de courriels. Le hic est que Google n’avait pas mis en place de consentement, alors que selon la jurisprudence européenne, cette méthode de prospection directe par courrier électronique nécessite l’approbation préalable de l’utilisateur.

Un consentement peu éclairé pour les cookies

Le consentement est également au cœur du second problème soulevé par la Cnil. Il porte sur la mise en place de traceurs ou cookies lors de la création d’un compte Google. Les contrôles du régulateur ont montré que jusqu’en octobre 2023, le consentement n’était pas libre, car « le refus des traceurs liés à la publicité personnalisée était plus difficile à effectuer que leur acceptation ». A la suite des constations de la Cnil, Google a mis en place un bouton pour refuser simplement le dépôt de cookies publicitaires. Un effort qui ne satisfait pas complètement la Cnil en estimant que le défaut de consentement persiste.

Face à ces manquements répétés et graves, les sages de la Cnil ont décidé d’infliger une amende record de 325 M€. Elle est assortie d’une injonction de mettre en place des mesures pour cesser l’affichage d’annonces publicitaires entre les courriels dans la messagerie des utilisateurs du service Gmail sans consentement préalable, et un consentement valable des utilisateurs à la création d’un compte Google pour le dépôt de traceurs publicitaires. A défaut, Google devra payer 100 000 euros d’astreintes par jour de retard.