Décryptage juridique des articles 6 et 7 du RGPD à travers la sanction Google de 50 millions d'euros

La décision de la CNIL du 21 janvier 2019 (SAN-2019-001) — amende de 50 millions d’euros infligée à Google LLC — constitue la première sanction d’ampleur fondée exclusivement sur le RGPD.
Elle illustre de manière concrète que la licéité déclarée d’un traitement ne suffit pas : la base légale doit être démontrable, documentée, et matérialisée dans les parcours utilisateurs.

Les griefs fondamentaux retenus par la CNIL

La CNIL a retenu plusieurs manquements, au cœur des principes posés par l’article 5 et l’article 6 du RGPD :

  • manque de transparence (art. 5 §1.a / art. 12 à 14) : l’information était trop éparse, accessible via de multiples clics, sans vision globale et intelligible ;

  • défaut de précision des finalités (art. 5 §1.b) : formulation trop générique, finalités hybrides, absence de correspondance claire finalité/traitement ;

  • défaut de validité du consentement publicitaire (art. 6 §1.a + art. 4.11) : absence d’action positive claire, précochage, absence de granularité.

La CNIL a donc estimé que Google ne pouvait pas invoquer valablement le consentement pour la personnalisation publicitaire, faute de respecter les conditions cumulatives de validité posées par le RGPD.

Rappel juridique : la structure de l’article 6 RGPD

L’article 6 pose un principe simple mais structurant : Un traitement n’est licite que s’il repose sur l’une des bases juridiques prévues au paragraphe 1 de l’article.

Les 6 bases sont :

  • consentement (6-1.a)

  • contrat (6-1.b)

  • obligation légale (6-1.c)

  • intérêts vitaux (6-1.d)

  • mission d’intérêt public (6-1.e)

  • intérêt légitime (6-1.f)

Dans l’affaire Google, le débat ne portait pas sur l’identification d’une base légale théorique, mais sur la preuve de sa validité.

Analyse juridique : pourquoi le consentement a été jugé invalide

Le consentement doit être (art. 4.11 + considérants 32, 42 et 43) :

  • libre

  • spécifique

  • éclairé

  • univoque

→ l’utilisateur doit agir pour consentir (pas être réputé y avoir consenti).

Dans le cas Google, la CNIL a noté des cases pré-cochées, une absence de segmentation par finalité et une information décalée ou inaccessible immédiatement. Le consentement était donc sous-entendu, global et insuffisamment éclairé.

→ La non-conformité résidait donc dans l’insuffisance des preuves de la base juridique invoquée.

C’est exactement la logique accountability (art. 5 §2) :
il ne suffit pas d’être conforme, il faut pouvoir le démontrer.

À retenir pour les responsables de traitement

  • une base légale doit être choisie ET documentée ;

  • le consentement n’est jamais présumé ;

  • la granularité + l’action positive sont les deux conditions opérationnelles qui “font le consentement” ;

  • un traitement peut être invalidé même si une base légale “semble” pertinente — si la démonstration n’est pas faite.

Implications pratiques pour les sites web aujourd’hui

Cette décision rappelle que la conformité à l’article 6 du RGPD n’est pas théorique : elle se joue dans le design concret du parcours utilisateur, dans les paramètres par défaut, et dans la granularité des mécanismes de consentement.

Pour tout site web, plateforme SaaS, application mobile ou service numérique, cela implique a minima :

  1. La base légale doit être choisie et justifiée par finalité.
    On ne peut pas invoquer plusieurs bases “au cas où”.
    Une finalité = une base légale identifiée, motivée et documentée.

  2. Le consentement, lorsqu’il est la base, doit être obtenu par une action positive claire :
    pas de cases pré-cochées, pas de scroll = consentement, pas de “poursuivre = accepter tout”.

  3. La granularité est obligatoire.
    Les utilisateurs doivent pouvoir consentir finalité par finalité, et pas à un package global.

  4. L’information préalable doit être directement accessible, en un nombre limité de clics, avec un niveau de détail suffisant (durées de conservation, catégories de données, finalités concrètes).

  5. Les preuves du consentement doivent être conservées. C’est l’essence de l’article 5 §2 : accountability.

Autrement dit :
Le simple fait d’afficher une bannière cookies “Accepter / Refuser” n’est pas une conformité RGPD — c’est la démonstration de la validité des choix qui l’est.

Conclusion

La sanction Google a posé un jalon clair : la base légale n’est pas un élément déclaratif, mais un élément démontrable.
L’article 6 du RGPD exige un choix assumé, documenté et opérationnalisé.
En pratique, c’est l’architecture même du parcours de consentement qui conditionne la licéité du traitement.

Chez PiaLab, nous accompagnons les organisations à structurer, documenter et sécuriser leurs bases légales — avec une approche concrète, alignée sur les attentes des autorités de contrôle.

  • Pour analyser vos bases légales, valider votre bannière cookies ou revoir vos politiques d’information, vous pouvez nous solliciter pour un audit ciblé ou un accompagnement personnalisé.

Contactez-nous pour une première analyse exploratoire.

Nos derniers articles

A la recherche d'un DPO externe, d’un accompagnement ou d’une formation RGPD ?

Notre équipe est à votre disposition pour découvrir vos besoins et vous proposer une méthodologie d'intervention adaptée.

Nous contacter