La société de Mountain View a décidé, le 1^er mars 2012, de fusionner en une seule et unique politique les différentes règles de confidentialité applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps,… Toutes les CNIL européennes (G29) se sont alors réunies pour procéder à une analyse de cette politique de confidentialité et en ont conclu qu’elle n'était pas conforme au cadre juridique européen. Plusieurs recommandations ont été vainement émises par le G29 auxquelles la société Google n’a pas estimé devoir se soumettre et c’est ainsi que six autorités européennes (France, Allemagne, Royaume-Uni, Italie, Espagne et Pays-Bas) sur les 29 ont engagé contre le moteur de recherche des procédures répressives.

C’est dans ce contexte que le 3 janvier 2014, la formation restreinte de la CnilDélibération de la Commission nationale de l’informatique et des libertés n° 2013-420 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc., 3 janv. 2014. a prononcé cette sanction pécuniaire de 150 000 euros, estimant que la société Google ne respecte pas plusieurs dispositions de la loi « informatique et libertés ». Liminairement, la formation restreinte considère, d’une part, que les données relatives aux utilisateurs des services de Google en France et traitées par cette société sont bien des données à caractère personnel et, d’autre part, que, contrairement à ce que soutient Google, la loi française s'applique aux traitements par le moteur de recherche des données personnelles des internautes résidant en France.

Sur le fond, si elle ne conteste pas la légitimité de l'objectif de simplification poursuivi par Google en fusionnant ses quelque 60 politiques de confidentialité, il n’en demeure pas moins que la Cnil juge les conditions de mise en œuvre de cette politique unique contraires aux exigences de la loi française. Ainsi, par exemple, relève le gendarme du net, Google n’informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles et de ce fait, ils ne peuvent comprendre ni les finalités de la collecte ni l'ampleur des données collectées à travers les différents services. Google ne respecte pas, poursuit la Cnil, les obligations qui lui incombent d'obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux et, en outre, Google ne fixe pas de durée de conservation pour l'ensemble des données qu'elle traite et, enfin, Google s’autorise, sans base légale, à procéder « à la combinaison de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services ».

Ces manquements sont identiques à ceux déjà retenus par les autorités néerlandaise et espagnole de protection des données en novembre et décembre 2013, au regard de leur droit national respectif. « La sanction pécuniaire décidée constitue le montant le plus élevé prononcé jusqu'à présent par la formation restreinte » et elle se justifie, précise le communiqué,« par le nombre et la gravité des manquements constatés » mais l’autorité espagnole a eu la main un peu plus lourde et a mis le curseur un peu plus haut pour les trois manquements relevés en infligeant, le 19 décembre 2013, une sanction de 300 000 euros par manquement constaté, soit 900 000 euros.

Il a également été enjoint à Google de publier un communiqué relatif à cette décision sur son site https://www.google.fr, pendant 48 heures, sous huit jours à compter de la notification de la décision et cette mesure de publicité s'explique, selon la Cnil, « par l'ampleur des données collectées ainsi que par la nécessité d'informer les personnes concernées, qui ne sont pas en mesure d'exercer leurs droits ». Cette décision ne devrait toutefois pas effrayer Google outre mesure et elle est susceptible d’un recours, dans les deux mois de sa notification, devant le Conseil d’État.