Le 31 juillet 2025, le Conseil d’État a rendu une décision importante concernant l’application du RGPD. En jugeant que la Commission Nationale de l’Informatique et des Libertés (CNIL) aurait dû retenir un manquement de la part de SNCF Voyageurs pour la collecte obligatoire de la « civilité » (« Monsieur » ou « Madame »), le Conseil d’État a précisé la portée du principe de minimisation des données.
L’affaire : d’une plainte CNIL jusqu’au Conseil d’Etat
L’affaire trouve son origine dans une pratique courante sur les sites web français : l’obligation de choisir une civilité pour créer un compte ou acheter un service. Estimant cette pratique non nécessaire pour l’achat d’un billet de train, les associations Mousse et Stop Homophobie, ainsi que trois autres requérants, ont saisi la CNIL d’une plainte contre SNCF Voyageurs.
Leur argumentation reposait sur deux points principaux :
La collecte de la civilité n’était pas indispensable à la finalité du traitement (la gestion du contrat de transport).
L’imposition d’un choix binaire était discriminatoire envers les personnes ne s’identifiant ni comme « Monsieur » ni comme « Madame ».
Dans sa délibération attaquée, la CNIL a sanctionné SNCF Voyageurs pour d’autres manquements (liés à la sécurité des mots de passe et aux cookies), mais a écarté le grief concernant la collecte de la civilité. La Commission a estimé que cette donnée, bien que non strictement nécessaire au contrat de transport, poursuivait des finalités légitimes (personnalisation, marketing, statistiques) sans porter une atteinte excessive aux droits des personnes.
Insatisfaits de cette analyse, les requérants ont porté l’affaire devant le Conseil d’État, demandant l’annulation de la décision de la CNIL sur ce point précis.
Le principe de minimisation : un principe clé du RGPD
Pour comprendre l’enjeu, il faut se référer à l’article 5.1.c du Règlement Général sur la Protection des Données (RGPD). Cet article dispose le principe de « minimisation des données », qui exige que les données personnelles soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Ce principe s’inscrit dans la démarche de « Privacy by Design » (protection de la vie privée dès la conception). Il contraint les responsables de traitement à s’interroger sur le caractère strictement nécessaire de la collecte, plutôt que sur sa simple utilité.
Son importance est multiple :
Sécurité : Moins de données stockées signifie moins de risques en cas de fuite de données.
Confiance : Un service qui ne demande que l’essentiel est perçu comme plus respectueux.
Respect de la vie privée : Il prévient la constitution de profils utilisateurs trop détaillés sans justification solide.
Sobriété numérique : Il encourage une collecte de données plus réfléchie et moins invasive.
La décision du Conseil d’État : distinguer « légitime » et « nécessaire »
Dans sa décision, le Conseil d’État a jugé que la CNIL avait commis une erreur d’appréciation en ne retenant pas le manquement au principe de minimisation.
Le raisonnement du Conseil d’État repose sur une distinction cruciale :
SNCF Voyageurs justifiait la collecte obligatoire de la civilité par des finalités commerciales et statistiques, que l’on peut qualifier de légitimes.
Toutefois, le Conseil d’État a jugé que cette collecte n’était pas nécessaire pour atteindre ces finalités.
Plus précisément, il a estimé que :
La personnalisation de la relation client (ex: « Bonjour Monsieur Dupont ») n’exige pas impérativement la civilité. L’usage du prénom ou d’autres formules est possible.
La réalisation d’études statistiques sur la répartition par genre de la clientèle ne requiert pas une collecte nominative et obligatoire pour chaque client.
En conclusion, puisque la collecte de la civilité n’était pas nécessaire à l’exécution du service principal (le contrat de transport) ni aux finalités annexes invoquées, son caractère obligatoire constituait une violation du principe de minimisation des données.
Implications pratiques pour les formulaires en ligne
Cette décision est assez importe car elle met fin à des pratiques devenues habituelles en remettant en cause la récolte d’une donnée somme toute classique, mais effectivement et objectivement non nécessaire. Cela doit inviter les entreprises à revoir leurs pratiques de collecte de données et les inciter à justifier plus rigoureusement la nécessité de chaque information demandée.
Les changements opérationnels pour les entreprises seront les suivants :
Auditer les formulaires : Chaque champ d’un formulaire (inscription, achat, contact) doit être justifié au regard du critère de la « stricte nécessité ». Si une donnée est seulement « utile », elle devrait devenir facultative ou être supprimée.
Revoir la collecte de la « civilité » : Sa collecte obligatoire est désormais considérée comme non conforme dans des contextes similaires. Les entreprises doivent la rendre optionnelle, proposer une alternative neutre ou la supprimer.
Adapter la personnalisation marketing : Les stratégies peuvent s’orienter vers des approches moins dépendantes de données déclaratives de genre, en se basant par exemple sur le comportement de navigation (avec consentement) ou l’historique d’achat.
Mettre à jour la documentation de conformité : Les Analyses d’Impact (AIPD) et les registres de traitement doivent documenter précisément pourquoi chaque donnée collectée est considérée comme « nécessaire » aux finalités poursuivies.
Former les équipes : Les chefs de produit, développeurs, designers UX et marketeurs doivent intégrer ce principe de minimisation dès la conception de tout nouveau service.
Vous avez des questions sur la protection des données personnelles au sein de votre organisme ? Contactez-nous pour découvrir comment nous accompagnons entreprises et administrations dans leur démarche de conformité.