Le 31 juillet 2025, le Conseil d’État a rendu une décision en matière de protection des données personnelles : la plateforme SNCF Connect ne peut plus imposer à ses clients de renseigner leur civilité (« Madame », « Monsieur ») lors de l’achat de billets ou de cartes de fidélité. Cette obligation est jugée contraire au Règlement général sur la protection des données (RGPD).
🟠 Une décision fondée sur le RGPD
Saisi par l’association Mousse, engagée dans la défense des droits LGBT+, le Conseil d’État a interrogé la Cour de justice de l’Union européenne (CJUE) sur l’interprétation des articles 5, 6 et 21 du RGPD. La CJUE a rappelé que :
- Seules les données strictement nécessaires à l’exécution d’un contrat peuvent être collectées.
- La personnalisation de la communication commerciale ne constitue pas une justification suffisante.
- La possibilité pour l’usager de s’opposer ultérieurement au traitement ne légitime pas une collecte initiale obligatoire.
🟠 Une collecte non indispensable
Le Conseil d’État a constaté que la civilité :
- N’est pas nécessaire à la vente de billets ni au contrôle d’identité prévu par le Code des transports.
- Ne peut être imposée qu’au nom de services spécifiques (ex. : compartiments réservés aux femmes seules), qui ne concernent qu’une minorité de cas.
- Peut être proposée de manière facultative pour répondre aux attentes de certains clients, sans devenir une exigence systématique.
🟠 La présente décision annule celle de la CNIL du 23 mars 2021, qui avait rejeté la réclamation de l’association Mousse. L’État est ainsi condamné à verser 3 000 euros à l’association Mousse. Elle renvoie cette affaire à la CNIL afin qu’elle réexamine cette réclamation en appliquant les critères de la CJUE.
🟠 Conclusion : Ce jugement illustre une tendance jurisprudentielle claire : la minimisation des données devient un principe cardinal dans les relations numériques entre entreprises et consommateurs. Il invite les acteurs du numérique à revoir leurs pratiques de collecte, en privilégiant la transparence et le consentement éclairé.
Pour en savoir plus / sources : |
La cybercriminalité n’est plus un sujet réservé aux experts en informatique, elle touche désormais chacun d’entre nous. Derrière ce terme se cachent des pratiques variées tels que : vols de données, piratages de comptes, escroqueries en ligne qui peuvent avoir des conséquences bien réelles sur notre vie quotidienne.
La Commission nationale de l’informatique et des libertés (CNIL) vient de lancer une consultation publique autour de projets de fiches pratiques et de référentiels destinés au secteur du logement social. Cette initiative, ouverte jusqu’au 15 février 2026, vise à moderniser les outils de conformité utilisés par les organismes HLM et autres acteurs du secteur.
Dans un contexte européen marqué par l’évolution constante des réglementations numériques, le Comité européen de la protection des données (CEPD) poursuit ses efforts pour garantir une meilleure transparence dans le traitement des données personnelles. Deux initiatives récentes illustrent cette dynamique : la publication de lignes directrices sur l’interaction entre le RGPD et le Digital Markets Act (DMA), et le lancement d’une action coordonnée sur la transparence en 2026.
Le 10 juillet 2025, la Commission européenne a publié la version finale du Code de bonnes pratiques pour l’intelligence artificielle à usage général (GPAI), marquant une nouvelle étape dans la régulation de l’intelligence artificielle en Europe. Ce Code, bien que volontaire, s’inscrit dans un contexte de montée en puissance du Règlement sur l’IA (AI Act), dont certaines dispositions, notamment celles concernant les GPAI, sont applicables depuis le 2 août 2025.