Le RGPD dit non, et la CNIL vient de le rappeler à deux entreprises à deux échelles très différentes.
📅 Le 26 juin 2025, la rapporteure de la CNIL a requis 525 millions d’euros d’amende contre Google, accusé d’avoir transformé Gmail en plateforme de publicité ciblée sans consentement valable des utilisateurs.
📩 Concrètement : l’activité de consultation des e-mails servait à générer des publicités personnalisées sans information claire, sans choix explicite, et sans base légale solide.
En mai, la CNIL infligeait 80 000 € d’amende à Caloga, entreprise française spécialisée dans la prospection par e-mail.
🔍 En cause : l’envoi massif de courriels commerciaux à des personnes dont les adresses avaient été collectées via des jeux-concours ou des tests de produits menés par des partenaires… sans que le consentement à la prospection n’ait été recueilli de manière libre, spécifique et éclairée.
⚖️ Deux poids, même droit
📘 Les deux décisions reposent sur un socle juridique commun, entre RGPD et droit sectoriel :
🟠 Article 6 du RGPD : traitement sans base légale valable.
Aucune des deux entreprises n’a recueilli un consentement conforme pour le traitement à des fins de prospection.
🟠 Article 7 du RGPD : incapacité à prouver le consentement.
Le défaut de traçabilité et l’ambiguïté des dispositifs de collecte ont conduit à un manquement évident à l’obligation de démonstration.
🟠 Articles 12 à 14 du RGPD : obligation d’information non respectée.
L’information fournie était insuffisante, incomplète, voire trompeuse, notamment sur la finalité publicitaire des traitements.
🟠 Article L.34-5 du Code des postes et communications électroniques (France) : interdiction d’adresser des sollicitations électroniques sans consentement préalable exprès, sauf exception (relation commerciale antérieure).
→ Ni Google ni Caloga ne peuvent s’en prévaloir ici.
📉 Trois points communs, deux modèles
Dans les deux cas :
👉 L’utilisateur n’a pas eu le contrôle de ses données ;
👉 L’information était insuffisante ou trompeuse ;
👉 La monétisation reposait sur une opacité stratégique.
Qu’il s’agisse d’un géant du numérique ou d’un acteur plus discret de la data marketing, le manquement est de même nature : exploiter des données personnelles sans respecter les principes cardinaux de transparence, loyauté et contrôle.
🧭 Vers une ligne de crête pour tous les acteurs
Ces deux affaires rappellent une vérité simple mais désormais incontournable :
➡️ Le RGPD ne s’adapte pas à la taille de l’entreprise, il s’applique.
➡️ Le consentement ne se déduit pas, il se prouve.
➡️ Un service gratuit ne dispense en rien de respecter les droits fondamentaux des personnes.
Et ce, même si la stratégie marketing est ancienne, intégrée, ou masquée derrière une expérience utilisateur “fluide”.
🔍 Les régulateurs frappent désormais sur tous les niveaux
- 👉 Des GAFAM jusqu’aux PME (françaises) ;
- 👉 Des pratiques visibles aux systèmes dissimulés ;
- 👉 Avec des logiques commerciales qui, malgré leur différence d’échelle, violent les mêmes principes : transparence, loyauté, et consentement.
Source : https://www.cnil.fr/fr/sanction-de-80-000-euros-societe-caloga
