Par un arrêt du 22 mai 2025, la Cour d’appel de Chambéry a sanctionné la création et la publication d’une fiche Google My Business (GMB) portant sur une professionnelle de santé, sans son consentement préalable, en retenant l’illicéité du traitement de données personnelles effectué par la société Google.
Cette décision rappelle les exigences posées par le Règlement Général sur la Protection des Données (RGPD) en matière de consentement et d’intérêt légitime.
🟠 I. Principaux apports de la décision :
- La fiche Google My Business (GMB), qui contient des informations personnelles (nom, profession, adresse) et permet la diffusion d’avis publics, constitue un traitement de données à caractère personnel, soumis aux dispositions du RGPD.
- L’intérêt légitime invoqué par Google a été écarté : la Cour estime que les atteintes portées aux droits et libertés de la personne concernée, notamment sa réputation et son droit à l’image priment sur les intérêts commerciaux de l’exploitant.
- Le droit à l’effacement prévu à l’article 17 du RGPD est pleinement reconnu : la personne peut exiger la suppression de la fiche litigieuse dès lors qu’elle n’a pas consenti à sa création.
🟠 II. Condamnation de Google
Google a été condamné à 10.000 euros à titre de dommages et intérêts en réparation de ses préjudices matériels et moral et à 40.000 euros aux titres des frais exposés en première instance et en appel.
🟠 Conclusion :
Google n’avait pas respecté le droit à l’information (article 14 du RGPD) et le droit d’accès aux données (article 15 du RGPD) de la professionnelle de santé.
Google a effectué un traitement des données de cette dernière, sans finalité déterminée et légitime (article 5 1) b) du RGPD).
La demanderesse était donc fondée à demander la suppression de sa fiche Google sur le fondement général de l’article 17 du RGPD.
Pour en savoir plus / sources : https://www.courdecassation.fr/decision/68300ad793ab4231dd3e52d9 |
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.
Par une décision n° 2025‑1154 Question Prioritaire de Constitutionnalité (QPC) rendue le 8 août 2025, le Conseil constitutionnel a opéré un revirement majeur …
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.