Affaire C‑394/23 – MOUSSE contre Commission nationale de l’informatique et des libertés (CNIL) e.a. [demande de décision préjudicielle, introduite par le Conseil d’État (France)]
Arrêt de la Cour (première chambre) du 9 janvier 2025
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5, paragraphe 1, sous c) – Minimisation des données – Article 6, paragraphe 1 – Licéité du traitement – Données relatives à la civilité et à l’identité de genre – Vente en ligne de titres de transport – Article 21 – Droit d’opposition »
Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Principe de minimisation des données – Traitement nécessaire à l’exécution d’un contrat liant la personne concernée – Notion – Collecte, par une entreprise de transport, des données relatives à la civilité et à l’identité de genre de ses clients aux fins de la personnalisation de la communication commerciale – Exclusion
[Règlement du Parlement européen et du Conseil 2016/679, art. 5, § 1, c), et 6, § 1, 1er al., b)]
(voir points 22-29, 33, 34, 36-40, 42, 43, 64, disp. 1)
Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Principe de minimisation des données – Traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers – Notion – Collecte, par une entreprise de transport, des données relatives à la civilité et à l’identité de genre de ses clients aux fins de la personnalisation de la communication commerciale – Exclusion – Conditions
[Règlement du Parlement européen et du Conseil 2016/679, art. 6, § 1, 1er al., f)]
(voir points 22-29, 45-50, 52-64, disp. 1)
Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Champ d’application – Notion de traitement de données à caractère personnel – Collecte, par une entreprise de transport, des données relatives à la civilité et à l’identité de genre de ses clients – Inclusion
(Règlement du Parlement européen et du Conseil 2016/679, art. 2, § 1, et 4, points 1 et 2)
(voir point 30)
Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers – Critères d’appréciation – Droit d’opposition de la personne concernée par le traitement – Exclusion
[Règlement du Parlement européen et du Conseil 2016/679, art. 6, § 1, 1er al., f), et 21]
(voir points 66-70, disp. 2)
Résumé
.Saisie à titre préjudiciel par le Conseil d’État (France), la Cour précise la portée des principes de licéité et de minimisation des données, prévus par le RGPD ( 1 ), dans le contexte du traitement par une entreprise de transport des données relatives à la civilité de ses clients, aux fins de la personnalisation de sa communication commerciale.
SNCF Connect commercialise des titres de transport ferroviaire par l’intermédiaire de son site Internet et d’applications en ligne. Ses clients sont tenus d’indiquer leur civilité, en cochant la mention « Monsieur » ou « Madame », lorsqu’ils achètent ces titres de transport en ligne.
L’association Mousse a saisi la Commission nationale de l’informatique et des libertés (CNIL) (France) d’une réclamation contre SNCF Connect, au motif que les conditions de collecte et d’enregistrement des données afférentes à la civilité des clients de cette dernière n’étaient pas conformes aux exigences du RGPD. Plus précisément, Mousse alléguait que la collecte de ces données par SNCF Connect méconnaissait les principes de licéité et de minimisation des données, ainsi que les obligations de transparence et d’information découlant de ce même règlement ( 2 ).
Par une décision du 23 mars 2021, la CNIL a décidé que le traitement des données opéré par SNCF Connect était licite, au motif qu’il était nécessaire à l’exécution du contrat de fourniture de services de transport concerné ( 3 ) et conforme au principe de minimisation de données.
Le 21 mai 2021, Mousse a saisi la juridiction de renvoi d’un recours en annulation contre la décision de la CNIL, en alléguant que l’obligation faite aux clients de la SNCF Connect d’indiquer leur civilité ne serait pas nécessaire à l’exécution d’un contrat de fourniture de services de transport, qu’elle serait de nature à porter atteinte notamment au droit au respect de la vie privée et qu’elle engendrerait un risque de discrimination fondée sur l’identité de genre.
Dans ce contexte, la juridiction de renvoi se demande si, afin d’apprécier la nécessité de la collecte des données relatives à la civilité des clients effectuée par SNCF Connect, il peut être tenu compte, d’une part, des usages admis dans les communications commerciales, civiles et administratives et, d’autre part, du fait que ces clients pourraient, après avoir fourni ces données au responsable du traitement, exercer leur droit d’opposition à l’utilisation de telles données, pour des raisons tenant à leur situation particulière ( 4 ).
Appréciation de la Cour
En premier lieu, la Cour examine si un traitement des données personnelles relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale, peut être considéré comme étant nécessaire à l’exécution d’un contrat ( 5 ) ou aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers ( 6 ).
S’agissant, d’une part, de la nécessité d’un tel traitement à l’exécution d’un contrat ( 7 ), la Cour précise que celui-ci doit être objectivement indispensable pour réaliser une finalité faisant partie intégrante de l’exécution du contrat. Plus précisément, un tel traitement doit être essentiel à l’exécution correcte du contrat conclu entre le responsable du traitement et la personne concernée et, partant, il ne doit pas exister d’autres solutions praticables et moins intrusives.
En l’occurrence, étant donné que l’objet principal du contrat de transport en cause est la fourniture aux clients d’un service de transport ferroviaire et que le traitement de données en cause au principal a pour finalité la personnalisation de la communication commerciale à l’égard du client, cette communication peut constituer une finalité faisant partie intégrante de l’exécution du contrat. En effet, la fourniture d’un tel service implique, en principe, de communiquer avec le client aux fins, notamment, de lui transmettre un titre de transport par voie électronique, de l’informer d’éventuels changements affectant le voyage correspondant ainsi que de permettre des échanges avec le service après-vente. Cette communication peut nécessiter le respect d’usages et comporter notamment des formules de politesse, aux fins de témoigner du respect de l’entreprise concernée à l’égard de son client.
Cependant, la Cour souligne qu’une telle communication ne doit pas nécessairement être personnalisée en fonction de l’identité de genre du client concerné. En l’occurrence, s’agissant des services en cause au principal, une personnalisation de la communication commerciale, fondée sur une identité de genre présumée en fonction de la civilité, ne paraît ni objectivement indispensable ni essentielle afin de permettre l’exécution correcte d’un contrat et, partant, ne peut pas être considérée comme étant nécessaire à son exécution. En effet, une solution praticable et moins intrusive semble exister, dès lors que SNCF Connect pourrait opter, à l’égard des clients qui ne souhaitent pas indiquer leur civilité ou de manière générale, pour une communication reposant sur des formules de politesse génériques, inclusives et sans corrélation avec l’identité de genre présumée des clients.
S’agissant, d’autre part, de la nécessité d’un traitement des données personnelles relatives à la civilité des clients d’une entreprise de transport aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers ( 8 ), la Cour rappelle tout d’abord les trois conditions à remplir pour qu’un tel traitement soit licite.
S’agissant, premièrement, de la condition relative à la poursuite d’un intérêt légitime par le responsable du traitement ou par un tiers, la Cour souligne qu’il incombe au responsable du traitement d’indiquer à la personne dont il collecte les données à caractère personnel les intérêts légitimes qu’il poursuit lors du traitement en cause. Un tel intérêt pourrait, par exemple, exister dans le cas d’une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement.
En l’occurrence, la Cour indique qu’il revient à la juridiction de renvoi de vérifier si un intérêt légitime a été indiqué par SNCF Connect à ses clients ( 9 ) et précise qu’un traitement des données à caractère personnel à des fins de prospection commerciale peut répondre à un intérêt légitime. En particulier, dans un tel contexte, la personnalisation de la publicité peut être assimilée à la prospection commerciale.
En ce qui concerne, deuxièmement, la condition relative à la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi, la Cour explique que celle-ci doit être examinée conjointement avec le principe de minimisation des données ( 10 ). Ainsi, il incombe à la juridiction nationale de vérifier si l’intérêt légitime poursuivi pour un traitement des données ne peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux libertés et aux droits fondamentaux des personnes concernées. En l’espèce, il semble qu’une personnalisation de la communication commerciale puisse se limiter au traitement des noms et prénoms des clients, leur civilité et/ou leur identité de genre n’étant pas une information strictement nécessaire dans ce contexte, notamment à la lumière du principe de minimisation des données. Dans ce contexte, la Cour indique que, bien que le RGPD ( 11 ) ne prévoie pas la prise en compte des usages et des conventions sociales propres à chaque État membre aux fins d’apprécier le caractère nécessaire d’un traitement des données à caractère personnel, il est loisible au responsable du traitement de respecter ces usages et conventions sociales. En effet, ce responsable pourrait utiliser à l’égard des clients qui ne souhaitent pas indiquer leur civilité ou de manière générale, des formules de politesse génériques, inclusives et sans corrélation avec l’identité de genre de ces clients.
S’agissant, troisièmement, de la condition tenant à ce que les intérêts ou les libertés et les droits fondamentaux de la personne concernée par la protection des données ne prévalent pas sur l’intérêt légitime du responsable du traitement ou d’un tiers, la Cour estime que celle-ci implique une pondération des droits et des intérêts opposés en présence. Il revient à la juridiction nationale concernée d’effectuer cette pondération en tenant compte, notamment, des attentes raisonnables de la personne concernée, de l’étendue du traitement concerné et de l’impact de celui-ci sur cette personne. En l’occurrence, sous réserve de vérification par la juridiction de renvoi, le client d’une entreprise de transport n’est pas censé s’attendre à ce que cette entreprise traite des données relatives à sa civilité ou à son identité de genre dans le contexte de l’achat d’un titre de transport. Tel serait le cas, en particulier, si ce traitement était réalisé uniquement à des fins de prospection commerciale. Toutefois, la Cour précise que l’intérêt légitime relatif à la prospection commerciale ne saurait, en tout état de cause, prévaloir en cas de risque d’atteinte aux libertés et droits fondamentaux de la personne concernée. Il appartient ainsi à la juridiction nationale de vérifier l’existence du risque de discrimination fondée sur l’identité de genre, allégué par Mousse, notamment à la lumière de la directive 2004/113 ( 12 ). La Cour ajoute, à cet égard, que le champ d’application de cette directive ne saurait être réduit aux seules discriminations découlant de l’appartenance à l’un ou à l’autre genre. Compte tenu de son objet et de la nature des droits qu’elle vise à protéger, ladite directive a également vocation à s’appliquer aux discriminations qui trouvent leur origine dans le changement d’identité de genre d’une personne.
Au vu de ce qui précède, la Cour conclut que le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers, lorsque l’intérêt légitime poursuivi n’a pas été indiqué par l’entreprise à ces clients lors de la collecte de ces données, lorsque le traitement n’est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime ou encore lorsqu’au regard de l’ensemble des circonstances pertinentes, les libertés et droits fondamentaux des clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d’un risque de discrimination fondée sur l’identité de genre.
En second lieu, la Cour examine si, pour apprécier la nécessité d’un traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers, il y a lieu de prendre en considération l’existence éventuelle d’un droit d’opposition de la personne concernée ( 13 ). En effet, l’existence éventuelle d’un droit d’opposition suppose l’existence d’un traitement licite, fondé en l’occurrence sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers. Or, afin d’être licite, un tel traitement se doit préalablement de satisfaire à la condition de stricte nécessité pour l’intérêt légitime poursuivi. Il résulte ainsi des termes et de l’économie des dispositions du RGPD que l’existence d’un droit d’opposition ne saurait être prise en considération aux fins de l’appréciation de la licéité et, en particulier, de la nécessité d’un traitement de données à caractère personnel fondé sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.
( 1 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), article 5, paragraphe 1, sous a) et c).
( 2 ) Article 13 du RGPD.
( 3 ) Article 6, paragraphe 1, premier alinéa, sous b), du RGPD.
( 4 ) Article 21 du RGPD.
( 5 ) Article 6, paragraphe 1, premier alinéa, sous b), du RGPD.
( 6 ) Article 6, paragraphe 1, premier alinéa, sous f), du RGPD.
( 7 ) Au titre de l’article 6, paragraphe 1, premier alinéa, sous b), du RGPD, un traitement de données à caractère personnel est licite s’il est « nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci »
( 8 ) Au titre de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, un traitement de données à caractère personnel est licite s’il est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ».
( 9 ) En vertu de l’article 13, paragraphe 1, sous d), du RGPD, le responsable du traitement des données à caractère personnel a l’obligation d’informer directement les personnes concernées de l’intérêt légitime poursuivi au moment de la collecte des données à caractère personnel.
( 10 ) En vertu de l’article 13, paragraphe 1, sous d), du RGPD, le responsable du traitement des données à caractère personnel a l’obligation d’informer directement les personnes concernées de l’intérêt légitime poursuivi au moment de la collecte des données à caractère personnel.
( 11 ) Article 6, paragraphe 1, premier alinéa, sous f), du RGPD.
( 12 ) Directive 2004/113/CE du Conseil, du 13 décembre 2004, mettant en œuvre le principe de l’égalité de traitement entre les femmes et les hommes dans l’accès à des biens et services et la fourniture de biens et services (JO 2004, L 373, p. 37).
( 13 ) Au titre de l’article 21 du RGPD, la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, premier alinéa, sous e) et f), du RGPD, y compris un profilage fondé sur ces dispositions.
Justice Européenne : égalité et non discrimination 