Vu la procédure suivante
:
Par une requête enregistrée le 21 mai 2021 et deux mémoires en réplique enregistrés le 3 juin 2022 au secrétariat du contentieux du Conseil d'Etat, l'association MOUSSE demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la décision du 23 mars 2021 par laquelle la Commission nationale de l'informatique et des libertés a rejeté sa plainte à l'encontre de la société responsable du site OUI.sncf ;
2°) avant de statuer sur ces conclusions, de transmettre à la Cour de justice de l'Union européenne les questions préjudicielles suivantes :
- le principe de minimisation énoncé au c) du 1 de l'article 5 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit " RGPD ", interdit-il à l'éditeur d'un service numérique de collecter la civilité des personnes, lorsque cette donnée personnelle n'est pas nécessaire à la fourniture du service '
- le principe d'exactitude énoncé au d) du même 1 doit-il être interprété en ce sens que l'éditeur d'un service numérique proposant un formulaire permettant de collecter la civilité des personnes doit soit prévoir une civilité " non genrée ", soit rendre facultative pour l'utilisateur la collecte de sa civilité '
3°) d'enjoindre à la société SNCF Connect responsable du site de supprimer l'obligation de renseigner le champ " Monsieur " ou " Madame " pour effectuer un acte d'achat, de supprimer de ses bases de données les informations recueillies au moyen de ce champ et, dans le cas où la société voudrait recueillir des données " de genre ", d'ajouter un ou des choix supplémentaires dits non binaires tels que " neutre " ou " autre " ;
4°) de condamner la société responsable du site SNCF Connect à une amende administrative de 200 000 euros ;
5°) de mettre une somme de 4 000 euros à la charge de la Commission nationale de l'informatique et des libertés, en application de l'article
L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le traité sur l'Union européenne ;
- le traité sur le fonctionnement de l'Union européenne ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code des transports ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Bruno Delsol, conseiller d'Etat,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à la SCP Sevaux, Mathonnet, avocat de la Commission nationale de l'informatique et des libertés et à la SCP Gatineau, Fattaccini, Rebeyrol, avocat de la société SNCF Connect ;
Considérant ce qui suit
:
1. L'association MOUSSE a saisi la Commission nationale de l'informatique et des libertés (CNIL) d'une réclamation à l'encontre de la société SNCF Voyageurs, à laquelle a succédé par la suite la société OUI.sncf et aujourd'hui la société SNCF Connect, au motif que les conditions dans lesquelles était collectée et enregistrée la civilité des clients lors de l'achat de billets de train, de cartes d'abonnement et de réduction sur le site internet ou les applications de la société méconnaissaient certaines dispositions du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE, dit RGPD. Par un courrier du 23 mars 2021, la CNIL a fait savoir à l'association qu'elle estimait que les faits reprochés à la société ne constituaient pas des manquements aux dispositions invoquées du RGPD et que, par conséquent, elle procédait à la clôture de la réclamation. L'association MOUSSE demande l'annulation de cette décision et présente également des conclusions aux fins d'injonction et d'amende administrative, à l'encontre de la société SNCF Connect.
2. Aux termes de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " I.- La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :/ (...) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. A ce titre :/ (...) d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire (...) ".
3. Il résulte des dispositions mentionnées au point 2 qu'il appartient à la Commission nationale de l'informatique et des libertés (CNIL) de procéder, lorsqu'elle est saisie d'une plainte ou d'une réclamation tendant à la mise en œuvre de ses pouvoirs, à l'examen des faits qui en sont à l'origine et de décider des suites à leur donner. Elle dispose, à cet effet, d'un large pouvoir d'appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge. L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la CNIL d'y donner suite. Il appartient au juge de censurer celui-ci, le cas échéant, pour un motif d'illégalité externe et, au titre du bien-fondé de la décision, en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à la personne concernée à l'égard des données à caractère personnel la concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, le pouvoir d'appréciation de la CNIL pour décider des suites à y donner s'exerce, eu égard à la nature du droit individuel en cause, sous l'entier contrôle du juge de l'excès de pouvoir.
4. Il ressort des pièces du dossier l'association MOUSSE demande l'annulation pour excès de pouvoir de la décision du 23 mars 2021 par laquelle la présidente de la CNIL a clôturé sa plainte relative aux conditions de collecte et de traitement de la civilité de ses clients par la société OUI.sncf, devenue SNCF Connect.
5. Aux termes de l'article 5 du RGPD : " 1. Les données à caractère personnel doivent être: a) traitées de manière licite, loyale et transparente au regard de la personne concernée (...) ; c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ; d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ". Aux termes de son article 6 : " 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ; d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ; e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ; f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant./ Le point f) du premier alinéa ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. " L'article 13 du RGPD impose une obligation d'information de toute personne dont des données à caractère personnel sont collectées, à la charge du responsable du traitement. Enfin, son article 21 ouvre à la personne concernée le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'article 6, paragraphe 1, point f).
6. Dans le cadre de la réclamation qu'elle a adressée à la CNIL, l'association MOUSSE a fait valoir que, pour acheter en ligne un billet de train, un abonnement ou une carte de réduction sur le site internet ou l'application " OUI.sncf ", désormais SNCF Connect, les clients doivent indiquer obligatoirement leur civilité, en ayant ainsi le choix entre deux mentions, " Monsieur " ou " Madame ". Selon elle, un telle collecte de données n'est pas licite, au sens du a) du paragraphe 1 de l'article 5 du RGPD, car elle ne repose sur aucun des fondements prévus par le paragraphe 1 de l'article 6, elle méconnaît les principes de minimisation de la collecte des données et d'exactitude également prévus par les c) et d) du paragraphe 1 de l'article 5 et, enfin, la SNCF ne respecte pas les exigences en termes de transparence et d'information qu'impliquent le a) du paragraphe 1 de l'article 5 et l'article 13. Elle soutient que l'entreprise ne devrait pas recueillir de telles données ou devrait, à tout le moins, proposer une ou plusieurs possibilités supplémentaires, telles que " neutre " ou " autres ".
7. Pour décider de procéder à la clôture de la réclamation dont elle était saisie, la CNIL, d'une part, a relevé que, dans le cadre de la fourniture de prestations de services de transport par la société, le contrat conclu avec son client constituait la base légale du traitement. Ainsi, en ce qui concerne les différentes bases légales prévues par le paragraphe 1 de l'article 6 du RGPD, elle a seulement estimé que le traitement litigieux relevait de celle prévue au b), selon lequel un traitement est licite s'il est " nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ". D'autre part, elle a estimé que la collecte de la civilité des clients pouvait être regardée comme nécessaire au regard des finalités du traitement, au sens du c) de l'article 5, et donc comme satisfaisant à l'exigence de minimisation des données, dès lors que s'adresser à des clients en utilisant leur civilité correspond aux usages en matière de communications civiles, commerciales et administratives. En défense, elle soutient notamment que le traitement de la civilité pourrait en outre être regardé comme nécessaire aux fins des intérêts légitimes poursuivis par la société SNCF Connect au sens du f) du 1 de l'article 6 et que, dans ce cas, les personnes concernées pourraient, en fonction de leur situation particulière, faire valoir le droit d'opposition qui leur est garanti par l'article 21.
8. La question de savoir s'il peut être tenu compte, pour apprécier le caractère adéquat, pertinent et limité à ce qui est nécessaire de la collecte de données au sens des dispositions du c) du paragraphe 1 de l'article 5 du RGPD et la nécessité de leur traitement au sens des b) et f) du paragraphe 1 de l'article 6 du RGPD, des usages couramment admis en matière de communications civiles, commerciales et administratives, de sorte que la collecte des données relatives aux civilités des clients, limitée aux mentions " Monsieur " ou " Madame ", pourrait être regardée comme licite, sans qu'y fasse obstacle le principe de minimisation des données, soulève une difficulté d'interprétation du droit de l'Union européenne, déterminante pour la solution du litige que doit trancher le Conseil d'Etat. Il en est de même quant à la question de savoir si, pour apprécier la nécessité de la collecte obligatoire et du traitement des données relatives à la civilité des clients, et alors que certains clients estiment qu'ils ne relèvent d'aucune des deux civilités et que le recueil de cette donnée n'est pas pertinent en ce qui les concerne, il y a lieu de tenir compte de ce que ceux-ci pourraient, après avoir fourni cette donnée au responsable de traitement en vue de bénéficier du service proposé, exercer leur droit d'opposition à son utilisation et à sa conservation en faisant valoir leur situation particulière, en application de l'article 21 du RGPD. Il y a lieu, par suite, d'en saisir la Cour de justice de l'Union européenne en application de l'article 267 du traité sur le fondement de l'Union européenne et, jusqu'à ce que celle-ci se soit prononcée, de surseoir à statuer sur la requête de l'association requérante.
D E C I D E :
--------------
Article 1er : Il est sursis à statuer sur la requête de l'association MOUSSE jusqu'à ce que la Cour de justice de l'Union européenne se soit prononcée sur les questions suivantes :
1. Peut-il être tenu compte, pour apprécier le caractère adéquat, pertinent et limité à ce qui est nécessaire de la collecte de données au sens des dispositions du c) du paragraphe 1 de l'article 5 du RGPD et la nécessité de leur traitement au sens des b) et f) du paragraphe 1 de l'article 6 du RGPD, des usages couramment admis en matière de communications civiles, commerciales et administratives, de sorte que la collecte des données relatives aux civilités des clients, limitée aux mentions " Monsieur " ou " Madame ", pourrait être regardée comme nécessaire, sans qu'y fasse obstacle le principe de minimisation des données '
2. Y a-t-il lieu, pour apprécier la nécessité de la collecte obligatoire et du traitement des données relatives à la civilité des clients, et alors que certains clients estiment qu'ils ne relèvent d'aucune des deux civilités et que le recueil de cette donnée n'est pas pertinent en ce qui les concerne, de tenir compte de ce que ceux-ci pourraient, après avoir fourni cette donnée au responsable de traitement en vue de bénéficier du service proposé, exercer leur droit d'opposition à son utilisation et à sa conservation en faisant valoir leur situation particulière, en application de l'article 21 du RGPD '
Article 2 : La présente décision sera notifiée à l'association MOUSSE, à la Commission nationale de l'informatique et des libertés et à la société SNCF Connect.
Délibéré à l'issue de la séance du 31 mai 2023 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; Mme Nathalie Escaut, M. Alexandre Lallet, Mme Rozen Noguellou, M. Nicolas Polge, M. Vincent Daumas, conseillers d'Etat et M. Bruno Delsol, conseiller d'Etat-rapporteur ;
Rendu le 21 juin 2023
Le président :
Signé : M. Rémy Schwartz
Le rapporteur :
Signé : M. Bruno Delsol
La secrétaire :
Signé : Mme Claudine Ramalahanoharana