CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. MACIEJ SZPUNAR
présentées le 11 juillet 2024 (1)
Affaire C‑394/23
Association Mousse
contre
Commission nationale de l’informatique et des libertés (CNIL),
SNCF Connect
[demande de décision préjudicielle formée par le Conseil d’État (France)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 6, paragraphe 1 – Principe de licéité du traitement – Article 5, paragraphe 1, sous c) – Principe de minimisation des données – Civilité – Achat de prestation de service de transport en ligne – Article 21 – Droit d’opposition »
I. Introduction
1. Le règlement (UE) 2016/679 (2) (ci-après le « RGPD ») vise à assurer un niveau élevé de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel. Pour ce faire, il impose aux responsables du traitement de respecter un certain nombre de principes lorsqu’ils traitent des données à caractère personnel, parmi lesquels le principe dit de « minimisation des données » et le principe de licéité du traitement.
2. Ces deux principes sont au cœur de la présente affaire, relative à un litige opposant une association à une autorité de contrôle nationale, au sujet du traitement, par une entreprise de transport, des données de civilité de ses clients dans le but affirmé d’en faire usage dans leur communication commerciale, et qui offre ainsi à la Cour l’opportunité d’en préciser la portée.
II. Le cadre juridique
A. Le droit de l’Union
3. Les considérants 4, 10, 39, 40, 44, 47, 69 et 75 du RGPD énoncent :
« (4) Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la [charte des droits fondamentaux de l’Union européenne (ci-après la “Charte”)], consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.
[...]
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]
[...]
(39) [...] Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. [...] Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. [...]
(40) Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l’Union, ainsi que le prévoit le présent règlement, y compris [...] la nécessité d’exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée.
[...]
(44) Le traitement devrait être considéré comme licite lorsqu’il est nécessaire dans le cadre d’un contrat ou de l’intention de conclure un contrat.
[...]
(47) Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement [...] En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. [...] Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
[...]
(69) Lorsque des données à caractère personnel pourraient être traitées de manière licite parce que le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement ou d’un tiers, les personnes concernées devraient néanmoins avoir le droit de s’opposer au traitement de toute donnée à caractère personnel en rapport avec leur situation particulière. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes impérieux prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.
[...]
(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu à une discrimination [...] »
4. Aux termes de son article 2, paragraphe 1, le RGPD s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
5. L’article 4 du RGPD, intitulé « Définitions », dispose :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable [...]
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement [...]
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; [...]
[...]
11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;
[...] »
6. L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
[...] »
7. L’article 6 du RGPD, intitulé « Licéité du traitement », dispose, à son paragraphe 1 :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
[...] »
8. L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit :
« 1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
[...] »
9. L’article 21 du RGPD, intitulé « Droit d’opposition », dispose, à son paragraphe 1 :
« La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. »
10. L’article 25 du RGPD, intitulé « Protection des données dès la conception et protection des données par défaut », prévoit, à son paragraphe 2 :
« Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. [...] »
B. Le droit français
11. L’article 8 de la loi no 78-17 relative à l’informatique, aux fichiers et aux libertés (3), du 6 janvier 1978, dispose :
« La Commission nationale de l’informatique et des libertés [(CNIL)] est une autorité administrative indépendante.
Elle est l’autorité de contrôle nationale au sens et pour l’application du [RGPD]. Elle exerce les missions suivantes :
[...]
2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.
À ce titre :
[...]
d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ; [...] »
III. Les faits au principal, la procédure devant la Cour et les questions préjudicielles
12. SNCF Connect est une société qui commercialise des titres de transport ferroviaire tels que les billets de train, les abonnements et les cartes de réduction par l’intermédiaire de son site Internet et d’applications. Lorsqu’ils achètent ces titres de transport, les clients de cette société sont obligatoirement tenus d’indiquer leur civilité, en cochant la mention « Monsieur » ou « Madame ».
13. Estimant que les conditions dans lesquelles était collectée et enregistrée la civilité des clients lors de l’achat de titres de transport n’étaient pas conformes aux exigences du RGPD, la requérante au principal, l’association Mousse (ci-après « Mousse »), a saisi la CNIL d’une réclamation à l’encontre de SNCF Connect. Au soutien de cette réclamation, Mousse a fait valoir que la collecte des données concernées n’était pas conforme au principe de licéité, consacré à l’article 5, paragraphe 1, sous a), de ce règlement, dès lors qu’elle ne reposait sur aucun des fondements prévus à l’article 6, paragraphe 1, dudit règlement. En outre, une telle collecte méconnaîtrait le principe de minimisation des données et le principe d’exactitude, énoncés, respectivement, à l’article 5, paragraphe 1, sous c) et d), du même règlement, ainsi que les obligations de transparence et d’information découlant, notamment, de l’article 13 de celui-ci. Dans ce contexte, Mousse a soutenu que SNCF Connect ne devrait pas recueillir ces données ou qu’elle devrait, à tout le moins, proposer à ses clients des possibilités supplémentaires, telles qu’une mention « Neutre » ou « Autre ».
14. Par décision du 23 mars 2021, la CNIL a procédé à la clôture de la réclamation dont elle était saisie, estimant que les faits reprochés à SNCF Connect ne constituaient pas des manquements aux dispositions visées du RGPD. La CNIL a constaté que le traitement des données était licite, en vertu de l’article 6, paragraphe 1, sous b), de ce règlement, au motif qu’il était nécessaire à l’exécution du contrat de fourniture de services de transport. En outre, la CNIL a relevé que, au regard de ses finalités, un tel traitement était conforme au principe de minimisation des données, dès lors que le fait de s’adresser aux clients en utilisant leur civilité correspondait aux usages en matière de communications civiles, commerciales et administratives.
15. Le 21 mai 2021, Mousse a formé un recours en annulation contre la décision du 23 mars 2021 de la CNIL auprès du Conseil d’État (France). Dans sa requête, Mousse fait notamment valoir que l’obligation d’opter pour la mention « Monsieur » ou « Madame » lors de l’achat en ligne ne répond pas au principe de licéité ni au principe de minimisation des données, énoncés respectivement à l’article 5, paragraphe 1, sous a) et c), du RGPD, dès lors que cette mention ne serait pas nécessaire à l’exécution du contrat, ni aux fins d’intérêts légitimes de SNCF Connect. La circonstance que ladite mention est en usage dans la correspondance commerciale ne saurait suffire à rendre nécessaire la collecte de ces données. Enfin, une telle obligation serait de nature à porter atteinte au droit de voyager sans communiquer sa civilité, au droit au respect de la vie privée ainsi qu’à la liberté de définir librement son expression de genre. S’agissant, notamment, des ressortissants de pays dont l’état civil admet le « genre neutre », cette mention ne correspondrait pas à la réalité et pourrait, donc, se révéler contraire au principe d’exactitude, énoncé à l’article 5, paragraphe 1, sous d), de ce règlement, tout en portant atteinte à leur liberté de circulation, garantie par le droit de l’Union.
16. La CNIL conclut au rejet de ce recours et fait valoir que le traitement des données relatives à la civilité pourrait également se voir qualifié de « nécessaire » aux fins des intérêts légitimes poursuivis par SNCF Connect, au sens de l’article 6, paragraphe 1, sous f), du RGPD, et que les personnes concernées pourraient – en fonction de leur situation particulière – faire valoir le droit d’opposition garanti à l’article 21 de ce règlement.
17. La juridiction de renvoi s’interroge, d’une part, sur la question de savoir s’il peut être tenu compte, afin d’apprécier le caractère adéquat, pertinent et limité à ce qui est nécessaire de la collecte des données, ainsi que la nécessité de leur traitement, des usages couramment admis dans les communications civiles, commerciales et administratives, de sorte que la collecte des données relatives à la civilité des clients, limitée aux mentions « Monsieur » ou « Madame », pourrait se voir qualifiée de « licite et conforme » au principe de minimisation des données. Cette juridiction s’interroge, d’autre part, sur le point de savoir si, pour apprécier la nécessité de la collecte obligatoire et du traitement subséquent de données relatives à la civilité des clients, et alors que certains de ceux-ci considèrent qu’ils ne relèvent d’aucune des deux civilités, il y a lieu de tenir compte de ce que ces clients pourraient, après avoir fourni ces données au responsable du traitement en vue de bénéficier du service proposé, exercer leur droit d’opposition à l’utilisation de telles données, en raison de leur situation particulière, au sens de l’article 21 du RGPD.
18. C’est dans ce contexte que le Conseil d’État a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Peut-il être tenu compte, pour apprécier le caractère adéquat, pertinent et limité à ce qui est nécessaire de la collecte de données au sens des dispositions [de l’article 5, paragraphe 1, sous c), du RGPD] et la nécessité de leur traitement au sens [de l’article 6, paragraphe 1, sous b) et f), de ce règlement], des usages couramment admis en matière de communications civiles, commerciales et administratives, de sorte que la collecte des données relatives aux civilités des clients, limitée aux mentions “Monsieur” ou “Madame”, pourrait être regardée comme nécessaire, sans qu’y fasse obstacle le principe de minimisation des données ?
2) Y a-t-il lieu, pour apprécier la nécessité de la collecte obligatoire et du traitement des données relatives à la civilité des clients, et alors que certains clients estiment qu’ils ne relèvent d’aucune des deux civilités et que le recueil de cette donnée n’est pas pertinent en ce qui les concerne, de tenir compte de ce que ceux-ci pourraient, après avoir fourni cette donnée au responsable du traitement en vue de bénéficier du service proposé, exercer leur droit d’opposition à son utilisation et à sa conservation en faisant valoir leur situation particulière, en application de l’article 21 du RGPD ? »
19. Mousse, SNCF Connect, le gouvernement français ainsi que la Commission européenne ont déposé des observations écrites. Ces mêmes parties ont participé à l’audience qui s’est tenue le 29 avril 2024.
IV. Analyse
A. Sur la première question préjudicielle
20. Par sa première question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 1, sous c), et l’article 6, paragraphe 1, sous b) et f), du RGPD doivent être interprétés en ce sens que le traitement des données à caractère personnel relatives à la civilité des clients d’une entreprise de transport doit être considéré comme étant nécessaire à l’exécution d’un contrat ou de mesures précontractuelles, ou nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, lorsque ce traitement vise à permettre une communication commerciale personnalisée en assurant le respect d’usages couramment admis en matière de communication commerciale.
21. Il me faut d’emblée procéder à deux remarques liminaires à cet égard.
22. D’une part, je relève que les parties s’accordent et qu’il ne fait pas de doute que les données relatives à la civilité des clients d’une entreprise de transport constituent des données à caractère personnel, au sens de l’article 4, point 1, du RGPD et que, en outre, leur collecte et enregistrement par SNCF Connect doivent être considérés comme un traitement, au sens de l’article 4, point 2, de ce règlement, de sorte qu’il convient de les examiner à la lumière des dispositions dudit règlement.
23. D’autre part, SNCF Connect et le gouvernement français défendent l’idée selon laquelle une réponse négative à la première question préjudicielle conduirait à appliquer le RGPD dans un contexte qui lui est étranger, dans la mesure où, en adoptant ce règlement, le législateur n’aurait pas entendu régler les usages en matière de communication ou la question du genre. Si j’admets volontiers, à l’instar de l’avocat général Bobek, que les règles en matière de protection de la vie privée peuvent parfois être « employées dans des circonstances surprenantes » (4), il me semble toutefois que la présente situation n’en fait pas partie. Le fait que soient en cause les données d’identité civile et que, ce faisant, transparaissent en creux les débats existants dans les ordres juridiques nationaux quant à la question de la binarité du genre ne saurait conduire à occulter le fait que, en l’espèce, est bien en cause le traitement automatique de données à caractère personnel de ses clients par une société de transport, lequel non seulement relève objectivement du champ d’application du RGPD, mais constitue bien une opération de traitement de données que le législateur de l’Union avait pour objectif de réglementer (5).
24. Je débuterai donc mon analyse de la première question préjudicielle par des remarques générales s’agissant de la condition tenant à la licéité du traitement de données, à laquelle sont soumis, aux termes du RGPD, les responsables du traitement, avant de déterminer si, à la lumière des principes exposés, cette condition doit être jugée satisfaite s’agissant du traitement de données relatives à la civilité des clients d’une entreprise de transport dans le but de communiquer avec ces clients en ayant recours à des usages couramment admis en matière de communication commerciale.
1. Sur la licéité du traitement de données à caractère personnel
25. L’article 5 du RGPD énonce un certain nombre de principes relatifs au traitement des données à caractère personnel. En particulier, cette disposition prévoit que de telles données « doivent être traitées de manière licite » (6) et « doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (7). En d’autres termes, tout traitement de données doit répondre, notamment, au principe de licéité et au principe de minimisation des données.
26. L’article 6 du RGPD précise la portée du principe de licéité du traitement des données. En tant qu’il permet une limitation du droit à la protection des données personnelles (8), l’article 6, paragraphe 1, de ce règlement répond aux conditions énoncées à l’article 52, paragraphe 1, de la Charte : la limitation en cause est prévue par la loi et respecte le contenu essentiel de ce droit. En outre, cette limitation est nécessaire et répond à un objectif d’intérêt général reconnu par l’Union ou aux besoins de protection des droits et des libertés d’autrui (9).
27. Aussi le législateur a-t-il prévu six motifs pour lesquels le traitement de données est licite, explicitant les objectifs d’intérêt général et les droits et libertés nécessitant une protection susceptibles de justifier une limitation au droit à la protection des données personnelles. L’article 6, paragraphe 1, du RGPD prévoit ainsi « une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme licite » (10).
28. L’article 6, paragraphe 1, du RGPD n’établit pas une stricte hiérarchie (11) entre les motifs pour lesquels le traitement de données doit être considéré comme licite. La Cour a ainsi spécifié, dans sa jurisprudence, les relations entre ces derniers.
29. D’une part, elle a rappelé que, aux termes de l’article 6, paragraphe 1, sous a), du RGPD, « le traitement de données à caractère personnel est licite si, et dans la mesure où, la personne concernée y a consenti pour une ou plusieurs finalités spécifiques ». La Cour a ajouté que, « [e]n l’absence d’un tel consentement, [...] un tel traitement est néanmoins justifié lorsqu’il répond à l’une des exigences de nécessité mentionnées à l’article 6, paragraphe 1, [...] sous b) à f), de ce règlement » (12). En outre, elle a jugé que « les justifications [en cause], en ce qu’elles permettent de rendre licite un traitement de données à caractère personnel effectué en l’absence du consentement de la personne concernée, doivent faire l’objet d’une interprétation restrictive » (13). Les motifs de traitement des données à caractère personnel prévus à l’article 6, paragraphe 1, dudit règlement sont donc équivalents et aucun ne doit être considéré comme étant subsidiaire par rapport à un autre.
30. D’autre part, la Cour a spécifié le caractère non cumulatif des justifications prévues à l’article 6, paragraphe 1, du RGPD. Elle a ainsi indiqué que « lorsqu’il est possible de constater qu’un traitement de données à caractère personnel est nécessaire au regard d’une des justifications prévues à l’article 6, paragraphe 1, [...] sous b) à f), du RGPD, il n’y a pas lieu de déterminer si ce traitement relève également d’une autre de ces justifications » (14). En d’autres termes, comme je l’avais déjà évoqué (15), le traitement de données personnelles est licite lorsqu’il est justifié sur le fondement d’un seul motif, sans qu’un motif puisse être considéré comme subsidiaire à un autre.
31. Le principe de licéité détaillé à l’article 6, paragraphe 1, du RGPD ne saurait toutefois s’analyser isolément. La Cour juge ainsi de façon constante que cette condition « doit être examinée conjointement avec le principe dit [de] “minimisation des données” consacré à l’article 5, paragraphe 1, sous c), [de ce règlement] » (16). Ce principe est, selon la jurisprudence de la Cour et comme je l’ai déjà souligné (17), une expression du principe de proportionnalité (18) qui exige, ainsi que le soutient le gouvernement français dans ses observations écrites, que les moyens utilisés soient aptes à réaliser l’objectif visé et n’aillent pas au-delà de ce qui est nécessaire pour l’atteindre (19).
32. Autrement dit, le principe de minimisation des données suppose de vérifier que les données traitées sont aptes à atteindre la finalité visée par leur traitement – selon les motifs énoncés à l’article 6, paragraphe 1, du RGPD – et que les données traitées ne le sont que si la finalité du traitement ne peut raisonnablement être atteinte par d’autres moyens. Le champ des données ainsi traitées, d’un point de vue tant quantitatif que substantiel, n’est pas plus étendu que ce qui est nécessaire pour atteindre cette finalité (20).
33. À cet égard, je procéderai à une remarque supplémentaire. Je relève que la Cour n’a interprété le principe de minimisation des données conjointement avec le principe de licéité du traitement que dans des situations où le traitement en cause était fondé sur un des motifs prévus à l’article 6, paragraphe 1, sous b) à f), du RGPD. Autrement dit, la Cour n’a pas clairement précisé si le principe de minimisation des données a également vocation à s’appliquer lorsque la personne concernée a consenti au traitement de ses données à caractère personnel. Il est vrai que l’on pourrait défendre l’idée selon laquelle, dans la mesure où la personne y consent, le responsable du traitement peut procéder au traitement de toutes données, sans que le principe de minimisation s’y oppose.
34. Toutefois, une telle interprétation ne me semble compatible ni avec l’objectif du RGPD d’assurer un niveau élevé de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel, ni avec le texte des dispositions en cause.
35. En effet, je relève que l’article 6, paragraphe 1, sous a), du RGPD prévoit la licéité du traitement à condition que la personne concernée ait « consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques » (21). À cet égard, je souligne que le consentement s’entend de « toute manifestation de volonté, libre, spécifique, éclairée et univoque » (22). Autrement dit, il ne peut s’agir d’un consentement général au traitement de toutes données. En outre, la finalité pour laquelle il est consenti au traitement des données doit être communiquée à la personne concernée. L’article 5, paragraphe 1, sous c), de ce règlement prévoit quant à lui que les données traitées sont « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (23). Dans ces conditions, le principe de minimisation des données me semble s’appliquer même dans l’hypothèse où le traitement de ces données est réalisé avec le consentement de la personne concernée et conduit à vérifier que les données en cause sont bien limitées à ce qui est nécessaire pour réaliser la finalité spécifique du traitement.
36. C’est à la lumière de ces considérations qu’il convient de procéder à l’examen du traitement des données de civilité de ses clients par SNCF Connect à la lumière de l’article 6, paragraphe 1, sous b) et f), du RGPD, étant précisé que la juridiction de renvoi se réfère exclusivement à ces deux finalités du traitement.
2. Sur l’article 6, paragraphe 1, sous b), du RGPD : la nécessité du traitement pour l’exécution d’un contrat auquel la personne concernée est partie ou pour l’exécution de mesures précontractuelles prises à la demande de celle-ci
37. L’article 6, paragraphe 1, sous b), du RGPD prévoit qu’un traitement de données à caractère personnel est licite s’il est « nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ».
38. La Cour a précisé, dans l’arrêt Meta Platforms e.a., la portée de cette disposition. Elle a ainsi jugé que « pour qu’un traitement de données à caractère personnel soit regardé comme étant nécessaire à l’exécution d’un contrat, au sens de cette disposition, il doit être objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à la personne concernée. Le responsable du traitement doit ainsi être en mesure de démontrer en quoi l’objet principal du contrat ne pourrait être atteint en l’absence du traitement en cause » (24).
39. Les parties s’accordent pour définir l’objet principal du contrat comme étant la fourniture d’un titre de transport et, in fine, le transport des clients par voie ferroviaire. Il importe donc de vérifier, d’une part, si les données de civilité du client sont traitées pour réaliser une finalité faisant partie intégrante de la prestation de transport et, d’autre part, si ce traitement est objectivement indispensable pour ce faire.
a) L’identification de la finalité du traitement
40. SNCF Connect et le gouvernement français font valoir que l’exécution du contrat de transport suppose de communiquer avec le client, tant lors de la réservation que pendant et après le voyage en cause, et implique de connaître la civilité de ce client afin de communiquer de façon personnalisée avec le client et selon des usages couramment admis en matière de communication commerciale.
41. SNCF Connect ajoute qu’il importe, pour l’exécution du contrat de transport, de connaître le sexe de la personne concernée afin de pouvoir adapter la prestation dans des cas particuliers, tels que l’assistance aux personnes à mobilité réduite ou l’accès à des wagons réservés aux femmes dans les trains de nuit. À cet égard, je relève qu’un tel objectif ne fait pas strictement l’objet de la première question préjudicielle telle que formulée par la juridiction de renvoi, qui se réfère expressément à l’utilisation d’usages couramment admis en matière de communication commerciale. Toutefois, dans la mesure où la juridiction de renvoi interroge plus généralement la Cour sur la collecte des données de civilité à la lumière des principes de minimisation des données et de licéité du traitement, je procéderai tout de même à l’examen d’un tel argument.
42. S’agissant de la finalité de communication avec le client, je suis d’avis qu’elle devrait être considérée comme faisant partie intégrante du contrat de transport. En effet, un tel contrat suppose la fourniture d’un titre de transport et, donc, d’entrer en contact avec le client pour le lui transmettre. La nécessité de communiquer avec le client me semble en outre perdurer pendant la réalisation du transport afin, notamment, de le prévenir de tout incident ayant un impact sur son voyage et après le transport, en particulier en cas d’échanges avec le service client au sujet de ce voyage.
43. À cet égard, il me faut préciser que l’argument formulé par le gouvernement français selon lequel la finalité du traitement est non seulement la communication avec le client, mais plus précisément encore la communication avec le client selon les usages en matière de communication commerciale doit être rejeté. D’une part, une finalité ainsi définie ne me semble pas faire partie intégrante de la prestation d’un service de transport : rien n’indique que celle-ci ne pourrait être réalisée en l’absence de communication selon les usages couramment admis en matière de communication commerciale. D’autre part, cet argument procède d’un raisonnement circulaire. La finalité du traitement des données ainsi définie – communiquer selon les usages couramment admis en matière de communication commerciale – se confond en effet avec les moyens utilisés pour atteindre cette finalité – l’utilisation des usages couramment admis en matière de communication commerciale.
44. S’agissant de l’adaptation de la prestation de transport à des cas particuliers tels qu’évoqués par SNCF Connect, il me semble également difficilement contestable qu’elle fasse partie intégrante de cette prestation, dès lors qu’elle vise précisément à assurer sa réalisation.
45. Cependant, quand bien même les finalités du traitement en cause sont bien, à mon sens, inhérentes à la prestation d’un service de transport et peuvent être admises au titre de l’article 6, paragraphe 1, sous b), du RGPD, encore faut-il que le traitement des données à caractère personnel soit indispensable à la réalisation de la finalité invoquée, de sorte que l’objet principal du contrat ne pourrait être atteint sans ce traitement et qu’il n’existe pas d’autres solutions praticables et moins intrusives pour réaliser la même finalité.
46. Or, je suis d’avis que le traitement des données de civilité va au-delà de ce qui est nécessaire pour permettre l’exécution correcte du contrat.
b) La nécessité du traitement pour réaliser les finalités identifiées
47. En premier lieu, s’agissant de la finalité de communication, l’exécution correcte du contrat de transport ne saurait dépendre de l’utilisation de la civilité dans la communication de la société de transport avec ses clients, et ce quand bien même le responsable du traitement entend communiquer de façon personnalisée avec ses clients. En effet, une société de transport peut aisément communiquer de façon personnalisée avec ses clients sans faire usage de leur civilité.
48. En outre, si SNCF Connect a souligné, lors de l’audience, la nécessité de préserver une image de marque en faisant usage de formules couramment admises dans la communication commerciale, d’autres formules témoignant d’égards envers le client et qui ne dépendent pas de la civilité peuvent tout autant permettre d’atteindre ce résultat.
49. Il en va d’autant plus ainsi que, comme le soutient Mousse et sous réserve de vérifications par la juridiction de renvoi, SNCF Connect n’a pas recours systématiquement, dans la pratique, aux usages couramment admis en matière de communication commerciale qui impliqueraient de connaître la civilité des clients, mais utilise d’autres formules plus générales, telles que « Merci, bon voyage » ou encore « Bonjour ». L’absence d’utilisation systématique de la civilité des clients dans la communication de SNCF Connect me semble indiquer clairement non seulement l’absence de nécessité du traitement de ces données pour l’exécution du contrat en cause, mais également, à la lumière du principe de minimisation des données, le traitement de données plus étendues que ce qui est nécessaire.
50. Dans le même ordre d’idées, je relève que, interrogée sur ce point lors de l’audience, SNCF Connect est convenue que la transmission délibérée d’une civilité autre que la civilité réelle de la personne concernée est en réalité sans incidence sur la prestation du service de transport. Dans ces conditions, force est de constater que l’objet principal du contrat peut toujours être atteint en l’absence du traitement des données en cause.
51. En second lieu, s’agissant de la finalité d’adaptation de la prestation de transport, là encore, je suis d’avis que le traitement des données de civilité va au-delà de ce qui est nécessaire pour permettre sa réalisation. D’une part, les données à caractère personnel pertinentes pour permettre une telle adaptation me semblent être non pas les données de civilité, qui, de l’avis du gouvernement français, ne constituent pas un élément de l’état civil des personnes, mais les données relatives au sexe des clients, tel qu’il figure dans l’état civil des personnes. D’autre part, ce même objectif pourrait être atteint par le recueil et le traitement de ces données non pas pour l’intégralité des commandes de titres de transport, mais seulement pour les cas particuliers le nécessitant, tels que la commande d’un titre de transport pour voyager dans un wagon réservé aux femmes dans les trains de nuit ou une demande d’assistance pour une personne à mobilité réduite.
52. Dans ces conditions, je suis d’avis qu’il convient d’interpréter l’article 6, paragraphe 1, sous b), du RGPD, et l’article 5, paragraphe 1, sous c), de celui-ci, en ce sens que le traitement systématique des données de civilité ne peut être considéré comme étant nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, lorsque ce traitement vise à permettre une communication commerciale personnalisée en assurant le respect d’usages couramment admis en matière de communication commerciale ou à assurer une adaptation de la prestation de transport en raison du sexe de la personne concernée.
3. Sur l’article 6, paragraphe 1, sous f), du RGPD : la nécessité du traitement aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
53. L’article 6, paragraphe 1, sous f), du RGPD prévoit qu’un traitement de données à caractère personnel est licite s’il est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ».
54. Il est constant dans la jurisprudence de la Cour qu’il ressort de cette disposition que trois conditions cumulatives doivent être satisfaites pour que le traitement des données à caractère personnel qu’elle vise soit licite. Premièrement, le responsable du traitement ou un tiers doit poursuivre un intérêt légitime. Deuxièmement, le traitement des données à caractère personnel est nécessaire pour la réalisation de l’intérêt légitime. Troisièmement, les intérêts ou les libertés et droits fondamentaux de la personne concernée par la protection des données ne prévalent pas sur l’intérêt légitime du responsable du traitement ou d’un tiers (25).
55. S’agissant de la première condition, relative à la poursuite d’un intérêt légitime, la Cour a souligné, dans l’arrêt Meta Platforms e.a., que, « conformément à l’article 13, paragraphe 1, sous d), du RGPD, il incombe au responsable du traitement, au moment où des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, de lui indiquer les intérêts légitimes poursuivis lorsque ce traitement est fondé sur l’article 6, paragraphe 1, [...] sous f), de ce règlement » (26). La Cour a ainsi jugé, dans ce même arrêt, que cette dernière disposition doit être interprétée en ce sens qu’un traitement de données à caractère personnel « ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu’à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement » (27).
56. Autrement dit, la sanction du non-respect de l’obligation d’information prévue à l’article 13, paragraphe 1, sous d), du RGPD est l’illégalité du traitement des données à caractère personnel en cause.
57. Or, ainsi que le fait valoir la Commission, et sous réserve de vérifications par la juridiction de renvoi, il m’apparaît que SNCF Connect ne s’est pas conformée à cette obligation.
58. Ainsi que le souligne la Commission, SNCF Connect mentionne, dans sa « charte de confidentialité » disponible sur son site Internet, la base légale du traitement des données de civilité comme étant « l’intérêt légitime ». Je formulerai deux remarques à cet égard. D’une part, la seule mention de l’intérêt légitime, sans que soit spécifié quel est précisément cet intérêt légitime, ne saurait satisfaire à l’obligation d’information énoncée à l’article 13, paragraphe 1, sous d), du RGPD, qui impose au responsable du traitement d’indiquer l’intérêt légitime poursuivi. D’autre part, et en tout état de cause, la mention d’un intérêt légitime de façon générale dans une « charte de confidentialité », certes disponible sur le site Internet du responsable du traitement, mais que le client doit volontairement rechercher, n’est pas davantage conforme à l’article 13, paragraphe 1, sous d), de ce règlement. En effet, cette disposition impose d’informer la personne concernée de l’intérêt légitime poursuivi au moment où les données sont collectées, ce qui suppose, à mon sens, qu’une telle information soit portée directement à la connaissance du client lorsque celui-ci fournit les données en cause le concernant.
59. En outre, interrogée lors de l’audience sur l’obligation d’information, SNCF Connect n’a pas été en mesure d’indiquer que l’intérêt légitime poursuivi par le traitement est effectivement communiqué à ses clients au moment de la collecte des données de civilité.
60. Partant, la première condition de l’article 6, paragraphe 1, sous f), du RGPD, tenant à l’existence d’un intérêt légitime, interprétée à la lumière de l’obligation de communication de cet intérêt prévue à l’article 13, paragraphe 1, sous d), de ce règlement, n’est pas satisfaite. Dès lors, le traitement des données de civilité dans une telle situation ne saurait être considéré comme licite au sens de cette disposition, sans qu’il soit besoin d’examiner si les deux autres conditions prévues à l’article 6, paragraphe 1, sous f), dudit règlement sont remplies.
a) Conclusion sur l’interprétation de l’article 6, paragraphe 1, sous f), du RGPD
61. Il résulte de ce qui précède que, selon moi, l’article 6, paragraphe 1, sous f), du RGPD, et l’article 5, paragraphe 1, sous c), de celui-ci, doivent être interprétés en ce sens que le traitement des données de civilité des clients d’une société de transport ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, dans la mesure où cette société n’a pas indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement.
b) Remarques supplémentaires
62. Par souci d’exhaustivité, et pour le cas où la Cour parviendrait à la conclusion que l’intérêt légitime en cause a été communiqué conformément à l’article 13, paragraphe 1, sous d), du RGPD, je poursuivrai tout de même l’analyse des conditions devant être satisfaites pour qu’un traitement de données à caractère personnel soit considéré comme licite sur le fondement de l’article 6, paragraphe 1, sous f), de ce règlement.
63. S’agissant, en premier lieu, de la condition tenant à l’existence d’un intérêt légitime, SNCF Connect et le gouvernement français font valoir que l’intérêt légitime poursuivi serait la communication avec le client.
64. Je relève que la Cour a jugé, s’agissant de la notion d’« intérêt légitime », que, « en l’absence de définition de cette notion par le RGPD, il convient de souligner [...] qu’un large éventail d’intérêts est, en principe, susceptible d’être considéré comme étant légitime » (28).
65. À cet égard, je rappelle que SNCF Connect est une entreprise offrant à la vente en ligne des titres de transport par voie ferroviaire. Comme je l’ai évoqué (29), ce service suppose d’entrer en contact avec le client, à tout le moins pour lui transmettre le titre de transport. Il m’apparaît donc que la finalité de communication avec le client peut constituer un intérêt légitime pour cette entreprise, au sens de l’article 6, paragraphe 1, sous f), du RGPD, de sorte que la première condition, tenant à l’existence d’un tel intérêt légitime, devrait, à mon sens, être considérée comme satisfaite.
66. S’agissant, en deuxième lieu, de la condition tenant à la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime, elle ne me semble pas satisfaite. Comme je l’ai démontré dans le cadre de mon analyse de l’article 6, paragraphe 1, sous b), du RGPD, le traitement des données de civilité va au-delà de ce qui est nécessaire pour permettre d’atteindre la finalité de communication avec le client, cette communication pouvant s’opérer sans faire usage de ces données (30).
67. S’agissant, en troisième et dernier lieu, de la condition tenant à ce que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent pas sur l’intérêt légitime du responsable du traitement ou d’un tiers, je souligne que la Cour a jugé que « celle-ci implique une pondération des droits et des intérêts opposés en cause qui dépend, en principe, des circonstances concrètes du cas particulier et que, par conséquent, il revient à la juridiction de renvoi d’effectuer cette pondération en tenant compte de ces circonstances spécifiques » (31). Je formulerai toutefois certaines remarques afin de guider cette dernière dans la conduite de cette appréciation.
68. La Cour a ainsi jugé que, « dans le cadre de cette pondération des droits et des intérêts opposés en cause, à savoir ceux du responsable du traitement, d’une part, et ceux de la personne concernée, d’autre part, il importe de tenir compte [...] notamment des attentes raisonnables de la personne concernée ainsi que de l’étendue du traitement en cause et de l’impact de celui-ci sur cette personne » (32).
69. En outre, il ressort du considérant 47 du RGPD que « l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée ».
70. À cet égard, je ne perçois pas dans quelle mesure le client d’une entreprise de transport aurait pu raisonnablement s’attendre à ce que ses données de civilité soient traitées par celle-ci, dans le but de communiquer dans le cadre de la prestation d’achat d’un titre de transport.
71. En tout état de cause, je ne crois pas que la seule existence d’attentes raisonnables suffise à assurer que l’intérêt légitime du responsable du traitement prévaut sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Si un tel élément est assurément pertinent dans le cadre de la pondération à mener, il ne saurait en revanche conduire systématiquement à juger que l’intérêt légitime du responsable du traitement prime, en particulier lorsque le traitement des données à caractère personnel en cause est susceptible de porter atteinte à une liberté ou à un droit fondamental de la personne concernée, tels que garantis par la Charte.
72. Or, comme le soutient Mousse, tel me semble être le cas en l’espèce. En effet, cette association fait valoir l’existence d’un risque de discrimination en raison du genre du fait du traitement des données de civilité, en particulier s’agissant des personnes transgenres ou de personnes ayant la nationalité d’un État reconnaissant le genre neutre.
73. Dans ces conditions, et sous réserve des vérifications de la juridiction de renvoi, je suis d’avis que l’intérêt légitime de communication avec le client ne saurait prévaloir sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.
B. Sur la seconde question préjudicielle
74. Par sa seconde question préjudicielle, la juridiction de renvoi cherche à savoir, en substance, si l’article 6, paragraphe 1, sous f), du RGPD doit être interprété en ce sens que, aux fins d’apprécier la nécessité d’un traitement de données à caractère personnel au sens de cette disposition, il y a lieu de tenir compte de l’existence éventuelle d’un droit d’opposition de la personne concernée, au titre de l’article 21, paragraphe 1, de ce règlement.
75. L’article 21, paragraphe 1, du RGPD prévoit que la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, sous e) ou f), de ce règlement, y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée ou pour la constatation, l’exercice ou la défense de droits en justice.
76. Selon une jurisprudence constante, pour l’interprétation d’une disposition du droit de l’Union, il y a lieu de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (33).
77. S’agissant des termes de l’article 21, paragraphe 1, du RGPD, je relève que le législateur de l’Union souligne que le droit d’opposition concerne le traitement des données à caractère personnel fondé, notamment, sur l’article 6, paragraphe 1, sous f), de ce règlement. Autrement dit, comme le font valoir Mousse et la Commission, le droit d’opposition suppose l’existence d’un traitement licite, sur la base notamment de l’intérêt légitime du responsable du traitement. Ce droit n’a donc vocation à être mis en œuvre qu’une fois que le traitement licite a eu lieu, afin de le faire cesser.
78. Cela est confirmé, selon moi, par la seconde partie de l’article 21, paragraphe 1, du RGPD, qui prévoit que, en cas d’opposition en vertu de cette disposition de la part de la personne concernée, le responsable du traitement ne traite plus les données en cause (34). Une telle formulation sous-entend clairement, à mon sens, que le traitement des données en cause est licite selon les conditions exposées à l’article 6, paragraphe 1, sous f), de ce règlement, mais que ces données ne peuvent plus, une fois l’opposition formée, faire l’objet d’un tel traitement.
79. Autrement dit, l’article 21, paragraphe 1, du RGPD n’a vocation à jouer qu’une fois la licéité du traitement établie.
80. Il résulte donc des termes de l’article 21, paragraphe 1, du RGPD que l’existence d’un droit d’opposition n’est aucunement pertinente pour l’appréciation de la nécessité d’un tel traitement au titre de l’article 6, paragraphe 1, sous f), de ce règlement, dès lors que la mise en œuvre de l’article 21, paragraphe 1, dudit règlement suppose que les conditions de l’article 6, paragraphe 1, sous f), du même règlement soient déjà satisfaites.
81. Une telle interprétation littérale de l’article 21, paragraphe 1, du RGPD est en outre confirmée par son analyse à la lumière du contexte et des objectifs de ce règlement.
82. S’agissant de l’interprétation contextuelle de cette disposition, je relève que les motifs pouvant fonder le traitement de données à caractère personnel sont énoncés à l’article 6 du RGPD, qui vise le principe de licéité, au sein du chapitre II de ce règlement, relatif aux principes qui gouvernent le traitement des données. L’article 21 dudit règlement, quant à lui, relève du chapitre III, relatif aux droits de la personne concernée. En outre, ainsi que je l’ai déjà souligné, les motifs énoncés à l’article 6 du même règlement sont, de jurisprudence constante, exhaustifs (35). Dans ces conditions, les deux dispositions en question remplissent deux fonctions différentes et on ne saurait considérer que l’article 21 du RGPD puisse être pris en considération dans l’examen de la licéité du traitement, seulement réglée par l’article 6 de ce règlement.
83. S’agissant de l’interprétation téléologique de l’article 6, paragraphe 1, sous f), et de l’article 21 du RGPD, la prise en compte de l’existence d’un droit d’opposition aux fins d’apprécier la licéité d’un traitement de données au titre de l’article 6 de ce règlement reviendrait à admettre la licéité d’un traitement de données en raison de la seule possibilité que la personne concernée puisse ultérieurement s’opposer à ce traitement. Cela conduirait donc à étendre les motifs de licéité des traitements au-delà des seuls cas prévus à l’article 6 dudit règlement et à faire dépendre le niveau de protection des personnes concernées de leur diligence pour s’opposer au traitement de leurs données à caractère personnel, sans quoi ce traitement pourrait être jugé licite. Une telle interprétation me semble donc susceptible de porter atteinte à l’objectif d’assurer un niveau élevé de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel.
84. Partant, je suis d’avis qu’il convient de répondre à la seconde question préjudicielle que l’article 6, paragraphe 1, sous f), du RGPD doit être interprété en ce sens qu’il s’oppose à ce que, aux fins d’apprécier la nécessité d’un traitement de données à caractère personnel au sens de cette disposition, il soit tenu compte de l’existence éventuelle d’un droit d’opposition de la personne concernée, au titre de l’article 21, paragraphe 1, de ce règlement.
V. Conclusion
85. Au vu de l’ensemble des considérations qui précèdent, je propose de répondre comme suit aux questions préjudicielles posées par le Conseil d’État (France) :
L’article 6, paragraphe 1, sous b), et l’article 5, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doivent être interprétés en ce sens que :
le traitement systématique des données de civilité ne peut être considéré comme étant nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, lorsque ce traitement vise à permettre une communication commerciale personnalisée en assurant le respect d’usages couramment admis en matière de communication commerciale ou à assurer une adaptation de la prestation de transport en raison du sexe de la personne concernée.
L’article 6, paragraphe 1, sous f), et l’article 5, paragraphe 1, sous c), du règlement 2016/679
doivent être interprétés en ce sens que :
le traitement des données de civilité des clients d’une société de transport ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, dans la mesure où cette société n’a pas indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement.
L’article 6, paragraphe 1, sous f), du règlement 2016/679
doit être interprété en ce sens que :
il s’oppose à ce que, aux fins d’apprécier la nécessité d’un traitement de données à caractère personnel au sens de cette disposition, il soit tenu compte de l’existence éventuelle d’un droit d’opposition de la personne concernée, au titre de l’article 21, paragraphe 1, de ce règlement.