Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en vigueur sur le territoire de l’Union européenne. Pour une entreprise, la violation de ce règlement peut entraîner une amende susceptible de représenter jusqu’à 4 % du montant de son chiffre d’affaires mondial. Les 25 et 28 mai, la Commission nationale de l’informatique et des libertés (CNIL) a été saisie par les associations None Of Your Business (NOYB) et La Quadrature du Net pour des manquements au nouveau règlement constatés chez plusieurs géants du Net, dont Google. Après avoir enregistré que ce dernier ne disposait pas d’établissement principal dans l’Union, la CNIL a instruit les plaintes et relevé plusieurs infractions dans le cadre de la création d’un compte Google par un utilisateur, au moment de la configuration de l’équipement mobile sous Android. Elle a notamment observé que les informations fournies n’étaient pas facilement accessibles (informations « excessivement disséminées »), qu’elles n’étaient pas toujours claires et compréhensibles (finalité des traitements et données traitées définies de façon trop vague, durée de conservation de certaines données non indiquée) et que le consentement des utilisateurs n’était pas suffisamment éclairé, spécifique et univoque.

Pour ces raisons, la CNIL a décidé de prononcer, le 21 janvier, une sanction pécuniaire d’un montant de 50 millions d’euros à l’encontre de la société Google LLC. Google a fait appel de la décision. De son côté, l’association autrichienne NOYB a déposé une plainte le 18 janvier auprès de l’autorité autrichienne de protection des données (Datenschutzbehörde) contre huit entreprises technologiques, dont Netflix, YouTube (propriété de Google), Amazon, Apple et Spotify. NOYB accuse ces entreprises d’enfreindre la réglementation européenne en matière de protection des données. NOYB a travaillé avec dix volontaires qui ont demandé leurs données personnelles aux sociétés. L’association a constaté que les sociétés n’avaient pas fourni à ces derniers les informations de base qui leur avaient été réclamées – comme la manière dont elles achetaient et vendaient leurs données –, mais une masse de données brutes, pour la plupart incompréhensibles (sous format alphanumérique, par exemple) ou incomplètes, qui ne permettaient pas aux demandeurs d’exercer correctement leurs droits.