Le RGPD et la lutte contre la discrimination

2026-01-05

Le 29 décembre 2025, Stop Homophobie a annoncé porter plainte contre la Société Générale suite à des articles parus dans Le Canard Enchaîné et l'Humanité quelques jours plus tôt. Ces derniers expliquent que la banque demande des informations optionnelles sur l'orientation sexuelle aux personnes postulant dans certains pays. Et j'ai décidé de me pencher dessus, car je pense qu'il y a de la matière à discuter loin des titres racoleurs de la presse.

Alors si on lit l'article de Stop Homophobie, leur raisonnement s'appuie sur le droit français et sur le RGPD, la bien connue réglementation de 2016 qui unifie les lois autour de la vie privée en Europe¹.

Et c'est déjà pour moi un premier souci, car les articles parlent de "postes à l'international". On peut donc supposer que le droit français ne s'applique que de manière indirect, et qu'on est pas vraiment dans un cas simple où ça ne va pas être discuté en détail. Ce n'est pas la première fois que Étienne Deshoulières² tente de pousser l'extra territorialité vu qu'il y a déjà ouvert une plainte contre une ONG au Sénégal il y a 3 ans, en arguant que comme c'est en français et lisible depuis la France, alors les tribunaux français sont compétents. Je ne suis pas assez versé en droit pour juger de la question du locus standi, mais je note que depuis 3 ans, on a pas entendu grand chose de nouveau sur l'affaire.

Et ce n'est pas non plus la première fois que le RGPD est utilisé pour des questions LGBT par l'association vu qu'on a eu le cas C-394/23 devant la CJUE il y a 1 an. Et contrairement au droit classique, le RGPD est un peu plus mon domaine, j'ai un peu potassé le sujet et j'ai sans doute un peu plus à dire.

Pour commencer, Stop Homophobie et Mousse disent avoir porter plainte pour 2 raisons, les questions de discriminations (article 225-1 du code pénal), et indirectement le RGPD via l'article 226-19 du même code. Comme les deux sont des associations luttant contre les discriminations, elles peuvent porter plainte directement (article L1225-4 du code de procédure pénale) sans représenter une personne en particulier. Et c'est d'ailleurs le premier point intéressant, c'est que si on suit strictement la loi, ni Mousse, ni Stop Homophobie ne peuvent porter plainte pour violation de l'article 226-19, car c'est limité aux associations de luttes contre le racisme (article L1225-3 du code de procédure pénale). Par contre, elles peuvent s'appuyer sur les violations de l'article 225-1 (discrimination), il n'y a pas de souci. Cependant, j'imagine qu'il faut sans doute avoir plus de preuves que "quelqu'un demande des infos" pour démontrer une discrimination, et on va pas me faire croire que c'est faisable en 5 jours pendant les vacances de Noël.

Si les 2 associations ont une personne qui porte plainte avec elle (ce que rien ne permet de supposer), alors c'est l'article 2-6 du code de procédure pénale qui s'applique, et tout comme l'article L1225-4, il n'est pas fait mention de l'article 226-19 du code pénal. Et si ça n'est ni l'un, ni l'autre, il ne reste que l'article l'article 2-17 qui couvre en effet les violations de 226-19, mais je ne crois pas que les statuts de Mousse correspondent vraiment, ni qu'on soit dans les cas assez grave décrit dans l'article. Et sans moyen de se porter partie civile et sans moyen de porter plainte, il reste finalement que le signalement au Procureur de la République (article 40), vu qu'il s'agit de faits dépendants du code pénal. Bien sûr, c'est peut être ce qu'on appelle "porter plainte" en language courant, à savoir aller à la police qui va donc de facto signaler au procureur qui peut décider de rien faire.

Mais en supposant que la plainte ne soit pas bloquée par ce détail de procédure, il y a d'autres obstacles avant condamnation, et il faut regarder en détail l'article 226-19. Ce dernier est simple, on a pas le droit de faire des fichiers (au sens large) sur l'orientation sexuelle, sauf si c'est autorisé par la loi. La question qui vient ensuite assez logiquement est de savoir ce que la loi autorise, et pour ça, il faut sortir du code pénal et regarder la transcription du RGPD, et plus précisément son article 9 sur les données dites sensibles.

Je vais supposer que le RGPD s'applique, parce que ça ne sert pas à grand chose de discuter si ça n'est pas le cas. Comme dit plus haut, je ne doute pas que ça soit sans doute un point important, mais c'est impossible de donner un avis clair sans avoir les détails. Pour traiter des données personnelles sous le régime du RGPD, il faut satisfaire les conditions de l'article 6 dans tout les cas et il faut aussi remplir les conditions de l'article 9 pour certaines données. Parmi les données concernées, on trouve notamment les "données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique". Et ça, ça couvre beaucoup de choses. Ça couvre assez logiquement un tableur Excel qui dit "tel personne est lesbienne", mais selon la jurisprudence européenne, ça couvre aussi bien les informations concernant les mariages que de savoir que des informations viennent de Grindr.

Pour le premier cas, c'est la CJUE qui l'a décidé en 2022 dans l'affaire C-184/20. Le fait de publier le nom de son ou sa conjoint-e pouvant permettre de savoir si une personne est en couple de même genre, c'est de facto une information sur l'orientation sexuelle régulée par l'article 9. Les juges ont indiqué qu'il est important d'avoir une protection de haut niveau sur le sujet (§125), donc avoir une vision large de ce qui est recouvert par l'article 9. Et c'est un jugement qui a été repris dans d'autres affaires comme par exemple la plainte de CNIL contre une société de voyance en ligne Telemaque en 2024, ou l'affaire Linapotheke en 2023 (cas C‑21/23 de la CJUE), donc pas vraiment un jugement mal foutu avec un risque de revirement.

Pour le second cas, c'est l'affaire PVN-2022-22 en Norvége, où l'autorité locale a décidé que le simple fait de savoir quelqu'un a un compte Grindr est une donnée concernant son orientation sexuelle. Et je suis assez sur que le raisonnement peut aussi couvrir le fait d'avoir l'application sur son téléphone ou le fait de regarder les logs des accès internet d'entreprises, ce qui risque de donner des sueurs froides à des juristes et des départements informatiques quand quelqu'un va poser des questions.

Un point intéressant sur l'article 9, c'est qu'il ne couvre pas explicitement le genre ou l'identité de genre. On a donc tendance à croire que les questions autour de la transidentité ne sont pas protégés de la même façon, ou alors via des raisonnements assez tortueux et contre productif sur les traitements hormonaux. En effet, si on suppose qu'une personne trans doit prendre des hormones, alors ça devient une information médicale, donc c'est couvert par l'article 9. Mais c'est contre productif car ça va à l'encontre du mouvement visant à démédicaliser les transidentités. Néanmoins, l'AEPD (l'équivalent espagnol de la CNIL) a publié 2 avis assez importants sur le sujet en 2024 et 2019, et la littérature ne semble pas en tenir compte³. En 2019 avec l'affaire PS/00245/2019 et en 2024 avec l'affaire EXP202202954, l'autorité en question a expliqué que la non binarité tombe sous le coup de l'article 9 car ça concerne la vie sexuelle. Je trouve le raisonnement un peu tiré par les cheveux personnelement, mais comme les différentes autorités de contrôle sont censés se mettre d'accord (article 63 du RGPD), je suppose que les autres sont du même avis.

Et un autre point important sur l'identité de genre, c'est que c'est explicitement couvert par l'article 226-19 du code pénal français. Il y a donc un flou vu que le RGPD ne compte pas le traitement de l'identité de genre comme interdit, au contraire de la loi française. Et c'est d'autant plus flou que quand on marque "F", est ce qu'on enregistre le genre, le sexe, l'identité de genre ou l'expression de genre ? Pour le moment, tout le monde s'en fout, mais je ne doute pas que ça remonte à la surface d'ici un horizon de 5 ans, notament quand Mousse va trouver une affaire pour faire changer les lois en vue de faire reconnaitre la non binarité par l'état. Pour le moment, c'est loin d'être gagné vu que les conclusions du dernier cas devant une instance européene (Y contre France en 2023) sont de laisser les états décider pour le moment. Il y a bien une proposition de retirer la mention de genre des cartes d'identité, mais ça ne va arriver de sitôt vu qu'il y a pas encore eu passage devant la Commission des lois, même si ça ne devrait pas trop tarder vu que des propositions d'octobre et novembre 2025 sont à l'agenda des réunions qui viennent en janvier 2026.

Pour en revenir sur l'affaire avec la SG, l'article de l'Humanité indique que les questions sont "Vous identifiez-vous comme membre de la communauté LGBTQ+ ?" et une question sur le genre avec 4 réponses possibles. Autant il y a un flou sur le fait qu'une question de genre tombe sous le coup de l'article 9 du RGPD et de l'article 226-19 du code pénal comme vu plus haut, autant la question sur l'appartenance à la communauté LGBTQ+ est bien plus simple à rattacher à l'article 9.

Mais l'article 9 ne se contente pas d'interdire des traitements, il liste aussi divers exceptions à cette interdiction. Et pour le cas de la Societé Général, je pense que leur service juridique va s'appuyer sur une des exceptions de l'article 9.2 pour justifier la licéité du traitement. Pour commencer, il y a le point 9.2.a sur le consentement explicite. Vu les informations de l'article de l'Humanité, rien n'indique que la question soit optionnelle, mais ça ne veut pas dire que ça ne le soit pas. En effet, l'article a sans doute pour source le cadre qui a été viré, et le cadre en question avait 10 pages de fautes lourdes et de reproches peu de temps après son signalement. Je ne dit pas qu'il y a mensonge, mais j'ai tendance à me dire que les services RHs ne vont pas virer quelqu'un qui fait uniquement un signalement, ni virer la personne aussi rapidement. Et en fait, j'aurais même tendance à penser que le cadre en question était en train de chercher à changer de poste en interne de part sa présence sur la plateforme de recrutement citée, et donc que ça n'allait pas avant. Et bien sûr, après s'être fait lourder (à tort ou à raison), il a pu décider de pourrir son employeur en contactant les journalistes, j'aurais clairement fait pareil.

Les associations plaignantes vont sans doute rétorquer que le consentement n'est pas admissible dans le cadre d'un emploi suivant l'avis 05/2020 de l'EDPB, point 20. L'EDPB indique clairement que ça s'applique pour les futur-e-s employé-e-s. Néanmoins, un tribunal peut sans doute se laisser convaincre qu'avec assez de garde-fou à commencer par une non obligation de répondre, ça peut être légitime. Si on lit l'article de l'Humanité, on peut noter qu'il y a en effet une mention d'une "je ne veux pas répondre" pour la question sur le genre alors qu'il s'agit d'une donnée dont la collecte est bien moins controversée. Je serais donc assez surpris de ne pas avoir ça sur la question concernant l'orientation sexuelle. Malgré l'indignation des journalistes, la collecte des données de genre est une quasi obligation dans les entreprises en France depuis la loi Rixain de 2021, et c'est donc autorisé via l'exception 9.2.b sur les obligations en matière de droit du travail.

Et c'est d'ailleurs un point que le service juridique de la SG risque également d'opposer à la plainte, à savoir l'obligation de lutter contre les discriminations. Autant une entreprise peut facilement démontrer qu'elle a fait son possible pour éviter les discriminations directes via des formations sur le sujet, une séparation des données, etc⁴, autant il est plus dur d'améliorer les choses pour lutter contre les cas de discriminations indirectes sans avoir des données statistiques. Les données de ce genre sont en effet importantes⁵ vu qu'on a besoin de juger l'impact sur un groupe. Et c'est beaucoup plus clair quand on se souvient que le concept de discrimination indirect est nommé "disparate impact" en droit US (soit "impact différent" par opposition à "disparate treatement" (traitement différent) pour la discrimination directe). Il est intéressant de voir que Stop Homophobie relaie également la demande des associations de personnes trans pour plus de statistiques sur l'identité de genre sur les homicides, donc à avoir la police qui va devoir faire un fichier sur l'identité de genre.

La question de savoir si une entreprise doit être proactive dans la gestion de la discrimination est un long sujet de débat. Par exemple, dans l'affaire Ricci v. DeStefano, la Cour Suprême des USAs a du décider sur la question de la prévention de la discrimination indirecte (en l'occurrence suite à des résultats de test) même si ça aboutit à une discrimination directe (ici, refaire passer les tests à tout le monde). En 2009, la réponse était négative mais c'était un cas bien particulier. En 2025 et sur le sujet des droits LGBT en Europe, la situation est sans doute différente. En effet, il y a des juridictions avec des obligations un peu plus contraignantes que la France. Par exemple, en Espagne, l'état demande depuis 2023 d'avoir des mesures suffisantes pour la prévention des discriminations (article 62, point 3), un point compris comme impliquant qu'une entreprise doit démontrer sa conformité notamment via des statistiques. De même, je sais que la pratique d'avoir des stats de diversités était courante aux USA avant le second mandat de Trump.

Donc dans un contexte international non précisé, il est fort possible que quelqu'un dans une antenne locale de la SG ai décidé de faire un travail proactif à ce niveau là ce qui a entraîné un besoin légitime de faire des statistiques sur les personnes qui postulent afin d'améliorer ça. Une grande part du travail de gestion de la diversité en entreprise est de rendre la dite diversité intelligible, et ça implique la mise en place d'indicateurs. Mais ça n'est pas parce que ça part d'une bonne intention que c'est légal en soit.

Si je voulais être complet, je noterais que la SG peut aussi essayer de se justifier via l'exception 9.2.j, mais ça serait sans doute une erreur, car ça semble concerner les administrations publiques avant tout, et sans doute pas les entreprises. La jurisprudence que j'ai trouvé est assez limitée, et elle ne concerne que des hôpitaux.

Au final, la plainte est selon moi loin d'être gagnée d'avance. Il y a beaucoup trop de flou autour de la juridiction exacte⁶, et quelques problèmes d'ordre procéduraux. Le fait d'avoir envoyé la plainte en 4 jours sans chercher à rejoindre d'autres associations notamment anti-racistes est curieux, car ça semble tenir d'une précipitation malvenue. Et même si c'est avant tout une opération de communication, faire ça entre Noël et Jour de l'An me semble être une erreur grossiére. J'ai aussi du mal à croire que les services juridiques d'une banque de 120 000 personnes se plantent à ce point sur ce sujet qui me semble évident et critique. Comme n'importe quel grosse boite, le moindre changement doit passer devant 50 personnes, et je ne crois pas que la vie privée soit traité à la légère en France.

Pour conclure, je voudrais pointer que le sujet des discriminations et de l'inclusion des personnes LGBT+ en entreprise me semble assez ignoré en France. Lors du salon Inclusiv'Day, il y a rarement plus d'une présentation sur le sujet, et pareil pour les exposants. Dans son rapport de décembre 2025, la Défenseure des droits pointe dans un graphique (page 16) que les discriminations sont plus importantes sur la couleur de peau, l'âge ou le genre, mais ne semble pas mettre ça en proportion de la population affecté. En effet, si 4% des personnes qui s'estiment discriminées cite l'orientation sexuelle comme raison, ça ne fait que correspondre à une estimation basse des personnes non hétéros en France. La même Defenseuse ne donne pas beaucoup de chiffres sur le sujet, et je doit me tourner vers les sondages de l'Autre Cercle ou les stats de la FRA pour avoir des estimations.

Mais surtout, je trouve assez curieux de voir d'un coté une injonction militante à la visibilité via les marches des fiertés partout en France, et en même temps, les efforts sur le fait de rendre la visibilité quasiment tabou en mettant des bâtons dans les roues envers la moindre tentative de pilotage via des stats pour des questions de principes. Quelque part, ça rejoint mes interrogations d'il y a 3 ans sur l'outing et son impact en pratique, et j'ai toujours pas de réponses. Mais je vois encore aujourd'hui que le tabou autour de la divulgation de sa sexualité entraine des souffrances chez les gens, et qu'il faut donc l'interroger.

Pour une certaine valeur de "Europe", je ne vais pas rentrer dans les détails.

Fondateur de Mousse, l'autre association qui porte plainte via son propre cabinet.

Enfin si, il y a une note rapide à la page 375 de The EU General Data Protection Regulation (GDPR): A Commentary.

⁴

Ou une adhésion à l'association l'Autre Cercle.

⁵

Voir par exemple "Indirect discrimination and the gendered realities of part-time work. Review of the Joined Cases IK (C-184/22) and CM (C-185/22) v KfH Kuratorium für Dialyse und Nierentransplantation eV, EU:C:2022:1011".

⁶

Sud Ouest cite notament le Royaume Uni où le RGPD s'applique (plus ou moins) car transposé avant le Brexit, et le Canada où il ne s'applique pas.