CJUE – Arrêt C-394/23
RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport
Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une personnalisation de la communication commerciale. L’association Mousse a contesté auprès de l’autorité française de protection des données à caractère personnel (CNIL) la pratique de l’entreprise ferroviaire française SNCF Connect qui oblige systématiquement ses clients à indiquer leur civilité (« Monsieur » ou « Madame ») lors de l’achat de titres de transport en ligne. Cette association estime que cette obligation viole le règlement général sur la protection des données (RGPD), notamment, au regard du principe de minimisation des données, car la mention de la civilité, qui correspond à une identité de genre, ne semble pas nécessaire pour l’achat d’un titre de transport ferroviaire. En 2021, la CNIL a décidé de rejeter cette réclamation, considérant que cette pratique ne constituait pas un manquement au RGPD.
La Cour rappelle que, pour qu’un traitement de données puisse être considéré comme nécessaire à l’exécution d’un contrat, ce traitement doit être objectivement indispensable afin de permettre l’exécution correcte de ce contrat. Dans ce contexte, la Cour considère qu’une personnalisation de la communication commerciale fondée sur une identité de genre présumée en fonction de la civilité du client ne paraît pas objectivement indispensable afin de permettre l’exécution correcte d’un contrat de transport ferroviaire. En effet, l’entreprise ferroviaire pourrait opter pour une communication reposant sur des formules de politesse génériques, inclusives et sans corrélation avec l’identité de genre présumée des clients, ce qui constituerait une solution praticable et moins intrusive.
La Cour précise que le traitement de données relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire :
i) lorsque l’intérêt légitime poursuivi n’a pas été indiqué à ces clients lors de la collecte de ces données,
ii) lorsque le traitement n’est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime, ou
iii) lorsque, au regard de l’ensemble des circonstances pertinentes, les libertés et les droits fondamentaux de ces clients sont susceptibles de prévaloir sur cet intérêt légitime, notamment, en raison d’un risque de discrimination fondée sur l’identité de genre.
Disponible sur: curia.europa.eu
L’arrêt complet est également disponible.