La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.
🟠 1 – Un contentieux porté devant la CJUE
Tout est parti d’une plainte déposée par une association de défense des droits numériques auprès de la CNIL. Elle estimait que la collecte systématique de la civilité par SNCF Connect était excessive et contraire au RGPD. La CNIL, dans une première décision, avait pourtant validé cette pratique, considérant qu’elle était justifiée.
Face à cette réponse, l’association a décidé de porter l’affaire devant le Conseil d’État. Ce dernier, confronté à une question d’interprétation du RGPD, a saisi la CJUE afin d’obtenir un éclairage sur la légalité d’une telle collecte de données.
🟠 2 – Une pratique contraire au RGPD
Le 9 janvier 2025, la CJUE a rendu sa décision : la collecte systématique de la civilité des clients par une entreprise de transport, dans le but de personnaliser la communication commerciale, n’est ni indispensable à l’exécution d’un contrat d’achat de billet, ni justifiée par un intérêt légitime du responsable du traitement.
Autrement dit, exiger des clients qu’ils renseignent leur civilité lors d’un achat de billet en ligne n’a pas de fondement juridique valable si cette information n’est pas strictement nécessaire au service rendu.
🟠 3 – Le principe de minimisation des données rappelées à l’ordre
Cette décision s’appuie sur un principe fondamental du RGPD : la minimisation des données. Selon ce principe, une entreprise ne peut collecter que les informations strictement nécessaires aux finalités qu’elle poursuit.
Or, dans le cas de SNCF Connect, la CJUE a estimé que la finalité principale du service – permettre aux usagers d’acheter un billet de train – pouvait parfaitement être atteinte sans avoir à connaître la civilité de ses clients. Le traitement de cette donnée, effectué de manière systématique et généralisée, était donc disproportionné et contraire aux exigences du RGPD.
🟠 4 – Quelles conséquences pour les entreprises ?
Cette décision constitue un signal fort pour l’ensemble des entreprises traitant des données personnelles. Elle leur rappelle l’impératif de respecter les principes fondamentaux du RGPD, en particulier la minimisation des données et la proportionnalité du traitement.
Les entreprises doivent ainsi s’assurer que chaque donnée collectée répond à un besoin réel et légitime. Une collecte de données qui ne repose ni sur une nécessité contractuelle ni sur un intérêt légitime clairement établi risque d’être sanctionnée par les autorités de protection des données.
Enfin, la transparence reste une obligation incontournable : les responsables de traitement doivent informer les utilisateurs de manière claire et complète sur l’utilisation de leurs données. À défaut, ils s’exposent à des sanctions et à une remise en cause de leurs pratiques.
🟠 Conclusion
L’arrêt de la CJUE sur la collecte de la civilité par SNCF Connect illustre l’exigence croissante de conformité au RGPD dans le domaine de la gestion des données personnelles. Pour les entreprises, cette décision impose une vigilance accrue quant aux informations demandées à leurs clients. Une collecte excessive ou injustifiée de données peut non seulement être illégale, mais aussi nuire à leur image et à la confiance de leurs utilisateurs.
Pour en savoir plus / sources :
https://next-law.fr/2025/01/28/minimisation-des-donnees-la-cjue-contre-la-sncf/
https://justice.pappers.fr/decision/c5757d44a23d590e222bfcccafa44e82c3f7ff71
Un an après avoir lancé une ambitieuse stratégie de démocratisation de l’intelligence artificielle (IA), le Barreau de Paris franchit une nouvelle étape décisive avec la publication de son premier Livre blanc dédié à cette technologie. Ce document, pensé comme un outil d’accompagnement pour les avocats, marque une volonté claire : intégrer l’IA dans la pratique juridique tout en respectant les exigences déontologiques et réglementaires.
Dans un contexte européen marqué par l’évolution constante des réglementations numériques, le Comité européen de la protection des données (CEPD) poursuit ses efforts pour garantir une meilleure transparence dans le traitement des données personnelles. Deux initiatives récentes illustrent cette dynamique : la publication de lignes directrices sur l’interaction entre le RGPD et le Digital Markets Act (DMA), et le lancement d’une action coordonnée sur la transparence en 2026.
Le 10 juillet 2025, la Commission européenne a publié la version finale du Code de bonnes pratiques pour l’intelligence artificielle à usage général (GPAI), marquant une nouvelle étape dans la régulation de l’intelligence artificielle en Europe. Ce Code, bien que volontaire, s’inscrit dans un contexte de montée en puissance du Règlement sur l’IA (AI Act), dont certaines dispositions, notamment celles concernant les GPAI, sont applicables depuis le 2 août 2025.
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.