Journal Les systèmes informatiques, le RGPD, la libre circulation et les droits des personnes trans

Sommaire

• • La civilité et l'article 4 du RGPD
  • La transidentité et l'article 16 du RGPD, le droit de rectification
  • La droit à l'oubli (article 17) et la transition
  • Le droit français et les changements qui viennent
  • Conclusion

Bonjour Nal,

Il y a 2 jours, nous étions le 31 mars 2026, date de la Journée internationale de visibilité. Je voulais poster mon journal ce jour la, mais j'ai décidé de le poster aujourd'hui à la place. J'aimerais pouvoir dire que j'ai fait ça pour laisser la place à des personnes trans vu que c'est un peu l'idée, mais ça serait faux. D'une part, il y a assez de place pour tout le monde dans la section journal au rythme de publication actuelle, et d'autre part, personne n'a posté sur le sujet sur Linuxfr, donc je n'aurais pas pris la place de grand monde. La vérité, c'est que j'ai eu l'idée sous la douche mardi matin, et que j'ai mis du temps à tout écrire en partie parce que j'ai un boulot. Quand à poster le premier avril, même si le nombre de poissons a chuté depuis quelque années, j'ai préféré ne pas prendre de risque, et attendre encore un jour. Mais maintenant que je n'ai plus d'excuse, je vais donc profiter pour récolter du karma en faisant ce que mon public aime, parler du RGPD, des lois en Europe, et du logiciel libre.

Au premier abord, le rapport entre le RGPD et les droits des personnes LGBT est sans doute assez ténu vu qu'on a tendance à penser ces derniers sous l'angle des questions de non-discrimination. Mais depuis quelques années, les efforts de "contentieux stratégiques" (strategic litigation en anglais) devant les tribunaux européens passent par des chemins indirect comme le droit à la vie privée ou la libre circulation des personnes. Et comme tout est logiciel, il y a parfois un impact sur les systèmes informatiques que beaucoup d'entre nous doivent mettre en place, écrire et/ou maintenir.

Et c'est donc à ce titre que je me suis dit qu'il était temps de faire un point sur le sujet, en abordant un certain nombre de choses ayant un lien avec les logiciels et la transidentité.

La civilité et l'article 4 du RGPD

Alors on va commencer par quelque chose d'assez simple, la question de la civilité qu'on enregistre parfois dans nos systèmes. La presse française a largement couvert le sujet quand l'association Mousse a assigné la CNIL et la SNCF en justice sur cette question. Je ne vais pas détailler tout, il y a un article Wikipedia avec les liens, mais j'aimerais noter que la SNCF a déclaré qu'il était indispensable de demander la civilité pour vendre des billets de train, un point qui est assez clairement faux. La CJUE dans son arrêt Mousse c. SNCF a exprimé son désaccord et a indiqué qu'en vertu du principe de minimisation des données (article 4 du RGPD), on doit laisser le choix de donner ou pas l'information, car c'est objectivement non requis pour voyager en train. Est ce qu'une personne qui demande d'indiquer Mr/Mme risque une amende à cause de ça ? En théorie, oui, en pratique, pas plus que d'habitude vu que la CNIL est toujours surchargé (ou ne gère pas ses priorités comme il faut). Mais dans tout les cas, le jugement est assez clair sur le sujet, il ne faut pas demander des infos si c'est pas complètement indispensable, et "personnaliser la communication" ne rentre pas dans la catégorie indispensable.

Mais ça n'est pas tout, car même si on parle de grammaire, la civilité corresponds de façon assez direct avec le genre ou l'identité de genre. Et donc, je pense qu'on peut construire ça comme étant une donnée sensible au sens du RGPD. Et en général, quand je dit ça, il y a 3 réactions.

La première est de me regarder en disant "oui, oui" et en pensant "mais de quoi il parle ?". Par donnée sensible, je parle des données définies comme telle par l'article 9 du RGPD comme les informations de santés, l'orientation sexuelle, ou l'appartenance religieuse, etc. C'est sensible parce que c'est le genre d'information qui ont fait qu'on a envoyé des gens dans des camps pendant l'occupation allemande. On pourrais dire que j'exagère, mais les premières lois sur la vie privée sont arrivés dans les années 70, soit 25 à 30 ans après la seconde guerre mondiale. Elles sont arrivés en Allemagne, en Suède et en France, donc deux des protagonistes principaux de la guerre en question. Et pour la France, le lien entre les deux est explicitement documenté. Assez littéralement, j'écris ce texte à cause de Adolf Hitler (vu que sans lui, pas de CNIL, pas de CNIL, pas de RGPD, pas de RGPD, pas de journal). Donc depuis les années 70, on considère qu'il y a les données personnelles, et les données sensibles. Et justement, la même CJUE a déclarer qu'en vue d'avoir une protection effective des données sensibles, il ne faut pas se limiter uniquement à la donnée, mais à tout ce qu'on peut utiliser pour l'obtenir. Le cas qui est arrivé devant la cour est la publication en lituanie de la situation maritale des hauts fonctionnaires, et du nom de leur conjoint-e à des fins de transparence et de lutte contre la corruption. Et en effet, savoir qu'Alice a pour épouse Béatrice, ça permet quand même de déduire qu'il y a peu de chance que les 2 soit hétérosexuelles. Donc comme c'est une information sensible, c'est plus protégé que les données personnelles classiques. Pour la civilité et le genre, c'est pareil, on va déduire de l'usage de Monsieur qu'un personne s'identifie comme "Homme".

À l'opposé, un 2ème type de réaction est celle où la personne connaît le RGPD, et pointe vers moi un doigt de façon dramatique en criant "Objection !", suivi de "l'identité de genre n'est pas mentionné dans les textes, donc c'est faux". Alors c'est vrai, le RGPD ne parle pas d'identité de genre dans son article 9. Il y a bien des gens qui tentent de faire le lien en passant de "identité de genre" à "information médicale" car une transition implique souvent (mais pas toujours) une prise d'hormone ou une opération, mais je pense que c'est assez fragile et dur à défendre. Par contre, un point plus solide, c'est que la loi française diffère un peu du RGPD. Le RGPD ne mentionne pas l'identité de genre, mais on a l'article 226-19 du code pénal qui mentionne tout ce que l'article 9 mentionne avec l'identité de genre, et ceci depuis 2018 (soit quand le RGPD a été transcrit). Donc on peut essayer d'agumenter dans ce sens.

Mais il n'y a pas que la France dans le monde, c'est aussi l'avis de l'autorité de protection des données espagnole dans 2 avis émis en 2024 et en 2020 sur le fait de demander l'identité de genre en rajoutant des réponses au delà de H/F. Et pour être complet, je pointerais aussi l'avis de l'autorité grec, l' opinion d'un juge au Brésil (pays hors RGPD, mais avec une législation assez similaire). Et même si on regarde le RGPD, le récital 51 du RGPD (comprendre les objectifs du RGPD, moins normatifs que la loi mais qui donne les grands axes) ne rentre pas dans le détail de ce qui est sensible et ça donne plus de poids à l'idée qu'on puisse inclure l'identité de genre sous sa protection.

Donc il me semble que des juristes pourraient argumenter qu'il y a un début de consensus sur la sensibilité de l'identité de genre, même si visiblement, le Conseil d'État n'est pas d'accord avec moi. Mais je pointerais que le CE se préoccupe des lois françaises avant tout. Contrairement à la CNIL, il n'a pas d'obligation d'aller voir ailleurs, et n'a sans doute pas les contacts ou le réseau à portée de main. Le CE se préoccupe aussi de l'application des lois tel qu'elles sont écrites sans chercher à dévier. Et finalement, je pointerais que même si le CE avait décidé que le fichier attaqué traitait des informations couvertes par l'article 9, ça n'aurait rien changé à sa conclusion car il aurait pu invoquer l'exception 9.2.g du RGPD avec la même facilité qu'il a invoqué l'article 6.1.e dans sa réponse.

Et finalement, le 3ème type de réaction attendue est qu'on me dise "oui, oui, c'est logique. Mais ça concerne que les personnes trans, non ?". Ici, la réponse est assez simple, à savoir qu'on ne doit pas discriminer sur l'identité de genre, et que même les personnes qui ne sont pas trans ont une identité de genre, au même titre qu'être hétérosexuel, c'est une orientation sexuelle. Après tout, on a beau être en accord avec le genre assigné à la naissance, on peut être discriminé sur la base du genre. Bien sûr, ça tombe quand même plus souvent sur les femmes que sur les hommes, mais ça montre bien que la protection des discriminations sur le genre ne concerne pas que les personnes trans. De plus, si seules des minorités de genre ont un vide dans un fichier informatique, c'est un signe aussi visible qu'un trou noir qu'il y a quelque chose qui dénote l'appartenance à une minorité, et donc contre productif sur la question de la protection.

Donc non seulement il faut des bonnes raisons pour demander systématiquement la civilité d'après la CJUE pour ne pas aller contre l'article 4 du RGPD, mais selon moi, il y a aussi un risque via l'article 9 et sa transposition en droit français via l'article 226-19 du code pénal. Et je rappelle que le code pénal, ça s'appelle comme ça car on risque la prison. En pratique, personne ne va aller en tôle, mais si ça finit sur le casier, ça peut être gênant. Et ça ne veut pas dire qu'on ne peut jamais demander car il y a des exceptions, mais qu'il faut assez clairement le consentement pour pas mal de choses, et ce consentement, ça se traduit par rendre les choses optionnelles dans les schémas de base de données et les formulaires autant que possible, et expliquer ça aux autres pourquoi ça doit être optionnel.

La transidentité et l'article 16 du RGPD, le droit de rectification

Le second endroit ou le RGPD vient croiser la question des droits des personnes trans est via son article 16, le droit à la rectification. C'est celui qui a tendance à être le plus chiant pour les libristes car contrairement à Windows, l'architecture Unix n'est pas vraiment prévu pour. Et c'est pas tant le changement de nom ou de prénom qui coince, car sous Unix, c'est un champ qui sert à presque rien dans le fichier /etc/password.

Non, ce qui coince en général, c'est le changement de login. Et plutôt que de refaire un long laïus à l'écrit, je vais faire preuve d'une modestie minimum (comprendre, zéro voir négative) et pointer vers ma présentation sur le sujet d'il y a 6 mois, ou vers un fil de commentaire qui a servi d'inspiration à la présentation.

Car pour les gens qui ne me connaissent pas, je travaille comme sysadmin, ce qui veut dire que j'aime que d'autres fassent le taf pour moi. Je dit aux ordinateurs quoi faire, mais ça marche aussi pour les humains. Et j'ai donc fait 3 conférences sur le sujet en 2025 (JDLL, conférence Matrix Conference, et PyconFR) pour prêcher la bonne parole et qu'on fasse évoluer le libre vers un respect facilité du RGPD.

Je ne pense pas que j'ai réussi à convaincre grand monde car il n'y a pas eu tant d'audience que ça. Pour les JDLLs, il y a eu 10 personnes dans la salle, ce qui était un peu vexant car une personne qui voulait voir ma conf était en train de présenter dans une autre salle. À Strasbourg, c'était un peu mieux, j'ai eu 50 personnes, mais on ne peux toujours pas changer son mxid. Et à Pycon, j'ai eu 20 personnes, avec une personne qui est venu me voir après pour dire qu'elle a transmis toutes les infos à une amie à elle concerné par un changement de login. Donc à défaut de corriger le monde entier, je vais continuer à rappeler aux gens qu'il faut permettre de changer son login, pour les raisons cités plus haut.

Comme dit dans la vidéo, je suis pas juriste, j'en joue un dans les jeux vidéos. Mais j'ai aussi demander à des spécialistes qui n'ont pas immédiatement dit non, et qui ont dit "c'est compliqué mais ça se défend", ce qui est sans doute le plus proche d'un "oui" que je peux réussir à avoir. Et de toute façon, si ça facilite la vie des gens, c'est sans doute une bonne chose même si "on doit faire ça pour éviter une amende" est sans doute plus facile à faire passer à sa hiérarchie.

La droit à l'oubli (article 17) et la transition

Tout ce que j'ai écrit jusqu'ici, je l'ai trouvé en faisant des recherches pour mes collègues sur la question du droit à l'oubli incarné par l'article 17 du RGPD. Avec l'élection d'un certain présentateur télé à la présidence d'un certain pays de l'hémisphère nord à la frontière du Mexique et du Canada, j'ai pu voir que mes collègues trans n'allaient vraiment pas bien. Et dans le lot, il y en a pas mal qui se sont demandés comment cacher leur transition de genre dans l'annuaire de la boite (pour ceux et celles qui étaient dans la boite avant de changer de genre), et comme ma réponse à tout ce qui concerne les données est "le RGPD", je me suis dit qu'il y avait quelque chose à creuser même pour les USA, et que sur un malentendu, ça peut marcher. Car si je pointe qu'il y a une obligation réglementaire en Europe, je sais que le ticket peut monter sur le haut de la pile des choses à faire.

Malheureusement, je n'ai rien trouvé sur ce sujet spécifique, ou du moins, rien de satisfaisant. Et pourtant, j'ai cherché. J'ai bien trouvé ce papier de 2013 qui semble dire que c'est compliqué mais ça date d'avant le RGPD. J'ai lu une thèse de 549 pages juste sur l'article 17, et ça n'a pas non plus été très concluant. J'ai regardé des conférences spécialisées comme celle ci sans que je puisse avoir beaucoup de clarté. Au passage, j'invite à aller voir les sponsors de l'évènement en question, je suis sur qu'il y a des choses à creuse. Toujours est il est que j'ai fait chou blanc, car pas grand monde n'en parle, et c'est pour ça que j'ai fini par trouver le reste.

Donc ce que je comprends, c'est qu'on peut sans doute utiliser le droit à l'oubli, mais qu'il y a assez vite des limites. Pour commencer, il y a des limites dans le sens ou les particuliers sont en dehors du RGPD (article 2), parce qu'il y a des intérêts légitimes du contrôleur de données. Et au delà de ces cas, il y a des questions de liberté d'expression, et pas tant dans le futur ou le présent que dans le passé sous la forme d'avoir la liberté de ne pas devoir réécrire un texte. Mais surtout, il y a des problèmes d'ordre purement pratiques. Car même si on peut demander à faire effacer des informations qui ne servent plus à rien, ça reste assez rare d'avoir des informations qui ne servent vraiment plus à rien quand il y a un changement.

Pour donner un exemple très pratique, il y a la question du droit d'auteur. Dans ma bibliothèque (à ma droite, dans mon appartement), j'ai une édition de 2018 de la bande dessinée "Le bleu est une couleur chaude". Le livre est assez connu parce qu'il a servi d'inspiration pour la vie d'Adéle, ce fabuleux film qui a permis à son réalisateur de projeter 7 minutes non stop de sexe entre 2 femmes à Cannes en 2013. L'auteur du livre a changé de nom en 2020, mais mon édition de 2018 a toujours le nom de son dessinateur pré-transition, au contraire de l'édition qu'on trouve maintenant dans le commerce. Dans plus de 100 ans, la BD va sans doute arriver dans le domaine public, car c'est 70 ans plus la mort de l'auteur. Mais si on ne connaît pas la date de mort de l'auteur ou si c'est un pseudonyme, on m'a expliqué que c'est 70 ans après publication (L123-3 du code de la propriété intellectuelle), et c'est quand même une grosse différence qui pourrait, dans 70 ans, dépendre du fait qu'on a gardé un lien entre le nouveau et l'ancien nom. Est ce que la BNF doit garder l'ancienne édition qu'ils ont déjà, garder les 2 ? Que faire si Glénat n'avait pas sorti une nouvelle édition car il n'y avait pas de demande ?

Ça semble très artificiel et capillotracté, mais c'est aussi un souci pour le logiciel libre car git enregistre les noms dans les commits. Comme écrit dans cet article sur git, on peut changer son nom mais ça implique de réécrire l'historique et de faire un push --force, une opération rarement faisable quand on bosse en groupe et largement non désirable d'un point de vue sécurité. De plus, sur un projet libre, c'est quand même peu discret d'invalider tout les clones du dépôt. Si le but est de ne pas afficher sa transition, c'est mort.

Au delà de git, il y a des questions de signatures des tarballs, de keyring gpg, etc. Donc il me semble relativement difficile de travailler en publique et d'espérer effacer toute trace d'une transition.

Et pour en revenir sur le sujet de nos infras, mon avis est qu'il reprendre un peu de hauteur, et distinguer deux cas. D'un coté, il y a le droit à l'oubli pur et simple qu'on va exercer via la fermeture d'un compte. C'est normalement quelque chose qui doit faire parti de la bonne hygiène de gestion des données, mais il faut quand même faire attention. Par exemple, je pense que c'est une bonne chose de ne pas effacer tout de suite les informations, car les gens qui changent d'avis tout comme les gens qui se font voler leur compte, ça existe. Il ne me semble pas déraisonnable d'attendre une quinzaine de jour avant de vraiment rendre l'oubli irréversible, surtout que le RGPD demande indirectement d'assurer la sécurité des données dans son article 25.

Et d'un autre coté, il y a le droit à l'oubli qui va découler de certaines conséquences du droit de rectification. Par exemple, si je renomme un compte mail, la bonne pratique est de garder un alias de l'ancien nom vers le nouveau nom. Mais à partir de quand est ce qu'on décide de retirer cette alias ? Est qu'on doit garder une liste des noms qu'on ne doit pas réutiliser quelque part, et est ce qu'il s'agit d'une donnée personnelle ? C'est un vrai problème car les systèmes sont connectés entre eux. Si je renomme mon compte Github, quid de mon login Github sur Gitlab.com ?

À quel moment est ce que la responsabilité morale d'éviter que des gens se tirent une balle dans le pied en effaçant une donnée va à l'encontre des obligations juridiques de ne pas les empêcher d'effacer cette donnée et de se tirer une balle dans le pied ?

Le droit français et les changements qui viennent

Au bout du 4ème paragraphe, je pense qu'on a compris que je suis un nerd qui lit pour le fun des analyses de juristes sur des lois super spécifiques. Enfin le fun, le karma et faire des conférences, je vais pas mentir. Mais en dehors de me faire plaisir, ça me permet aussi d'avoir une idée de ce qui va venir, et je pense que ce qui va venir (et qu'on doit prendre en compte en tant que responsable de logiciel) c'est soit la prise en compte de catégories au delà de H/F en droit français (la partie facile), soit leur suppression (la partie moins facile).

Parce que même si j'ai largement parlé du RGPD et des droits des personnes trans pendant 3 paragraphes, il y a un autre angle juridique qui est utilisé de nos jours, c'est la libre circulation des personnes qui est un des principes fondateurs de l'Europe. Dans divers affaires récentes (Mousse c. SNCF, Shipova, mais aussi Jakub Cupriak-Trojan and Mateusz Trojan v. Wojewoda Mazowiecki ), la question de la reconnaissance d'un statut localement non autorisé au nom de la libre circulation a été posé. Pour Mousse, c'était pour les personnes qui ont une carte d'identité qui n'est ni H, ni F. Pour Shipova, c'était sur la transidentité en Bulgarie (qui ne permet pas officiellement de changer son genre à l'état civil) quand on a déménagé ailleurs, ici en Italie). Et pour l'affaire Trojan, c'était le mariage entre 2 hommes en Allemagne et sa reconnaissance lors d'un retour en Pologne. On peut se dire que ça n'impacte pas la France qui permet de changer son genre à l'état civil (avec plus ou moins de facilité) depuis 2016, et de se marier depuis 2013, mais l'ordre juridique ne permet toujours que 2 mentions de genre sur ses papiers, et ça impacte tout.

Et un des points qui n'a pas été trop couvert par la plainte de Mousse dans l'affaire Mousse c. SNCF, c'était la question des personnes qui n'ont pas de marqueurs de genre sur leur carte d'identité. Et par la, je veux pas parler des gens qui parlent autre chose que français, mais des personnes en Europe qui vivent dans un pays qui permet d'avoir autre chose que 2 choix, voir pas de choix. Par exemple, des personnes à Malte, en Allemagne ou en Islande, 3 pays qui permettent de mettre autre chose que H ou F sur sa carte d'identité. Certes, l'Islande n'est pas encore dans l'UE, mais quelqu'un ayant ce genre de papier peut venir en France et y faire sa vie dans le cadre de la libre circulation via l'espace Schengen (sauf erreur de ma part). Sauf que quand on a pas H ou F sur ses papiers, c'est très compliqué d'avoir la sécurité sociale en France. De même, c'est compliqué de demander la nationalité, et c'est sans doute compliqué de faire plein de choses.

Il y a déjà eu des affaires remontés vachement haut comme Y c. France en 2023, ou le cas de Ryan Castellucci au Royaume Uni au même moment, et aucune n'a aboutit à une reconnaissance civile de la non binarité par le pays visé.

Mais en regardant la jurisprudence, il me semble assez clair qu'elle converge vers l'obligation du respect d'une carte d'identité étrangère partout en Europe et l'obligation du respect de l'identité de genre, ce qui implique le respect d'une carte sans mention de genre ou avec plus que 2 options, le tout au nom du RGPD et de la libre circulation en Europe. Donc à ce titre, il suffit d'une personne impactée qui s'installe en France pour qu'on se retrouve avec juste ce qu'il faut pour avoir un procès dont l'issue me semble assez fléché. Même si c'est avant tout un souci pour l'État français, ça va plus loin que l'administration du pays.

Je ne pense pas me tromper en disant que beaucoup de gens ici ont sans doute un employeur. Je continue d'enfoncer des portes ouvertes en supposant que l'employeur a sans doute un ou plusieurs logiciels pour gérer les congés, la paie, etc. Le mien utilise Workday, et je viens de vérifier, je peux librement changer mon sexe via une interface en self service (une bonne chose), mais je n'ai que 2 choix "Male"/"Female" (oui, en anglais, au contraire du reste de l'interface). Je ne sais pas si il s'agit d'un module spécifique à mon entreprise et l'anglais me laisse croire que c'est le cas, mais c'est un souci du point de vue du RGPD vu que quelqu'un peut travailler en France sans pouvoir répondre à la question. Et c'est un souci, parce que tôt ou tard, il va falloir corriger ça. Perso, je pense que c'est mieux de corriger avant d'avoir un tribunal qui nous colle une amende et l'obligation de le faire, mais chacun gère son backlog comme il veut.

Conclusion

Je pourrais sans doute écrire une tonne de choses en plus, mais ça n'aurais plus trop de lien avec le libre. Je pourrais parler en détail des questions de test génétique du CIO et pourquoi c'est un souci, ça aurait un vague rapport avec la biologie et la science. Je pourrais parler du cinéma et des représentations des personnes trans, et je suis expert niveau ESN sur le sujet que j'ai vu Dallas Buyer Club sur France TV il y a quelques jours, mais je ne pense pas que ça rentre vraiment dans la ligne éditoriale du site, même si j'ai utilisé Firefox et Linux pour voir le film.

Alors je vais simplement terminer pour dire que le logiciel libre, c'est évidement une question de code, mais c'est aussi une question de communauté et de solidarité, et ça implique de s'assurer que nos logiciels et nos systèmes ne soient pas des obstacles à la réalisation de l'identité des gens, comme le rappelle le développeur de Kanidm sur son site web.