CNIL har konstaterat att Google inte har iakttagit "viktiga principer" som följer av EU:s dataskyddsförordning "GDPR". Bland annat ansågs det allt för svårt för konsumenten att få en överblick över hur behandlingen av uppgifter sker. Den information som lämnades ansågs inte heller tydlig och begriplig.
Uppgifterna som behandlas är omfattande, och avser ungefär 20 olika tjänster (Gmail, You Tube, Google Home etc) och godkänns genom att konsumenten godkänner ett avtal.
Att godkänna ett enda långt avtal anser dock inte CNIL att innebär att konsumenten har förstått avtalet, och lagkraven på att samtycket ska vara "informerat" och "specifikt och entydigt" är därför inte uppfyllt.
Slutsatsen för CNIL blev alltså att Google har brutit mot dataskyddsförordningen, dels genom att inte inhämta ett korrekt samtycke, dels genom att inte informera på ett tillräckligt transparent sätt hur man behandlar personuppgifter.
Flera amerikanska webbplatser blockerar idag användare från Europa för att inte riskera att bryta mot dataskyddsförordningen. EU har förklarat att den tidigare gällande överenskommelsen mellan EU och USA (”Safe Harbour”) är ogiltig, eftersom USA inte skyddar personuppgifter på ett adekvat sätt. I Sverige kan man å andra sidan kringgå hela dataskyddsförordningen genom att skaffa ett så kallat utgivningsbevis. Svenska grundlagar hindrar då domstolarna att tillämpa dataskyddsförordningen.
