Jusqu’à présent, pour acheter un billet sur SNCF Connect, il était systématiquement demandé aux clients de choisir une civilité : « Monsieur » ou « Madame ». Cette pratique, bien qu’ancienne et largement répandue, a fini par susciter des interrogations quant à sa légitimité.  

En effet, quel est l’intérêt réel de connaître le genre d’un client dans le cadre d’un achat de titre de transport ? Cette question a été soulevée par l’association Mousse, qui a estimé que cette exigence allait à l’encontre du Règlement Général sur la Protection des Données (RGPD), en particulier du principe fondamental de minimisation des données.  

Le RGPD et la minimisation des données : un principe clé  

Selon le RGPD, les données personnelles ne doivent être collectées que si elles sont adéquates, pertinentes et strictement nécessaires à la finalité du traitement. Autrement dit, chaque donnée demandée doit avoir une utilité précise et indispensable à la prestation de service.  

Dans ce contexte, l’association Mousse a fait valoir que la collecte de la civilité ne remplissait pas ce critère de nécessité. Après tout, indiquer son genre ne change en rien la nature du service rendu : acheter un billet de train n’implique pas de différenciation liée à l’identité de genre du voyageur.  

Pour en savoir plus, consultez notre article sur ce sujet : Minimisation des Données : Pourquoi et Comment Appliquer ce Principe RGPD ?

Une décision initiale contestée  

Pourtant, en 2021, la CNIL a rejeté la réclamation de l’association, validant la collecte de la civilité par la SNCF. Cette position a surpris de nombreux experts en protection des données, car elle semblait aller à l’encontre des principes stricts imposés par le RGPD.  

Plus étonnant encore, le gouvernement français a soutenu cette position devant la Cour de justice de l’Union européenne (CJUE). Ce choix a été interprété par certains comme une démarche davantage politique que véritablement juridique, suscitant de nombreuses critiques dans le milieu de la conformité et de la protection des données.  

La CJUE tranche en faveur des droits des utilisateurs

La CJUE, saisie par le Conseil d’État français, a finalement rendu son verdict. Dans son arrêt C-394/23, elle a jugé que la collecte de la civilité n’était ni pertinente ni nécessaire à l’exécution d’un contrat de transport ferroviaire.  

La Cour a souligné que la personnalisation des communications commerciales, qui était l’argument avancé par la SNCF pour justifier cette collecte, pouvait tout à fait être réalisée de manière neutre et inclusive, sans recourir à l’identité de genre des clients. Elle a également rappelé que cette pratique pouvait engendrer un risque de discrimination et aller à l’encontre des libertés fondamentales.  

Un signal fort pour toutes les entreprises  

Cette décision de la CJUE va bien au-delà du cas de la SNCF. Elle envoie un message clair à toutes les entreprises :  

1. Repenser les pratiques de collecte : Chaque champ de données dans un formulaire doit être justifié par une finalité précise et indispensable.  
2. Adopter des pratiques respectueuses et inclusives : Lorsqu’une donnée sensible comme l’identité de genre n’est pas nécessaire, il est préférable de s’en abstenir.  
3. Renforcer la confiance des utilisateurs : En collectant uniquement les données strictement nécessaires, les entreprises démontrent leur respect des droits de leurs clients et renforcent leur image de marque.  

Cet article pourrait vous intéresser : Publicité ciblée : Linkedin écope d’une sanction de 310 000 000€

Concrètement, qu’est-ce qui va changer ?  

La SNCF devra modifier sa plateforme et supprimer l’obligation de renseigner une civilité lors de l’achat d’un billet. Cela signifie que les clients pourront acheter leur titre de transport sans avoir à indiquer s’ils sont « Monsieur » ou « Madame ».  

Il s’agit d’une évolution concrète qui reflète une meilleure application des règles de protection des données. Cette démarche contribue à renforcer la confidentialité et le respect des droits des utilisateurs, tout en encourageant des pratiques commerciales plus modernes et inclusives.  

En conclusion : une avancée pour la protection des données  

La décision de la CJUE rappelle que collecter une donnée ne doit jamais être un automatisme : chaque information demandée doit avoir une finalité claire et indispensable.  

Pour les entreprises, cette décision doit être perçue comme une opportunité de revoir leurs pratiques et de s’assurer qu’elles respectent les principes fondamentaux de la protection des données. La conformité au RGPD n’est pas qu’une contrainte légale : c’est aussi un moyen de renforcer la transparence, la confiance et la satisfaction des clients.