Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
En novembre 2025, la CNIL a prononcé une sanction historique de 90 millions d'euros contre Google pour violation du RGPD. La Commission a constaté que le géant américain installait automatiquement le cookie de traçage NID dès la connexion des utilisateurs à ses services, sans recueillir leur consentement préalable. Cette décision marque un tournant dans la protection de vos données personnelles et illustre le renforcement des contrôles en matière de cookies publicitaires.
Le cookie NID est un identifiant unique que Google dépose sur votre navigateur pour personnaliser les publicités et mémoriser vos préférences de recherche. Contrairement aux cookies strictement nécessaires au fonctionnement du site, ce cookie à finalité publicitaire nécessite votre consentement explicite avant toute installation. La CNIL a démontré que Google installait ce cookie dès votre première connexion, avant même l'affichage du bandeau de consentement. Cette pratique constitue une violation directe de l'article 82 de la loi Informatique et Libertés modifiée et des lignes directrices de la CNIL sur les cookies. Votre vie privée est ainsi compromise dès les premières secondes de navigation, sans que vous n'ayez pu exercer votre droit de refuser le traçage publicitaire.
La CNIL a infligé à Google Ireland Limited une amende administrative de 90 millions d'euros, l'une des sanctions les plus élevées jamais prononcées en France pour non-respect du RGPD. Cette décision fait suite à une enquête approfondie menée par le service des contrôles de la Commission entre 2024 et 2025. Au-delà du montant financier, la CNIL a également ordonné à Google de mettre en conformité ses pratiques dans un délai de trois mois sous peine d'astreinte de 100 000 euros par jour de retard. La formation restreinte de la CNIL, organe décisionnaire en matière de sanctions, a retenu le caractère intentionnel du manquement et l'ampleur des utilisateurs concernés pour justifier cette pénalité dissuasive. Cette sanction s'inscrit dans la continuité des actions de la CNIL visant à faire respecter le principe de consentement libre et éclairé en matière de RGPD.
Les investigations de la CNIL ont révélé un mécanisme technique sophistiqué. Lorsque vous accédiez à Google.fr ou à tout autre service Google, le cookie NID était déposé automatiquement dans les premières millisecondes du chargement de la page, bien avant l'apparition du bandeau vous demandant d'accepter ou refuser les cookies. Cette installation préalable permettait à Google de commencer immédiatement le traçage de votre navigation, même si vous cliquiez ensuite sur "Tout refuser". Le cookie restait actif pendant 6 mois et collectait des informations sur vos recherches, vos clics et votre comportement en ligne. Google justifiait cette pratique par des raisons de sécurité et de lutte contre la fraude, mais la CNIL a estimé que ces finalités ne justifiaient pas l'absence de consentement pour un cookie à vocation publicitaire. Cette méthode concernait plusieurs millions d'utilisateurs français quotidiennement.
Le RGPD et la directive ePrivacy vous garantissent un contrôle total sur les cookies déposés sur votre appareil. Vous avez le droit de refuser les cookies non essentiels sans que cela n'affecte votre accès au service. Les sites doivent vous présenter un choix clair entre "Tout accepter" et "Tout refuser" avec des boutons d'égale visibilité. Votre consentement doit être libre, spécifique, éclairé et univoque : un simple clic sur "Continuer" ou la poursuite de la navigation ne suffit pas. Vous pouvez retirer votre consentement à tout moment aussi facilement que vous l'avez donné. Les cookies strictement nécessaires au fonctionnement du site (panier d'achat, authentification) peuvent être déposés sans consentement, mais tous les autres, notamment les cookies publicitaires, analytiques ou de réseaux sociaux, nécessitent votre accord préalable. La CNIL vérifie régulièrement que ces droits sont respectés et sanctionne les entreprises qui ne s'y conforment pas.
Vous pouvez contrôler les cookies déposés sur votre navigateur grâce à plusieurs outils. Sur Chrome, Firefox ou Safari, accédez aux outils de développement (touche F12) puis à l'onglet "Application" ou "Stockage" pour voir la liste complète des cookies. Notez le nombre de cookies présents avant d'interagir avec le bandeau de consentement, puis refusez tout et rechargez la page : seuls les cookies strictement nécessaires devraient subsister. Des extensions comme "Cookie AutoDelete" ou "Privacy Badger" vous alertent en temps réel sur les cookies déposés. Si vous constatez qu'un site installe des cookies de traçage avant votre consentement, vous pouvez déposer une plainte auprès de la CNIL via son formulaire en ligne. Conservez des captures d'écran comme preuves. La CNIL traite plusieurs milliers de plaintes chaque année et peut ouvrir des procédures de contrôle sur cette base.
Les entreprises qui exploitent des sites web ou applications doivent respecter un cadre strict défini par les lignes directrices de la CNIL adoptées en 2020 et mises à jour en 2021. Elles doivent recueillir votre consentement avant tout dépôt de cookie non essentiel, vous informer clairement de la finalité de chaque cookie, de sa durée de conservation et des destinataires des données. Le bandeau de consentement doit proposer un refus aussi facile que l'acceptation, sans case pré-cochée ni "cookie wall" empêchant l'accès au site en cas de refus. Les entreprises doivent conserver la preuve de votre consentement pendant toute la durée d'utilisation des cookies plus un an. Elles doivent permettre le retrait du consentement à tout moment via un lien accessible depuis toutes les pages. Pour garantir leur conformité RGPD complète, elles doivent documenter leurs traitements de données et réaliser des audits réguliers. Le non-respect de ces obligations expose à des sanctions pouvant atteindre 4% du chiffre d'affaires annuel mondial selon l'article 83 du RGPD.
Non, la CNIL a déjà sanctionné plusieurs grandes entreprises pour des manquements similaires. En décembre 2020, Google et Amazon avaient déjà écopé respectivement de 100 millions et 35 millions d'euros d'amende pour défaut de consentement aux cookies. Facebook (Meta) a été sanctionné de 60 millions d'euros en 2022 pour des pratiques analogues. Microsoft, TikTok et plusieurs éditeurs de presse ont également fait l'objet de sanctions entre 2021 et 2024. Ces décisions successives témoignent d'une volonté ferme de la CNIL de faire respecter le droit au consentement. Le montant total des amendes prononcées en France pour violation du RGPD dépasse désormais 500 millions d'euros depuis 2018. Cette nouvelle sanction contre Google en 2025 s'inscrit dans cette dynamique et vise spécifiquement le cookie NID qui n'avait pas été corrigé malgré les précédentes mises en demeure. Les autorités européennes coordonnent leurs actions via le Comité européen de la protection des données pour harmoniser les pratiques.
Google dispose de trois mois pour mettre en conformité l'ensemble de ses services accessibles en France. Concrètement, l'entreprise doit s'assurer qu'aucun cookie non essentiel, y compris le cookie NID, ne soit déposé avant l'obtention de votre consentement explicite. Le bandeau de consentement doit s'afficher immédiatement au chargement de la page, avant tout traçage. Google doit proposer des boutons "Tout accepter" et "Tout refuser" de taille et de couleur équivalentes, sans design trompeur incitant à l'acceptation. En cas de refus, aucun cookie publicitaire ne doit être installé, et vous devez pouvoir accéder normalement aux services de recherche, Gmail, YouTube ou Google Maps. Google doit également mettre en place un mécanisme simple pour retirer votre consentement et supprimer les cookies déjà déposés. L'entreprise doit documenter ces modifications et les soumettre à la CNIL pour vérification. Le non-respect de cette injonction entraînerait une astreinte quotidienne de 100 000 euros.
Si vous pensez avoir été victime d'une collecte de données via des cookies installés sans votre consentement, vous disposez de plusieurs recours. Commencez par exercer vos droits RGPD directement auprès de Google : droit d'accès pour connaître les données collectées, droit d'opposition au traitement, droit à l'effacement de vos données. Google doit répondre sous un mois maximum. Si la réponse est insatisfaisante ou absente, vous pouvez déposer une plainte gratuite auprès de la CNIL via son site internet. La Commission enquêtera et pourra prononcer des sanctions. Vous pouvez également saisir le tribunal judiciaire pour obtenir réparation du préjudice subi, notamment le préjudice moral lié à l'atteinte à votre vie privée. Des actions de groupe sont possibles via des associations de consommateurs. Conservez toutes les preuves : captures d'écran des cookies déposés, historique de navigation, correspondances avec l'entreprise. La jurisprudence reconnaît de plus en plus le droit à réparation pour violation du RGPD.
Pour renforcer la protection de vos données personnelles face aux cookies, adoptez plusieurs réflexes simples. Configurez votre navigateur pour bloquer les cookies tiers par défaut dans les paramètres de confidentialité. Utilisez le mode navigation privée pour les recherches sensibles : les cookies sont automatiquement supprimés à la fermeture. Installez des extensions comme uBlock Origin, Privacy Badger ou Ghostery qui bloquent les traceurs publicitaires. Refusez systématiquement les cookies non essentiels sur les sites que vous visitez, sauf nécessité absolue. Nettoyez régulièrement vos cookies via les paramètres du navigateur (au minimum mensuellement). Privilégiez des moteurs de recherche respectueux de la vie privée comme DuckDuckGo ou Qwant. Consultez régulièrement votre tableau de bord Google pour désactiver la personnalisation publicitaire. Activez l'option "Do Not Track" dans votre navigateur. Enfin, restez informé de vos droits en consultant les ressources de la CNIL et n'hésitez pas à exercer vos droits d'accès, de rectification et d'opposition.
La sanction contre Google constitue un signal fort pour l'ensemble de l'écosystème numérique. Les régies publicitaires, réseaux sociaux, sites de e-commerce et éditeurs de contenus doivent impérativement réviser leurs pratiques de gestion des cookies. La CNIL a annoncé qu'elle intensifierait ses contrôles en 2026 avec des vérifications automatisées sur des milliers de sites. Les PME comme les grandes entreprises sont concernées : le montant des amendes est proportionné au chiffre d'affaires mais peut atteindre plusieurs dizaines de milliers d'euros même pour de petites structures. Les CMP (Consent Management Platforms) comme Didomi, OneTrust ou Quantcast doivent adapter leurs outils pour garantir une conformité totale. Le marché de la publicité programmatique doit se réinventer avec des solutions respectueuses du consentement. Cette décision renforce également la position de la France comme autorité de référence en Europe sur la protection des données, inspirant d'autres pays à durcir leurs contrôles. Les investissements dans la conformité RGPD deviennent incontournables pour éviter des sanctions financières et réputationnelles majeures.
Le cadre juridique continue d'évoluer pour renforcer la protection de vos données. L'Union européenne travaille sur le règlement ePrivacy qui remplacera l'actuelle directive et harmonisera les règles sur les cookies dans tous les États membres. Ce texte pourrait introduire des paramètres de confidentialité par défaut dans les navigateurs, vous évitant de refuser les cookies sur chaque site. En France, la loi sur la confidentialité des communications électroniques est régulièrement mise à jour. La CNIL développe des outils de contrôle automatisés qui scannent les sites web pour détecter les violations. Les sanctions devraient continuer d'augmenter : la CNIL dispose désormais de moyens renforcés et d'une équipe dédiée aux contrôles en ligne. Des projets de loi visent à faciliter les actions de groupe contre les violations de données. Au niveau européen, le Digital Services Act et le Digital Markets Act imposent des obligations supplémentaires aux grandes plateformes. Ces évolutions traduisent une prise de conscience collective : la protection des données personnelles n'est plus une option mais un droit fondamental que les autorités sont déterminées à faire respecter.
Puis-je demander une compensation personnelle suite à cette violation ?
Oui, vous pouvez saisir le tribunal judiciaire pour réclamer des dommages et intérêts si vous prouvez un préjudice lié à la collecte illégale de vos données par Google. Le préjudice moral est désormais reconnu par plusieurs décisions de justice, même sans préjudice financier direct. Constituez un dossier avec vos preuves de navigation et l'usage de vos données.
Les cookies Google Analytics nécessitent-ils aussi mon consentement ?
Absolument. Google Analytics et tous les outils de mesure d'audience qui ne sont pas strictement anonymes nécessitent votre consentement préalable. La CNIL recommande d'ailleurs des alternatives comme Matomo configuré en mode exempt de consentement, qui ne collecte aucune donnée personnelle et ne dépose pas de cookie.
Comment savoir si un site respecte la réglementation cookies ?
Vérifiez que le bandeau apparaît avant tout chargement de contenu tiers, qu'il propose un refus aussi visible que l'acceptation, et qu'aucun cookie non essentiel n'est déposé avant votre choix. Testez en ouvrant les outils de développement de votre navigateur (F12) pour inspecter les cookies présents dès le chargement initial de la page.
La sanction de 90 millions sera-t-elle effectivement payée par Google ?
Oui, sauf si Google obtient l'annulation de la décision en appel devant le Conseil d'État. Toutefois, les précédentes sanctions prononcées contre Google en 2020 ont été payées intégralement. Les montants sont versés au Trésor public et contribuent au budget de l'État. Google doit s'acquitter de l'amende même en cas de recours, sauf suspension exceptionnelle accordée par le juge.
Dois-je modifier les paramètres de mon compte Google suite à cette affaire ?
Il est recommandé de vous rendre dans les paramètres de confidentialité de votre compte Google, section "Données et personnalisation", pour désactiver la personnalisation des annonces et supprimer l'historique de vos activités. Vous pouvez également demander la suppression complète du cookie NID en effaçant vos cookies Google depuis les paramètres de votre navigateur. Ces actions limitent le traçage publicitaire futur même si elles n'effacent pas les données déjà collectées.
