Le 31 juillet 2025, le Conseil d’État a rendu une décision en matière de protection des données personnelles : la plateforme SNCF Connect ne peut plus imposer à ses clients de renseigner leur civilité (« Madame », « Monsieur ») lors de l’achat de billets ou de cartes de fidélité. Cette obligation est jugée contraire au Règlement général sur la protection des données (RGPD).
🟠 Une décision fondée sur le RGPD
Saisi par l’association Mousse, engagée dans la défense des droits LGBT+, le Conseil d’État a interrogé la Cour de justice de l’Union européenne (CJUE) sur l’interprétation des articles 5, 6 et 21 du RGPD. La CJUE a rappelé que :
- Seules les données strictement nécessaires à l’exécution d’un contrat peuvent être collectées.
- La personnalisation de la communication commerciale ne constitue pas une justification suffisante.
- La possibilité pour l’usager de s’opposer ultérieurement au traitement ne légitime pas une collecte initiale obligatoire.
🟠 Une collecte non indispensable
Le Conseil d’État a constaté que la civilité :
- N’est pas nécessaire à la vente de billets ni au contrôle d’identité prévu par le Code des transports.
- Ne peut être imposée qu’au nom de services spécifiques (ex. : compartiments réservés aux femmes seules), qui ne concernent qu’une minorité de cas.
- Peut être proposée de manière facultative pour répondre aux attentes de certains clients, sans devenir une exigence systématique.
🟠 La présente décision annule celle de la CNIL du 23 mars 2021, qui avait rejeté la réclamation de l’association Mousse. L’État est ainsi condamné à verser 3 000 euros à l’association Mousse. Elle renvoie cette affaire à la CNIL afin qu’elle réexamine cette réclamation en appliquant les critères de la CJUE.
🟠 Conclusion : Ce jugement illustre une tendance jurisprudentielle claire : la minimisation des données devient un principe cardinal dans les relations numériques entre entreprises et consommateurs. Il invite les acteurs du numérique à revoir leurs pratiques de collecte, en privilégiant la transparence et le consentement éclairé.
Pour en savoir plus / sources : |
Un arrêt de la cour d’appel de Nancy du 2 juillet 2025 (n° 23/01546) marque un tournant : le RGPD ne concerne plus seulement la “vie privée numérique”. Il s’invite désormais dans les procédures collectives et, plus largement, dans le droit économique, en requalifiant certaines informations financières en données personnelles.
Le Comité européen de la protection des données (CEPD) a récemment tenu une réunion importante, les 2 et 3 décembre 2025, pour discuter de l’avenir du cadre juridique européen en matière de protection des données. À l’ordre du jour figuraient l’adoption de nouvelles lignes directrices sur la création de comptes en ligne ainsi que des bonnes pratiques sur son fonctionnement.
La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment prononcé une sanction de 1,5 million d’euros contre American Express Carte France. Cette décision illustre la vigilance accrue de l’autorité française en matière de protection des données personnelles et de respect du cadre légal sur les traceurs numériques.
La Commission nationale de l’informatique et des libertés (CNIL) poursuit son action de contrôle sur le respect des droits numériques des citoyens. Le 20 novembre 2025, elle a infligé une amende de 750 000 euros à la société Les Publications Condé Nast, éditrice du magazine Vanity Fair en France, pour non-conformité aux règles relatives aux cookies. Cette décision illustre la vigilance accrue de l’autorité française face aux pratiques en ligne qui menacent la transparence et la protection des données personnelles.