Le 31 juillet 2025, le Conseil d’État a rendu une décision en matière de protection des données personnelles : la plateforme SNCF Connect ne peut plus imposer à ses clients de renseigner leur civilité (« Madame », « Monsieur ») lors de l’achat de billets ou de cartes de fidélité. Cette obligation est jugée contraire au Règlement général sur la protection des données (RGPD).
🟠 Une décision fondée sur le RGPD
Saisi par l’association Mousse, engagée dans la défense des droits LGBT+, le Conseil d’État a interrogé la Cour de justice de l’Union européenne (CJUE) sur l’interprétation des articles 5, 6 et 21 du RGPD. La CJUE a rappelé que :
- Seules les données strictement nécessaires à l’exécution d’un contrat peuvent être collectées.
- La personnalisation de la communication commerciale ne constitue pas une justification suffisante.
- La possibilité pour l’usager de s’opposer ultérieurement au traitement ne légitime pas une collecte initiale obligatoire.
🟠 Une collecte non indispensable
Le Conseil d’État a constaté que la civilité :
- N’est pas nécessaire à la vente de billets ni au contrôle d’identité prévu par le Code des transports.
- Ne peut être imposée qu’au nom de services spécifiques (ex. : compartiments réservés aux femmes seules), qui ne concernent qu’une minorité de cas.
- Peut être proposée de manière facultative pour répondre aux attentes de certains clients, sans devenir une exigence systématique.
🟠 La présente décision annule celle de la CNIL du 23 mars 2021, qui avait rejeté la réclamation de l’association Mousse. L’État est ainsi condamné à verser 3 000 euros à l’association Mousse. Elle renvoie cette affaire à la CNIL afin qu’elle réexamine cette réclamation en appliquant les critères de la CJUE.
🟠 Conclusion : Ce jugement illustre une tendance jurisprudentielle claire : la minimisation des données devient un principe cardinal dans les relations numériques entre entreprises et consommateurs. Il invite les acteurs du numérique à revoir leurs pratiques de collecte, en privilégiant la transparence et le consentement éclairé.
Pour en savoir plus / sources : |
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.
Par une décision n° 2025‑1154 Question Prioritaire de Constitutionnalité (QPC) rendue le 8 août 2025, le Conseil constitutionnel a opéré un revirement majeur …
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.