Dans le cadre de la procédure d’une question préjudicielle, il a été demandé à la CJUE de se pencher sur les conditions nécessaires au traitement de données relatives à la civilité ainsi qu’à l’identité de genre, en particulier lorsque celles-ci sont utilisées à des fins de personnalisation des communications commerciales. L’affaire a été portée devant la CNIL par l’association Mousse, qui reprochait à SNCF Connect la pratique consistant à obliger les clients à indiquer leur civilité, « Madame » ou « Monsieur », - sans autre alternative - lors de l’achat de billets en ligne.
Cette dernière a fait valoir d’une part, que ce traitement contrevenait au principe de licéité, considérant que ni l’exécution d’un contrat (Art. 6 (1) (b) RGPD) ni l’intérêt légitime du responsable de traitement (Art. 6 (1) (f) RGPD), ne pouvait justifier le traitement, et, d’autre part, que le principe de minimisation des données (Art. 5 (1) (c) RGPD) avait été méconnu.
Après un premier rejet de la plainte en 2021, l’association Mousse a formé un recours en annulation auprès du Conseil d’Etat, qui a lui-même sursis à statuer pour s’adresser à la cour.
Dans le cadre du présent article, nous reviendrons dans un premier temps sur les conditions posées par CJUE pour le traitement de données relatives à la civilité et à l’identité de genre (I) avant de fournir, aux responsables de traitements et/ou sous-traitants quelques pistes et conseils pour le traitement de telles données (II).
I) Interprétation restrictive du principe de licéité du traitement.
Dans son arrêt, la CJUE, dans le souci de protéger au mieux les droits et intérêts des personnes concernées, rappelle l’impérieuse nécessité de respecter le principe de minimisation des données (B) et de justifier la licéité du traitement par l’une des bases légales prévues à l’article 6 du RGPD (A).
A) Evaluation minutieuse de l’applicabilité de l’une des bases légales de traitement.
Pour être licite, un traitement de données doit pouvoir reposer sur l’une des bases légales listées à l’article 6 (1) RGPD.
Les juges du Luxembourg rappellent tout d’abord que la liste des bases de traitement est exhaustive et limitative [2]. Il s’agit notamment des cas dans lesquels le traitement des données est nécessaire à l’exécution d’un contrat (Art. 6 (1) (b) RGPD) ou à la sauvegarde d’intérêts légitimes du responsable de traitement ou d’un tiers (Art. 6 (1) (f) RGPD). Ainsi, un traitement contreviendrait de facto aux dispositions du RGPD et serait considéré comme illicite s’il ne peut être justifié par l’une des bases légales prévues.
Ainsi, considère-t-elle dans un premier temps que la collecte de la civilité n’est point nécessaire à l’exécution du contrat de service de transport ferroviaire. En effet, pour l’exécution d’un tel contrat, seules des données d’identification tel le nom ou le prénom (à la condition qu’il s’agisse de billets nominatifs) et des données bancaires (si le billet est acheté par voie dématérialisée) semblent être nécessaires. Le traitement de la civilité, ou par extension, de l’identité de genre du client, n’étant pas, a priori, un élément essentiel pour l’exécution du contrat de transport.
Pour déterminer le caractère essentiel du traitement, la cour rappelle que ce dernier doit être objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle [3]. Aussi, un traitement est-il à considérer comme étant indispensable si l’objet principal de ce contrat ne pourrait être atteint en l’absence dudit traitement.
A contrario, si le traitement n’est, bien qu’utile, pas objectivement indispensable pour l’exécution de l’obligation contractuelle, il ne peut être justifié sur la base de l’article 6 (1) (b) RGPD. La cour valide ici l’approche adoptée par le comité européen de la protection des données, qui avait lui, proposé de faire une distinction entre d’une part, les activités de traitement nécessaires à l’exécution d’un contrat, et, d’autre part, les clauses subordonnant le service à certaines activités de traitement qui ne sont en fait pas nécessaires à l’exécution du contrat [4].
Dans un deuxième temps, la cour nous éclaire sur les conditions à respecter lorsque le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (Art. 6 (1) (f) RGPD).
Elle interprète ainsi les trois conditions cumulatives (existence d’un intérêt, nécessité du traitement pour la réalisation de l’intérêt poursuivi et prévalence des intérêts du responsable de traitement ou du tiers sur les intérêts ou les libertés et les droits fondamentaux de la personne concernée) à la lumière des faits et des circonstances de l’affaire qui lui ont été soumis.
La cour indique tout d’abord que la prospection commerciale peut nécessiter une personnalisation de la communication [5] et que par conséquent, un tel intérêt peut être poursuivi par le responsable de traitement. Elle considère toutefois que cet intérêt peut ne pas être légitime si le principe de minimisation des données n’est pas respecté. Ainsi considère-t-elle qu’il est suffisant de traiter le nom et le prénom de la personne concernée pour personnaliser une communication et qu’il n’est pas nécessaire de collecter la civilité de la personne concernée. Sur ce point, nous regrettons que la cour fasse fi du degré de personnalisation de la communication pouvant être souhaitée par le responsable de traitement.
Enfin, concernant la pondération des droits et des intérêts opposés en présence, la cour rappelle qu’un tel traitement pourrait entraîner des dommages physiques, matériels ou un préjudice moral, notamment lorsqu’un tel traitement peut donner lieu à une discrimination [6]. Sur ce point, il est crucial de rappeler que SNCG Connect ne proposait à ses clients que deux civilités, à savoir « Monsieur » et « Madame » et que le partage de cette information était obligatoire. Dans ce contexte, il apparait que des personnes ne se reconnaissant ni de l’un ni de l’autre sexe soient face un dilemme : « mentir » sur leur civilité et/ou identité de genre lors de la divulgation des données ou renoncer, voire refouler, une partie de soi. Sur ce point, il est intéressant de noter qu’outre-rhin, une juridiction allemande avait retenu cet argument dans une affaire similaire [7].
B) Le respect du principe de minimisation.
Le principe de minimisation implique que seules les données nécessaires à la réalisation des objectifs poursuivis par le responsable de traitement ou du sous-traitant soient collectées et traitées. La cour adopte néanmoins une interprétation stricte de ce principe, en considérant, en substance, que le fait de s’adresser à des personnes concernées de manière personnalisée et ce - en utilisant la civilité de ces derniers – comme il est d’usage dans le domaine des communications commerciales, pourrait ne pas être conforme au principe de minimisation des données, et semble préconiser l’usage de formules de politesse génériques [8].
Il nous semble ici important de soulever - et nous regrettons que la cour ne l’ait pas rappelé dans sa décision - que le principe de minimisation implique également que les données collectées soient « adéquates et pertinentes ». Or, sur la base de ce qui a été détaillé précédemment, nous considérons qu’une personne devant choisir entre une civilité « Monsieur » ou « Madame », sans avoir la possibilité de choisir une autre option telle « neutre » ou « autre », qui correspondrait davantage à son identité de genre, se voit de facto dans l’obligation de fournir une information fausse, travestie, erronée. Dans ces circonstances, la collecte de données par le responsable de traitement ne pourrait être considérée comme adéquate ou pertinente.
II) Le traitement vertueux des données relatives à la civilité ou à l’identité de genre.
Afin de permettre aux responsables de traitements ou aux sous-traitants de traiter les données de manière vertueuse et dans le respect des dispositions du RGPD, nous leur suggérerons d’adapter leurs formulaires de collecte des données (A) et donnerons quelques pistes de réflexion concernant le traitement licite des données.
A) L’abandon des options dites binaires lors de la collecte des données relatives à la civilité et/ou à l’identité de genre.
A titre liminaire, nous rappellerons ici, une fois de plus, que le formulaire de SNCF Connect ne comportait, pour le choix de la civilité, que deux options : « Madame » ou « Monsieur ». C’est d’ailleurs la raison pour laquelle, la CJUE a estimé que la collecte d’informations relatives à la civilité ou à l’identité de genre pouvait engendrer une discrimination, et plus particulièrement envers des personnes ne se reconnaissant ni dans l’une ni dans l’autre des civilités proposées (par exemple, des personnes non-binaires ou des personnes ayant procédé à des changements d’identité de genre).
Dans le cas où le traitement de données relatives à la civilité ou à l’identité serait basé sur la poursuite d’intérêts légitimes et afin que l’évaluation de l’intérêt puisse remplir le troisième critère, à savoir, que ledit intérêt prévale sur les libertés et droits fondamentaux des personnes concernées, nous considérons que les formulaires ne devraient plus comporter deux options pour la civilité, mais trois, voire quatre.
En effet, pour éviter qu’une personne concernée subisse un préjudice du fait de sa civilité et / ou de son identité de genre (comme expliqué ci-dessus, cela serait le cas, si elle était amenée à mentir ou à renoncer à une partie de soi), il faudrait au moins ajouter une troisième option « neutre » dans les formulaires de collecte d’informations :
Néanmoins, l’ajout de cette option nous semble ne pas être suffisant. En effet, d’après la lecture du considérant 57 de l’arrêt, il apparait qu’une liberté de choix [9] quant à la divulgation de données sur la civilité ou l’identité de genre doit être offerte aux personnes concernées, aussi, cette exigence doit-elle être prise en considération lors de la mise en balance des intérêts en présence.
C’est la raison pour laquelle nous considérons qu’il est nécessaire, dans les formulaires de collecte d’informations, d’ajouter une quatrième option, qui permettrait aux personnes concernées de ne pas divulguer leur civilité et/ou identité de genre :
Dans le cas où une personne concernée aurait indiqué « neutre » ou « ne préfère pas répondre », le responsable de traitement devrait alors mettre tous les moyens en œuvre pour proposer à cette dernière des communications contenant des formules de politesse génériques et sans corrélation avec une identité de genre quelconque présumée.
Enfin, il est à noter, que lors de la mise en balance des intérêts, le responsable de traitement doit également prendre en considération « les intérêts […] de la personne concernée » [10].
Aussi, un responsable de traitement peut avoir un intérêt à personnaliser sa communication commerciale en s’adressant au destinataire de la communication selon sa civilité et/ou identité de genre. Les buts poursuivis étant par exemple le souhait d’adopter une approche personnalisée, de proposer des contenus adéquats ou encore valoriser et respecter le destinataire de la communication. Par ailleurs, on pourrait également avancer qu’une personne concernée puisse avoir un intérêt à être contactée ou approchée selon sa civilité et/ou son identité de genre. Ainsi, est-il dans l’intérêt de la personne concernée de recevoir des communications dont la forme, voire même le contenu, seraient personnalisés ou adaptés selon la civilité et/ou son identité de genre.
B) La détermination de la base légale de traitement et information de la personne concernée.
L’article 13 énumère les informations, qui doivent être communiquées à la personne concernée lors de la collecte des données. Outre la durée de conservation, l’identité du responsable de traitement ou encore les destinataires des données, il est des informations spécifiques à divulguer selon la base légale sur laquelle repose le traitement. Aussi, tenterons-nous dans les lignes suivantes d’apporter quelques pistes et conseils, selon que la base légale choisie pour le traitement soit « le consentement de la personne concernée », « l’exécution d’un contrat » ou « l’intérêt légitime du responsable de traitement ou d’un tiers ».
Le consentement.
Dans le cas où le responsable de traitement fonderait le traitement sur la base du consentement de la personne concernée, il devrait s’assurer que le consentement soit donné de manière « spécifique », « éclairée » et « univoque ».
Aussi, lorsque le traitement a pour but de personnaliser une communication commerciale, le responsable de traitement devrait s’attacher à obtenir un consentement spécifique donné de manière active de la part de la personne concernée.
En effet, selon nous, le simple fait d’entrer des informations dans un formulaire de contact - et ce quand bien même les informations seraient facultatives - n’est pas suffisant pour qu’un consentement soit considéré comme étant valide ou activement donné. Pour être valide, il pourrait par exemple être demandé à la personne concernée de cliquer sur une case contenant la mention suivante : « J’accepte que mes données soient traitées aux fins de personnalisation des communications commerciales ». Bien entendu, la personne concernée devrait également être informée de la possibilité de révoquer son consentement à tout moment pour les finalités du traitement.
L’exécution d’un contrat.
Comme déjà indiqué, le traitement de données relatives à la civilité ou à l’identité de genre ne peut être justifié par l’article 6 (1) (b) RGPD que s’il est objectivement indispensable et essentiel pour permettre la bonne exécution du contrat.
Un responsable de traitement se doit donc de procéder à un examen de la nécessité (la bonne exécution du contrat serait-elle remise en question en l’absence du traitement de ces données ?) et de la proportionnalité du traitement envisagé (existe-t-il des solutions praticables et moins intrusives pour à même de garantir la bonne exécution du contrat ?).
L’intérêt légitime du responsable de traitement ou d’un tiers.
Si le traitement des données relatives à la civilité et/ou à l’identité de genre de la personne concernée est basé sur l’article 6 (1) (f) RGPD, le responsable de traitement devra nécessairement procéder à une analyse approfondie des intérêts en présence et porter à la connaissance de la personne concernée la ou les finalité(s) poursuivie(s).
Concernant en premier lieu la mise en balance des intérêts en présence, il s’agit ici de procéder à un examen minutieux des intérêts en cause - qui peuvent parfois être opposés les uns aux autres - et de s’assurer que les intérêts du responsable de traitement (ou du tiers) prévalent bel et bien sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Aussi le responsable de traitement doit-il être en mesure [11] :
- d’identifier les intérêts, les libertés et les droits fondamentaux des personnes concernées ;
- d’évaluer l’impact que pourrait avoir le traitement sur lesdits intérêts, libertés ou droits fondamentaux de la personne concernée ;
- de décrire le contexte, la nature, la portée et les possibles conséquences du traitement de données ;
- de prendre en considération les attentes raisonnables de la personne concernée.
- d’adopter des mesures techniques, organisationnelles ou administratives pour atténuer les possibles atteintes aux intérêts, libertés et droits fondamentaux des personnes concernées.
Concernant en second lieu, l’obligation d’information de la personne concernée, nous rappellerons ici, qu’au-delà de l’obligation légale (Art. 13 RGPD), l’information de la personne concernée vise avant tout à permettre à cette dernière de contrôler [12] le traitement des données et d’en vérifier la licéité [13].
Enfin, et comme rappelé par la cour au considérant 52, il ne suffit pas que les intérêts du responsable de traitement prévalent sur ceux de la personne concernée pour qu’il soit licite, encore faut-il que la personne concernée ait été informée directement par le responsable de traitement des finalités du traitement. Aussi, si plusieurs finalités sont poursuivies par le responsable de traitement, chacune d’entre elles se doit d’être décrite dans le formulaire de collecte, ou plus généralement, dans la politique de protection de données. Il va également sans dire qu’il sera nécessaire dans ce cas-là de procéder à mise en balance des intérêts en présence pour chacune des finalités poursuivies.
"Simple comme bonjour" vous disiez. Vraiment ?!
