Les données à caractère personnel doivent être traitées de manière adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD art. 5, 1-c). Ce principe, dit de « minimisation des données », implique que les données à caractère personnel collectées soient limitées à ce qui est strictement nécessaire.

En se fondant sur ce principe, une association de défense des LGBTQI+ conteste auprès de la Cnil la pratique de SNCF Connect, qui oblige ses clients à indiquer leur civilité en cochant la mention « Monsieur » ou « Madame » lors de l'achat de leurs titres de transport. Pour l'association, cette mention n'est pas nécessaire pour l'achat d'un billet de train. 

Sa réclamation est rejetée par la Cnil et l'association forme un recours devant le Conseil d'Etat (CE 21-6-2023 n° 452850), qui saisit la CJUE de plusieurs questions préjudicielles.

En premier lieu, le Conseil d'Etat demande à la Cour européenne si le traitement de données relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre (c'est-à-dire permettant d'adresser cette communication aux clients en utilisant les termes « Monsieur » ou « Madame » ), peut être considéré comme nécessaire à l'exécution du contrat de transport ou nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers. 

Rappelons à cet égard que le RGPD prévoit une liste exhaustive et limitative de cas dans lesquels un traitement de données peut être considéré comme licite (RGPD art. 6). Ainsi, en l'absence de consentement de la personne concernée, le traitement est licite s'il est nécessaire, notamment, à l'exécution d'un contrat auquel la personne concernée est partie (art. 6, 1-b) ou aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (art. 6, 1-f). En l'espèce, il semble que seuls ces deux fondements avaient été envisagés pour justifier le traitement litigieux ; c'est donc au regard de l'un puis de l'autre que la Cour apprécie si la collecte des données de genre était nécessaire et compatible avec le respect du principe de minimisation des données.  

La CJUE répond en premier lieu que la collecte de données de genre n'est pas nécessaire à l'exécution du contrat de transport. 

Elle rappelle que, pour qu'il en soit autrement, il faut que ce traitement soit objectivement indispensable afin de permettre l'exécution correcte du contrat conclu entre le responsable de traitement et la personne concernée et, partant, qu'il n'existe pas d'autres solutions praticables et moins intrusives. Le responsable du traitement doit ainsi être en mesure de démontrer en quoi l'objet principal du contrat ne pourrait pas être atteint sans le traitement litigieux. Le fait qu’un tel traitement soit mentionné dans le contrat ou qu’il soit seulement utile à l’exécution de celui-ci est, en soi, dépourvu de pertinence à cet égard. 

En l'espèce, la fourniture d’un service de transport ferroviaire implique certes, en principe, de communiquer avec le client aux fins, notamment, de lui transmettre un titre de transport par voie électronique, de l’informer d’éventuels changements affectant le voyage correspondant ainsi que de permettre des échanges avec le service après-vente, de sorte que cette communication peut faire partie intégrante de la prestation contractuelle. Elle peut nécessiter le respect d’usages et comporter notamment des formules de politesse, aux fins de témoigner du respect de l’entreprise concernée à l’égard de son client et, ce faisant, de sauvegarder l’image de marque de cette entreprise.

Cependant, une personnalisation de cette communication, fondée sur une identité de genre présumée en fonction de la civilité, ne paraît ni objectivement indispensable ni essentielle afin de permettre l’exécution correcte du contrat concerné. L’entreprise pourrait opter, à l’égard des clients qui ne souhaitent pas indiquer leur civilité ou de manière générale, pour une communication reposant sur des formules de politesse génériques, inclusives et sans corrélation avec l’identité de genre présumée des clients. L'avocat général relève que ces formules sont déjà utilisées dans certaines communications de SNCF Connect. L’indication dans le formulaire d’une civilité inexacte serait par ailleurs sans incidence sur la fourniture des services de transport concernés, ce qui tend à confirmer que le traitement de ces données n’est pas objectivement indispensable pour exécuter l’objet principal du contrat. 

Selon la SNCF, le traitement de données en cause avait également pour but de permettre l’adaptation des services de transport dans les trains de nuit comportant des voitures réservées aux personnes ayant une même identité de genre et pour l’assistance aux passagers en situation de handicap. 

La CJUE écarte l'argument, relevant que cette seconde finalité ne peut pas justifier le traitement systématique et généralisé des données relatives à la civilité de l’ensemble des clients de l’entreprise concernée, y compris les clients voyageant de jour ou n’étant pas en situation de handicap. Ce traitement aurait pu se limiter aux données de genre des seuls clients souhaitant voyager en train de nuit ou bénéficier d'une assistance personnalisée. Le traitement mis en place par le transporteur serait ainsi disproportionné et, à ce titre, contraire au principe de minimisation des données. 

En ce qui concerne le fondement tiré de l'intérêt légitime (RGPD art. 6, 1°-f), la CJUE écarte également l'existence d'une nécessité de la collecte des données relatives à la civilité des clients du transporteur. 

Elle rappelle en premier lieu que la mise en œuvre d'un traitement sur ce fondement suppose que soient réunies trois conditions : la poursuite d’un intérêt légitime par le responsable du traitement ou par un tiers ; la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi ; la condition que les intérêts ou les libertés et les droits fondamentaux de la personne concernée ne prévalent pas sur l’intérêt légitime du responsable du traitement ou d’un tiers (par exemple, CJUE 4-7-2023 aff. 252/21 : RJDA 2/24 n° 146).

S'agissant de la condition tirée de la nécessité du traitement pour la réalisation de l'intérêt légitime du responsable de ce traitement, la CJUE rappelle qu'elle doit être examinée conjointement avec le principe de minimisation des données et suppose que cet intérêt légitime ne puisse pas raisonnablement être atteint de manière aussi efficace par d'autres moyens moins attentatoires aux libertés et droits fondamentaux des personnes concernées, un tel traitement devant être opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime. S'il appartient à la juridiction de renvoi d'apprécier ces éléments, la CJUE relève qu'il semble qu’une personnalisation de la communication commerciale puisse se limiter au traitement des noms et prénoms des clients, leur civilité ou leur identité de genre étant une information qui ne paraît pas strictement nécessaire dans ce contexte, notamment à la lumière du principe de minimisation des données.

Ecartant les observations de la SNCF et du Gouvernement français, la Cour européenne juge par ailleurs que le RGPD ne prévoit pas la prise en compte des usages et des conventions sociales propres à chaque État membre aux fins d’apprécier le caractère nécessaire d’un tel traitement. Elle ajoute que l’absence de traitement de données relatives à la civilité ou à l’identité de genre des clients concernés ne paraît pas être de nature à affecter cette diversité. Il serait en effet loisible au responsable du traitement de respecter ces usages et conventions sociales en utilisant, à l’égard des clients qui ne souhaitent pas indiquer leur civilité ou de manière générale, des formules de politesse génériques. 

S'agissant des deux autres conditions, la CJUE relève enfin que : 

• le traitement de données à des fins de prospection, auquel peut être assimilée, dans ce cadre, la personnalisation de la communication, peut être considéré comme étant réalisé pour répondre à un intérêt légitime (RGPD considérant 47, arrêt point 54) ; 

• il incombe au responsable du traitement, au moment où des données à caractère personnel relatives à une personne concernée sont collectées auprès d'elle, de lui indiquer les intérêts légitimes poursuivis, cette disposition imposant d’informer directement les personnes concernées de l’intérêt légitime poursuivi au moment de cette collecte ; 

• pour pondérer les droits et les intérêts opposés en présence, il importe de tenir compte, notamment, des attentes raisonnables de la personne concernée ainsi que de l’étendue du traitement concerné et de l’impact de celui-ci sur cette personne ; à cet égard, après avoir rappelé qu'il incombe à la juridiction de renvoi de trancher ce point, la CJUE relève que le client d’une entreprise de transport n’est pas censé s’attendre à ce que cette entreprise traite des données relatives à sa civilité ou à son identité de genre dans le contexte de l’achat d’un titre de transport, en particulier si ce traitement est réalisé uniquement à des fins de prospection commerciale ; 

• la juridiction de renvoi devra vérifier l’existence d'un risque de discrimination fondée sur l’identité de genre. 

Une personne a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données personnelles la concernant fondé notamment sur l'intérêt légitime du responsable de traitement. Dans ce cas, le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour un tel traitement qui prévalent sur les intérêts ainsi que les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice (RGPD art. 21).

Se référant à ces dispositions, le Conseil d'Etat interroge la CJUE sur le point de savoir si, pour apprécier la nécessité de la collecte obligatoire et du traitement subséquent de données relatives à la civilité des clients, et alors que certains de ceux-ci considèrent qu’ils ne relèvent d’aucune des deux civilités, il y a lieu de tenir compte de ce que ces clients pourraient, après avoir fourni ces données au responsable du traitement en vue de bénéficier du service proposé, exercer leur droit d’opposition à l’utilisation de telles données, en raison de leur situation particulière.

La CJUE répond pas la négative : l’existence éventuelle d’un droit d’opposition suppose l’existence d’un traitement licite. Or, afin d’être licite, un tel traitement doit préalablement satisfaire à la condition de stricte nécessité.

L’existence d’un droit d’opposition ne peut donc pas être prise en considération pour apprécier la licéité et, en particulier, la nécessité du traitement de données à caractère personnel en cause.

Dans cette affaire, SNCF Connect et le Gouvernement français avaient défendu l'idée selon laquelle exclure la collecte de données de genre dans ce cadre reviendrait à appliquer le RGPD dans un contexte qui lui est étranger, dès lors que ce règlement n'aurait pas pour vocation de régler la question du genre ou les usages en matière de communication (conclusions de l'avocat général, point 22). Répondant à cet argument, l'avocat général fait au contraire valoir que « le fait que soient en cause des données d'identité civile et que, ce faisant, transparaissent en creux les débats existants dans les ordres juridiques nationaux quant à la question de la binarité du genre ne saurait conduire à occulter le fait que, en l'espèce, est bien en cause le traitement automatique de données à caractères personnel de ses clients par une société de transport », lequel relève objectivement du RGPD (point 22). 

Même si le dernier mot, dans cette affaire, reviendra au Conseil d'Etat français, on peut d'ores et déjà imaginer que la portée pratique de la décision de la CJUE sera très étendue. La solution dépasse en effet le cadre des formulaires de la SNCF, pour s'appliquer de manière générale à tous les organismes publics et privés de l'Union européenne, dès lors que la collecte de données de genre n'est pas nécessaire au traitement. L'avocat de l'association Mousse indique d'ailleurs sur son site internet être sur le point de soumettre à la Cnil un recours concernant la mention des données de genre dans tous les actes d'état civil et les documents d'identité.

Cette collecte devrait en revanche demeurer licite si elle est facultative ou dans certains cadres (par exemple, pour respecter les règles de parité femmes-hommes, pour organiser la  réservation des seuls trains de nuit ou d'un dispositif d'hébergement d'urgence). 

La solution est-elle applicable lorsque le traitement est fondé sur le consentement de la personne concernée (RGPD art. 6, 1-a) ? 

A cet égard, l'avocat général relève (point 33 de ses conclusions) que la Cour n'a interprété le principe de minimisation des données que dans des situations où le traitement était fondé sur un des motifs prévus en l'absence de consentement de la personne concernée (RGPD art. 6, 1-b à f) et n'a donc pas clairement précisé si ce principe a également vocation à s'appliquer lorsque la personne concernée a consenti au traitement. A défaut, le responsable du traitement pourrait ainsi collecter toutes données pourvu que la personne concernée y consente et sans que le principe de minimisation s'y oppose. 

Pour l'avocat général, cependant, l'application du principe de minimisation dans le cadre d'un traitement fondé sur le consentement est seule compatible avec l'objectif du RGPD. Des arguments textuels militent pour cette solution. Ainsi, le consentement doit être donné pour un « traitement en vue d'une ou plusieurs finalités spécifiques », les données devant être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (art. 5, 1-c). Le principe de minimisation des données devrait donc s'appliquer dans l'hypothèse où le traitement est réalisé avec le consentement de la personne concernée, et conduire à vérifier que les données en cause sont bien limitées à ce qui est nécessaire pour respecter la finalité spécifique du traitement. 

Observons qu'au-delà de la question des données de genre, la décision devrait inciter les responsables de traitement à réfléchir en amont aux données qui sont vraiment nécessaires dans le cadre du traitement mis en place ; par exemple, dans de nombreux cas la date de naissance ne devrait pas pouvoir être exigée.