Le 09 janvier 2025, la Cour de Justice de l’Union Européenne s’est prononcée sur la pertinence de la récolte de la civilité des clients de la SNCF lors de l’achat de titres de transport. S’il ne s’agit pas de la décision finale dans ce litige, la décision de la CJUE fournit des indications importantes sur la pertinence de la récolte de ces données.
Que concerne la décision du 09 janvier 2025 de la CJUE ?
Dans un premier temps, une plainte a été déposée par une association de défense des droits des personnes LGBT à l’encontre de la SNCF, aux fins de juger contraire aux principes du Règlement Général sur la Protection des Données (RGPD) la récolte (obligatoire), par la SNCF, de la civilité de ses clients en ligne.
La Commission Nationale Informatique et Libertés (CNIL), chargée de traiter en premier ressort la réclamation, a cependant considéré que les fraits reprochés à la SNCF ne constituaient pas un manquement aux dispositions du RGPD, et a procédé à la clôture de la réclamation.
L’association a formé un recours en annulation de la décision de la CNIL auprès du Conseil d’Etat. Son objectif est ainsi de faire réexaminer la réclamation.
Avant de se prononcer sur l’annulation, ou la confirmation de la décision de la CNIL, le Conseil d’Etat a cependant souhaité obtenir l’avis de la Cour de Justice de l’Union Européenne (CJUE) sur l’interprétation devant être faite de certains articles du RGPD.
Comprendre l’intervention de la CJUE : qu’est-ce qu’une demande de décision préjudicielle ?
Une demande de décision préjudicielle est une demande visant à obtenir, avant de prendre une décision, des informations ou interprétations sur un texte legislatif ou réglementaire.
Le Conseil d’Etat, plutôt que d’annuler ou de confirmer directement la décision de la CNIL, sursoit à statuer (il ne juge pas) le temps d’obtenir de la part de la CJUE des indications sur la manière dont un ou plusieurs articles du RGPD doivent être interprêtés.
La décision de la CJUE n’est donc pas la décision finale, et bien que l’interprétation du RGPD rendue par la CJUE s’impose au Conseil d’Etat, il ne faut pas se baser sur cette seule interprétation pour anticiper la résolution du litige, le Conseil d’Etat ne se basant pas uniquement sur l’interprétation de la CJUE pour rendre son arrêt.
Le conseil d’Etat a posé deux questions à la CJUE :
- peut-on tenir compte des « usages » en matière de communication pour apprécier la récolte de la civilité au regard du principe de minimisation des données ?
- peux t-on tenir compte de l’existance d’un droit d’opposition au traitement des données pour apprécier la nécessité de leur récolte ?
La récolte de la civilité est-elle conforme au RGPD ?
Pour rappel, le RGPD impose aux organismes de ne récolter que les données strictement nécessaires à l’atteinte des finalités pour lesquelles elles sont traitées. Toute donnée n’étant pas strictement nécessaire à l’atteinte des finalités doit au choix être facultative (si elle peut tout de même participer à l’atteinte d’un objectif, sans toutefois y être strictement nécessaire) ou ne doit pas être récoltée. C’est ce que le RGPD appelle « principe de minimisation des données« .
Article 5 – Principes relatifs au traitement des données à caractère personnel
1. Les données à caractère personnel doivent être : […]
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ; […]
Par ailleurs, le RGPD impose également que le traitement de la donnée soit basé sur au moins 1 (un) des fondements prévus par le RGPD.
Article 6 – Licéité du traitement
1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. […]
Afin de se prononcer sur la pertinence de la récolte de la civilité (Madame ou Monsieur), la CJUE s’est d’abord interessée au fondement de licéité du traitement, et ses finalités.
Ici, deux fondements, celui de l’intérêt légitime poursuivi par le responsable du traitement (la SNCF), et celui du respect du contrat, sont questionnés : en effet la récolte de la civilité n’est pas rendue obligatoire par une obligation légale, une mission de service public ou rendue nécessaire pour la sauvegarde des intérêts vitaux, elle est récoltée sans que le consentement du client ne soit demandé.
La SNCF fait valoir que la civilité est récoltée notamment aux fins de personnaliser les communications à destination des clients (les communications permettant de fournir le titre de transport, de prévenir les clients de modifications ou perturbations concernant leurs trajets, …) ainsi que pour adapter ses services lors du transport nocturne, ou du transport de personnes en situation de handicap.
La CJUE y répond que la personnalisation des communications n’est pas une raison suffisante pour rendre obligatoire la récolte de la civilité, une communication pouvant être personnalisée en faisant usage des seuls nom et prénoms du client, et que la nécessité de la civilité aux fins d’adapter les transports nocturnes ou de personnes handicapées ne justifie pas la récolte obligatoire systématique de la donnée (celle-ci devrait, en principe, n’être récoltée que lors de la vente de titre de transports à des personnes handicapées, ou pour des trajets nocturnes).
La CJUE reconnaît que la récolte de la civilité pourrait être fondée sur l’obligation contractuelle née de l’achat du titre de transport par le client, mais seulement dans les deux cas présentés ci-dessus.
Le gouvernement français et SNCF connect ajoutent par ailleurs que la récolte obligatoire de la civilité peut, sinon, se baser sur leur intérêt légitime à la personnalisation de communications pouvant être assimilées à de la prospection commerciale (dans ce contexte précisément), et que l’appréciation de la nécessité de ce traitement doit tenir compte des usages et conventions sociales propre à chaque Etat.
Si la CJUE laisse le soin au Conseil d’Etat de se prononcer sur l’intérêt légitime de la SNCF à la récolte de la civilité, et admet la possibilité de la récolter dans le cadre d’une personnalisation des communications à visée commerciale, elle répond cependant que les usages et conventions sociales propres aux cultures ne sont pas des éléments de définition ou d’appréciation d’un intérêt légitime prévus par le RGPD.
Sur un dernier pan de la question, la CJUE renvoie la balle au Conseil d’Etat : alors que l’association prétend que la récolte obligatoire de la civilité serait de nature à provoquer des discriminations, la CJUE laisse au Conseil d’Etat le soin de se prononcer sur l’existence de ce risque de discrimination. Si celui-ci était confirmé, l’intérêt légitime des personnes à ne pas risquer d’en faire l’objet se confronterait à l’intérêt légitime de la SNCF et justifierai l’arrêt de la récolte de la civilité.
Les données sont-elles nécessaires si malgré tout une personne peut s’opposer à leur traitement ?
Pour rappel, parmi les différents droits des personnes prévus par le RGPD, le droit d’opposition permet à une personne de s’opposer à ce qu’un organisme traite ses données (certaines ou toutes) pour une ou plusieurs finalités.
Article 21 – Droit d’opposition
1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
La question posée à la CJUE est de savoir si on peut se baser sur l’existence du droit de s’opposer au traitement des données pour justifier de la pertinence ou de la non-nécessité, de la récolte d’une donnée.
La CJUE répond ici que ces droits sont applicables sur un traitement déjà mis en oeuvre, et que tout traitement déjà mis en oeuvre doit en principe déjà respecter le principe de minimisation des données. L’existence du droit d’opposition ou l’impossibilité de respecter ce droit ne sont ainsi pas des critères permettant de déterminer si le principe de minimisation des données est respecté.
Puis-je continuer à récolter la civilité ?
Il convient encore une fois de rappeler que la décision n’est ici pas finale, puisque le Conseil d’Etat doit encore se prononcer sur l’existence, ou non, d’un intérêt légitime de la SNCF à personnaliser, par l’usage de la civilité, ses communications commerciales, ainsi que sur l’existence vraisemblable ou non de discriminations, et d’éventuels autres éléments.
La décision de la CJUE pose plusieurs bases interessantes pour répondre à cette question :
- même la civilité doit être analysée au regard du principe de minimisation des données, et ce en dehors de tout lien avec le nom et le prénom ;
- le traitement de la donnée de civilité doit répondre à une finalité, un but ;
- la donnée pourrait être récoltée sur la base d’un autre fondement, comme le consentement de la personne concernée par exemple.
Oui, il reste possible de récolter la civilité des personnes dans un formulaire.
Pourquoi et comment récolter la civilité ?
La récolte doit respecter plusieurs règles, certaines par ailleurs rappelées dans la décision de la CJUE :
- la civilité doit servir un but, une finalité ;
- la civilité peut être rendue obligatoire dans un formulaire si elle est strictement nécessaire à l’atteinte du but poursuivi ;
- la civilité doit être facultative si elle n’est pas strictement nécessaire ;
- dans l’hypothèse où la finalité du traitement de la civilité poursuit un intérêt légitime du responsable de traitement, ce dernier doit l’indiquer de manière explicite et claire au client / à l’utilisateur au moment de la récolte ;
- dans l’hypothèse où la récolte de la civilité se base sur le consentement de la personne concernée, la personne doit pouvoir refuser la fourniture de l’information.
Puis-je étendre les réponses possibles lorsque je demande la civilité d’une personne ?
Il convient de le rappeler encore une fois, et surtout en raison de l’engouement provoqué par certains médias sur cette décision : NON, il reste FORTEMENT DECONSEILLE de proposer à une personne de répondre qu’elle est non-binaire, autre, transgenre, etc.
Tout d’abord, la décision de la CJUE s’applique à la civilité (appelée dans la décision « identité de genre ») quelles que soient les réponses possibles : il faudra donc chaque fois être capable de démontrer le caractère pertinent et proportionné de l’information, ainsi que les finalités poursuivies par le responsable du traitement.
Mais surtout : l’identité de genre en tant que « Madame » ou « Monsieur », appliquée en France, est une donnée d’état civil refletant une réalité organique, tandis que l’information selon laquelle une personne se sent « non-binaire », « transgenre », etc. est une donnée philosophique ou relative à la vie sexuelle, au terme du RGPD, et donc une donnée dont le traitement est par défaut interdite.
Bien entendue, l’information relative à la manière dont une personne se perçoit et souhaite être perçue peut être traitée, mais selon des conditions très limitatives prévues par le RGPD, à son article 9.
Il reste donc recommandé, pour plus d’inclusivité, de se limiter à rendre non obligatoire la fourniture de l’information, ou à proposer une troisième réponse plus neutre et fournissant moins d’informations : « ne souhaite pas se prononcer ».
Vous souhaitez vérifier la conformité de vos pratiques au RGPD ? Des conseils sur vos activités de traitement de données ? . Contactez-nous pour en savoir plus sur les obligations tirées du RGPD et leur mise en oeuvre.