Une décision de la Cour de justice de l’Union européenne (CJUE) considère la collecte de “Madame” ou “Monsieur” contraire au RGPD.
La CJUE dans sa décision du 9 janvier 2025, considère que la collecte de la civilité n’est pas indispensable à l’exécution d’un contrat. La Cour révoque la pratique de l’entreprise ferroviaire française avec SNCF Connect qui oblige systématiquement ses clients à indiquer leur civilité « Monsieur » ou « Madame » lors de l’achat de titres de transport en ligne. L’association Mousse avait contesté auprès de la CNIL cette pratique. L’autorité française avait rejeté cette réclamation considérant conforme au RGPD.
Or, la Cour rappelle à la SNCF que, “pour qu’un traitement de données puisse être considéré comme nécessaire à l’exécution d’un contrat, ce traitement doit être objectivement indispensable afin de permettre l’exécution correcte de ce contrat. Dans ce contexte, la Cour considère qu’une personnalisation de la communication commerciale fondée sur une identité de genre présumée en fonction de la civilité du client ne paraît pas objectivement indispensable afin de permettre l’exécution correcte d’un contrat de transport ferroviaire. En effet, l’entreprise ferroviaire pourrait opter pour une communication reposant sur des “formules de politesse génériques, inclusives et sans corrélation avec l’identité de genre présumée des clients, ce qui constituerait une solution praticable et moins intrusive”. Par ailleurs, la civilité devrait être utilisée avec le consentement des personnes.
Que change cette décision ?
La CJUE rappelle que seules les données collectées doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la finalité poursuivie.
Les entreprises de tous secteurs vont devoir réviser leurs pratiques pour éviter la collecte de données non essentielles notamment dans leur SI, IA et formulaires par exemple.
Elles vont devoir s’orienter vers des approches neutres (cher client et chère cliente, bonjour …) et faire évoluer leurs traitement des données, clauses mais aussi leurs stratégies marketing et de personnalisation, sous peine de voir leurs pratiques déclarées non conformes au RGPD.
Autre conséquence, les entreprises vont devoir justifier clairement pourquoi le traitement est nécessaire, au risque d’être considérées systématiquement comme non conformes.