Par un arrêt du 22 mai 2025, la Cour d’appel de Chambéry a sanctionné la création et la publication d’une fiche Google My Business (GMB) portant sur une professionnelle de santé, sans son consentement préalable, en retenant l’illicéité du traitement de données personnelles effectué par la société Google.
Cette décision rappelle les exigences posées par le Règlement Général sur la Protection des Données (RGPD) en matière de consentement et d’intérêt légitime.
🟠 I. Principaux apports de la décision :
- La fiche Google My Business (GMB), qui contient des informations personnelles (nom, profession, adresse) et permet la diffusion d’avis publics, constitue un traitement de données à caractère personnel, soumis aux dispositions du RGPD.
- L’intérêt légitime invoqué par Google a été écarté : la Cour estime que les atteintes portées aux droits et libertés de la personne concernée, notamment sa réputation et son droit à l’image priment sur les intérêts commerciaux de l’exploitant.
- Le droit à l’effacement prévu à l’article 17 du RGPD est pleinement reconnu : la personne peut exiger la suppression de la fiche litigieuse dès lors qu’elle n’a pas consenti à sa création.
🟠 II. Condamnation de Google
Google a été condamné à 10.000 euros à titre de dommages et intérêts en réparation de ses préjudices matériels et moral et à 40.000 euros aux titres des frais exposés en première instance et en appel.
🟠 Conclusion :
Google n’avait pas respecté le droit à l’information (article 14 du RGPD) et le droit d’accès aux données (article 15 du RGPD) de la professionnelle de santé.
Google a effectué un traitement des données de cette dernière, sans finalité déterminée et légitime (article 5 1) b) du RGPD).
La demanderesse était donc fondée à demander la suppression de sa fiche Google sur le fondement général de l’article 17 du RGPD.
Pour en savoir plus / sources : https://www.courdecassation.fr/decision/68300ad793ab4231dd3e52d9 |
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.
Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD. Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.
La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD. Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.