Une décision prononcée le 9 janvier 2025 par la Cour de justice de l’Union européenne (« CJUE »), dans une affaire concernant la SNCF, risque d’avoir des répercussions importantes s’agissant de la collecte et du traitement des données à caractère personnel des clients et prospects.
* *
*
Une demande de question préjudicielle a été présentée à la CJUE dans le cadre d’un litige opposant Mousse, une association, à la Commission nationale de l’informatique et des libertés (« Cnil ») au sujet du rejet, par cette dernière, de la réclamation introduite par Mousse quant au traitement, par la société SNCF Connect, de données relatives à la civilité de ses clients lors de la vente en ligne de titres de transport.
En l’espèce, les clients de la SNCF étaient tenus d’indiquer leur civilité (cf. case à cocher obligatoire « Monsieur » ou « Madame ») lors de l’achat de titres de transport en ligne et ce pour permettre à la SNCF de s’adresser de manière « personnalisée » à ses clients.
Par une décision du 23 mars 2021, la Cnil n’a constaté aucune non-conformité au regard des exigences applicables en matière de protection des données à caractère personnel et a clôturé sa procédure d’examen de la réclamation de l’association Mousse. La Cnil a notamment considéré que la collecte de la civilité des clients était nécessaire à l’exécution du contrat de fourniture de transports opérés par la SNCF et que le fait de s’adresser aux clients de manière personnalisée, en utilisant la civilité de ces derniers, correspondrait aux usages admis dans le domaine des communications commerciales, civiles et administratives.
Cette décision de la Cnil a fait l’objet d’un recours en annulation devant le Conseil d’Etat, qui a décidé d’interroger la CJUE sur le point de savoir :
- si la collecte et le traitement de la civilité des clients à des fins de personnalisation des communications commerciales sont conformes au principe dit de « minimisation des données » (cf. article 5, 1, c) du RGPD) ;
- si cette collecte et ce traitement peuvent-être justifiés dès lors que les personnes concernées disposent d’un droit d’opposition.
Dans son arrêt du 9 janvier 2025 (aff. C‑394/23), la CJUE a considéré que la collecte et le traitement, à titre obligatoire, de la civilité des clients pour personnaliser les communications commerciales n’étaient pas justifiés, et ce pour les raisons présentées ci-après :
1. Sur le respect du principe de « minimisation des données »
A titre liminaire, et pour mémoire, en vertu du principe dit de « minimisation » des données (cf. article 5, c) du RGPD), un responsable de traitement ne peut collecter et traiter que des données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Pour apprécier si le traitement de données à caractère personnel est justifié et nécessaire, la CJUE rappelle que l’analyse doit être réalisée au regard de la base juridique du traitement (cf. article 6 du RGPD). En l’occurrence, elle considère que :
a) la collecte et le traitement de la civilité des clients ne sont pas nécessaires à la fourniture du service de transport ferroviaire et pour adresser des communications commerciales faisant partie intégrante de la prestation contractuelle concernée (à savoir les communications aux fins, notamment, de transmettre aux clients un titre de transport par voie électronique, de les informer d’éventuels changements affectant le voyage correspondant ainsi que de permettre des échanges avec le service après-vente).
La CJUE précise qu’ « une personnalisation de la communication commerciale, fondée sur une identité de genre présumée en fonction de la civilité, ne paraît ni objectivement indispensable ni essentielle afin de permettre l’exécution correcte du contrat concerné », la civilité étant sans incidence sur l’exécution du contrat.
Elle estime qu’ « une solution praticable et moins intrusive semble exister, dès lors que l’entreprise concernée pourrait opter, à l’égard des clients qui ne souhaitent pas indiquer leur civilité ou de manière générale, pour une communication reposant sur des formules de politesse génériques, inclusives et sans corrélation avec l’identité de genre présumée des clients ».
En cas d’adaptation des services de transport de la SNCF pour les trains de nuit, comportant des voitures réservées aux personnes ayant une même identité de genre, et pour l’assistance aux passagers en situation de handicap, la CJUE estime qu’il conviendrait de limiter le traitement de données relatives à l’identité de genre aux seuls clients qui souhaitent voyager en train de nuit ou bénéficier d’une assistance personnalisée en raison d’un handicap.
b) la collecte et le traitement de la civilité des clients ne sont pas nécessaires aux fins des intérêts légitimes poursuivies par le responsable de traitement dans le cadre de la réalisation d’opérations de prospection commerciale (la CJUE ne se prononçant toutefois pas sur la conformité de cette base juridique et renvoyant à la juridiction nationale sur ce point).
Pour la CJUE, « il semble qu’une personnalisation de la communication commerciale puisse se limiter au traitement des noms et prénoms des clients, leur civilité et/ou leur identité de genre étant une information qui ne paraît pas strictement nécessaire dans ce contexte, notamment à la lumière du principe de minimisation des données ».
Elle estime qu’il est possible de privilégier une alternative générique, plus neutre et inclusive (c’est-à-dire sans corrélation avec l’identité de genre) et d’adresser des messages de prospection commerciale reposant sur des formules de politesse génériques (a minima pour les clients qui ne souhaitent pas indiquer leur civilité).
2. Sur la prise en considération de l’existence d’un droit d’opposition
Pour la CJUE, l’existence d’un droit d’opposition ne saurait être prise en considération aux fins de l’appréciation de la licéité et, en particulier, de la nécessité du traitement de données à caractère personnel.
Partant, le fait que les clients puissent s’opposer au traitement de leur civilité dans le cadre des communications commerciales adressées par la SNCF est inopérant.
* *
*
L’apport de cette jurisprudence ne se limite pas à la seule situation de la SNCF ou au secteur du transport ferroviaire mais peut être décliné à toute entreprise dans le cadre des communications qu’elle adresse à ses clients (voire à ses prospects le cas échéant), et plus généralement dans le cadre des relations contractuelles et/ou commerciales avec ces derniers.
Il convient donc de suivre avec attention les éventuelles évolutions de la position de la Cnil sur la question de la collecte et du traitement de la civilité qui pourraient résulter de cette décision de la CJUE.
* *
*
En pratique, il est donc recommandé de procéder, au regard de cette décision de la CJUE, à une revue complète des différents formulaires de collecte utilisés permettant de collecter des données à caractère personnel de clients ou prospects (ex : formulaire de contact, formulaire d’inscription à un compte en ligne, formulaire de demande de renseignement, formulaire à remplir dans le cadre de la souscription d’un contrat,…), et ce afin de vérifier si la collecte de la civilité des personnes concernées y est prévue et, dans l’affirmative, de s’assurer de la justification de la stricte nécessité de recueillir cette information. A défaut, alors une telle donnée ne devrait plus être collectée, et les formulaires devraient alors être modifiés en ce sens (de telles modifications devant bien entendu être répercutées dans les outils utilisés pour le traitement des données, tels que CRM, base de données clients / prospects, etc.).
De manière générale, et outre les vérifications susvisées, la nécessité de collecter et de traiter la civilité des personnes concernées, quelles qu’elles soient et quelle que soit la finalité de traitement envisagée, doit être vérifiée et documentée au cas par cas, et ce afin qu’une telle pratique ne soit mise en œuvre que conformément au principe de minimisation des données tel qu’interprété par la CJUE.
Dans l’hypothèse où une activité justifierait de la nécessité de traiter une telle information, alors la collecte de la civilité devrait être limitée aux seuls cas spécifiques dans lesquels la collecte de cette information peut être considérée comme strictement nécessaire et justifiée.
* *
*
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques en matière de données à caractère personnel (ex: revue des documents contractuels, analyse de conformité, audit des formulaires de collecte de données, sensibilisation des utilisateurs,…).
Par AGIL’IT – Pôle IT, Data & Cyber
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate manager
