Par un arrêt du 22 mai 2025, la Cour d’appel de Chambéry a sanctionné la création et la publication d’une fiche Google My Business (GMB) portant sur une professionnelle de santé, sans son consentement préalable, en retenant l’illicéité du traitement de données personnelles effectué par la société Google.
Cette décision rappelle les exigences posées par le Règlement Général sur la Protection des Données (RGPD) en matière de consentement et d’intérêt légitime.
🟠 I. Principaux apports de la décision :
- La fiche Google My Business (GMB), qui contient des informations personnelles (nom, profession, adresse) et permet la diffusion d’avis publics, constitue un traitement de données à caractère personnel, soumis aux dispositions du RGPD.
- L’intérêt légitime invoqué par Google a été écarté : la Cour estime que les atteintes portées aux droits et libertés de la personne concernée, notamment sa réputation et son droit à l’image priment sur les intérêts commerciaux de l’exploitant.
- Le droit à l’effacement prévu à l’article 17 du RGPD est pleinement reconnu : la personne peut exiger la suppression de la fiche litigieuse dès lors qu’elle n’a pas consenti à sa création.
🟠 II. Condamnation de Google
Google a été condamné à 10.000 euros à titre de dommages et intérêts en réparation de ses préjudices matériels et moral et à 40.000 euros aux titres des frais exposés en première instance et en appel.
🟠 Conclusion :
Google n’avait pas respecté le droit à l’information (article 14 du RGPD) et le droit d’accès aux données (article 15 du RGPD) de la professionnelle de santé.
Google a effectué un traitement des données de cette dernière, sans finalité déterminée et légitime (article 5 1) b) du RGPD).
La demanderesse était donc fondée à demander la suppression de sa fiche Google sur le fondement général de l’article 17 du RGPD.
Pour en savoir plus / sources : https://www.courdecassation.fr/decision/68300ad793ab4231dd3e52d9 |
Le Comité européen de la protection des données (CEPD) a rendu deux avis favorables sur les projets de décisions d’adéquation proposés par la Commission européenne concernant le Royaume-Uni. Ces décisions, qui concernent à la fois le RGPD et la directive « Police-Justice », visent à prolonger jusqu’en 2031 le cadre juridique permettant les transferts de données personnelles entre l’Union européenne et le Royaume-Uni sans mesures supplémentaires.
Dans un contexte européen marqué par l’évolution constante des réglementations numériques, le Comité européen de la protection des données (CEPD) poursuit ses efforts pour garantir une meilleure transparence dans le traitement des données personnelles. Deux initiatives récentes illustrent cette dynamique : la publication de lignes directrices sur l’interaction entre le RGPD et le Digital Markets Act (DMA), et le lancement d’une action coordonnée sur la transparence en 2026.
Le 10 juillet 2025, la Commission européenne a publié la version finale du Code de bonnes pratiques pour l’intelligence artificielle à usage général (GPAI), marquant une nouvelle étape dans la régulation de l’intelligence artificielle en Europe. Ce Code, bien que volontaire, s’inscrit dans un contexte de montée en puissance du Règlement sur l’IA (AI Act), dont certaines dispositions, notamment celles concernant les GPAI, sont applicables depuis le 2 août 2025.
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.