Se connecter
logiciel rgpd
  1. 1 - Contexte de l’affaire
    1. 2 - Principes juridiques en jeu
      1. 3 - La réponse de la CJUE
        1. 4 - Implications et perspectives

          La fin de la civilité obligatoire sur vos billets SNCF ? La CJUE tranche !

          RGPDJanuary 10, 2025

          Luxembourg, le 9 janvier 2025 – La Cour de Justice de l’Union européenne (CJUE) a examiné une question essentielle concernant la conformité de la SNCF au Règlement Général sur la Protection des Données (RGPD).

          L’association Mousse a remis en cause une pratique de SNCF Connect, obligeant les utilisateurs à indiquer leur civilité (« Monsieur » ou « Madame ») lors de l’achat en ligne de billets de train.

          Cette pratique est jugée disproportionnée et en violation du principe de minimisation des données.

          Dans cet article, nous décryptons cette affaire et explorons ses enjeux et implications juridiques.

          Contexte de l’affaire

          L’affaire oppose l’association Mousse à SNCF Connect, la plateforme de vente en ligne de la SNCF, sur la collecte obligatoire de la civilité des utilisateurs.

          Cette exigence, perçue comme anodine par certains, soulève des questions complexes relatives à la protection des données personnelles, notamment en ce qui concerne l’identité de genre.

          En 2021, l’association Mousse a saisi la Commission Nationale de l’Informatique et des Libertés (CNIL), alléguant que cette collecte allait à l’encontre du RGPD et du principe de minimisation. La CNIL a rejeté la plainte, estimant que la pratique ne constituait pas une violation manifeste du RGPD.

          Contestant cette décision, Mousse a porté l’affaire devant le Conseil d’État français, qui a renvoyé une question préjudicielle à la CJUE pour clarifier l’interprétation du RGPD.

          La CJUE devait statuer sur la conformité de la collecte de la civilité avec le principe de minimisation des données.

          Principes juridiques en jeu

          Minimisation des données et nécessité contractuelle

          Le RGPD exige que les données collectées soient « adéquates, pertinentes et limitées » à ce qui est strictement nécessaire pour atteindre un objectif précis. La CJUE doit analyser si la collecte de la civilité est indispensable à l’exécution d’un contrat de transport.

          Intérêt légitime et proportionnalité

          Au-delà de la nécessité contractuelle, la question d’un intérêt légitime pour la personnalisation de la communication commerciale est soulevée. La jurisprudence rappelle que pour qu’un tel traitement soit licite, il doit respecter le principe de proportionnalité, en évitant toute atteinte aux droits fondamentaux. L’évaluation de la collecte de la civilité devra donc tenir compte des risques de discrimination et d’intrusion dans la vie privée.

          La réponse de la CJUE

          Selon la Cour, la collecte de l’identité de genre présumée à des fins de personnalisation de la communication commerciale ne paraît pas indispensable à l’exécution d’un contrat de transport. La Cour a estimé que l’utilisation de formules de politesse génériques, inclusives et non liées à l’identité de genre, constitue une alternative moins intrusive et suffisante. 

          Il est important de préciser que la décision de la CJUE n’a pas pour effet d’interdire toute collecte des données relatives à l’identité de genre.

          Si la case « M. » ou « Mme » est facultative et que les personnes choisissent volontairement de la renseigner, cette collecte est considérée comme licite.

          Par ailleurs, dans certaines situations, la collecte d’informations sur l’identité de genre peut être justifiée, à condition qu’elle repose sur une base légale appropriée, comme une mission d’intérêt public, une obligation légale, ou une nécessité contractuelle.

          À noter que, la Cour ne statue pas sur le litige national en lui-même. Il revient à la juridiction nationale de rendre une décision conforme à l’interprétation fournie par la Cour. Cette interprétation s’impose également aux autres juridictions nationales confrontées à des questions similaires.

          Implications et perspectives

          Cette affaire marque un tournant important dans l’interprétation du RGPD et met en lumière l’équilibre délicat entre les besoins des entreprises et la protection des données personnelles des utilisateurs. La décision finale du Conseil d’État français, attendue avec intérêt, pourrait non seulement clarifier les contours de la minimisation des données, mais également servir de référence pour d’autres secteurs collectant des données sensibles.

          Au-delà du cas spécifique de la SNCF, cette affaire soulève une question plus large : jusqu’où les entreprises peuvent-elles aller dans la personnalisation de leurs services tout en respectant les droits fondamentaux des individus ?

          Alors que la régulation sur les données personnelles continue d’évoluer, les entreprises doivent redoubler d’efforts pour garantir une conformité exemplaire et anticiper les attentes croissantes en matière de respect de la vie privée. Les prochains mois seront décisifs pour savoir si d’autres pratiques similaires seront remises en question et comment cette affaire influencera les stratégies de conformité à travers l’Europe.

          Source : Consulter l'Arrêt de la CJUE

          Benjamin BarattaWitik - Expert RGPD & CSM

          La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

          Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

          Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

          • All rights reserved ©Witik 2025