mail_outline Lettre d'informations search Rechercher
Ulys logo
Ulys logo
menu MENU

Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

Pseudonymisation : la CJUE confirme qu’une donnée peut perdre son statut de donnée « à caractère personnel »

Publié le par 50 vues

La CJUE vient de rendre un arrêt qui figurera parmi les décisions marquantes de l’année. Premièrement, elle admet une dissociation : si le responsable qui collecte et pseudonymise les données conserve en principe la capacité d’identifier les personnes concernées, les données peuvent perdre leur caractère personnel dans le chef du responsable qui les reçoit. Deuxièmement,…

La CJUE vient de rendre un arrêt qui figurera parmi les décisions marquantes de l’année. Premièrement, elle admet une dissociation : si le responsable qui collecte et pseudonymise les données conserve en principe la capacité d’identifier les personnes concernées, les données peuvent perdre leur caractère personnel dans le chef du responsable qui les reçoit. Deuxièmement, le responsable initial doit, même en ce cas, mentionner le destinataire dans l’information fournie à la personne concernée. Troisièmement, faute de pouvoir identifier les personnes concernées, le destinataire qui ne dispose d’aucun moyen raisonnablement mobilisable pour repersonnaliser les données ne supporte pas, lui, d’obligation d’information.

Les faits

Le Conseil de résolution unique (CRU) est une autorité européenne créée en 2014 dans le cadre de l’Union bancaire européenne. Son objectif est de contribuer à la stabilité financière en assurant la résolution ordonnée des banques en difficulté et en évitant une crise systémique. Le CRU peut être sollicité pour prendre des mesures de résolution pour une banque en difficulté, telles que la restructuration, la vente ou la liquidation, en vue de protéger les déposants, les investisseurs et la stabilité financière.

Le CRU a été amené à s’occuper de la Banco Popular Español, en pleine déroute.

Sans entrer dans le détail du mécanisme, on retiendra les éléments importants suivants :

  • Les actionnaires de la banque doivent se déclarer en tant qu’actionnaires sur le site du CRU. Ils peuvent aussi, à plusieurs étapes, émettre des commentaires sur la résolution en cours et l’indemnisation envisagée.
  • Pour les besoins de la procédure, le CRU doit recourir à un certain moment à un « tiers évaluateur » chargé d’une mission d’évaluation des actifs. En l’occurrence, c’est le cabinet Deloitte qui assurait ce rôle. Il a reçu pour cela des données pseudonymisées.
  • La déclaration des actionnaires, et la formulation de commentaires, se font via le site du CRU sur lequel figure une déclaration relative au traitement de leurs données à caractère personnel, qui ne les informait pas du transfert vers Deloitte.

Partant de ce constat, 5 actionnaires ont introduit une plainte qui aboutit sur le bureau du Contrôleur européen de la protection des données (CEPD). Ils reprochent au CRU de ne pas les avoir informés que les données collectées au moyen des réponses au formulaire seraient transmises à des tiers.

Les thèses en présence

Le litige est complexe et technique, mais on peut retenir en substance ceci.

Le CRU et Deloitte mettent en avant le système complexe de pseudonymisation mis en place, ainsi que toutes les garanties techniques et organisationnelles imaginées dans le but de protéger les données.

Au sein du CRU, une séparation des données et des accès a été mise en place (logique « need to know »). Les informations d’inscription (identité et preuves de propriété des actions) n’étaient accessibles qu’à un nombre limité d’agents chargés de vérifier l’éligibilité du plaignant. Quant aux agents affectés au traitement des commentaires, ils n’avaient accès ni aux données d’inscription ni à la clé de correspondance permettant de relier un commentaire à une personne. Chaque commentaire recevait, à sa réception, un code alphanumérique unique de 33 caractères, généré aléatoirement, utilisé uniquement pour la traçabilité interne.

Un tri a encore été effectué avant le transfert, vers Deloitte, des commentaires nécessaires à sa la mission. Seul le personnel de Deloitte directement impliqué dans la mission, a pu accéder aux commentaires. Le CRU était le seul à pouvoir relier, au moyen du code, les commentaires aux données (notamment l’identification des auteurs des commentaires).

Le CRU considère que les données ayant été pseudonymisées, et Deloitte n’ayant aucun moyen de repersonnaliser le commentaire, il ne s’agit plus de données personnelles. Il en déduit qu’il n’était pas nécessaire de mentionner Deloitte parmi les destinataires potentiels des données.

Les plaignants, soutenus par le CEPD, considèrent que la clé de décryptage existe, qu’elle est possession du CRU et qu’il en résulte, sur la base de la jurisprudence de la cour, que l’opération de « dé-pseudonymisation » est possible par la combinaison des informations détenues par GRU et Deloitte. Dès lors, nonobstant le transfert, Deloitte traite des données personnelles. Par ailleurs, ils estiment qu’indépendamment de cette question, Deloitte devait figurer dans la liste des destinataires potentiels.

La procédure

En 2020, le CEPD rend une décision dans laquelle il considère que :

  • Les données que le CRU a partagées avec Deloitte étaient des données pseudonymisées, à la fois parce que les commentaires de la phase [de consultation] étaient des données à caractère personnel et parce que le CRU partageait le code alphanumérique permettant de relier les réponses reçues lors de la phase [d’inscription] à celles de la phase [de consultation], bien que les données fournies par les participants pour s’identifier lors de la phase [d’inscription] n’aient pas été communiquées à Deloitte.
  • Deloitte était un destinataire de données à caractère personnel des réclamants au sens de l’article 3, point 13, du règlement 2018/1725. Le fait que Deloitte n’ait pas été mentionné dans la déclaration de confidentialité du CRU en tant que destinataire potentiel des données à caractère personnel collectées et traitées par le CRU, en sa qualité de responsable du traitement dans le cadre de la procédure relative au droit d’être entendu, constitue une violation de l’obligation d’information prévue à l’article 15, paragraphe 1, sous d), [du règlement 2018/1725].
  • À la lumière de toutes les mesures techniques et organisationnelles mises en place par le CRU pour atténuer les risques pour le droit des personnes à la protection des données dans le cadre de la procédure relative au droit d’être entendu, le CEPD décide de ne pas exercer son pouvoir d’adopter des mesures correctrices prévu à l’article 58, paragraphe 2, [du règlement 2018/1725].
  • Le CEPD néanmoins recommande au CRU de s’assurer que ses déclarations de confidentialité dans les futures procédures relatives au droit d’être entendu couvrent le traitement des données à caractère personnel tant lors de la phase d’inscription que lors de la phase de consultation et qu’elles incluent tous les destinataires potentiels des informations collectées, afin de respecter pleinement l’obligation d’informer les personnes concernées conformément à l’article 15 [du règlement 2018/1725].

Le CRU va devant la Tribunal de l’UE, qui lui donne en grande partie raison. En substance, il critique l’approche théorique du CEPD qui « s’est contenté d’examiner la possibilité de réidentifier les auteurs des commentaires du point de vue du CRU et non de Deloitte. »

Sur appel du CEPD, la cour a rendu ce 4 septembre 2025 son arrêt.

C’est l’une des décisions marquantes de l’année.

Quand une donnée se rapporte-t-elle à une personne ?

La cour commence par rapprocher les textes qui utilisent la notion de « données à caractère personnel » dans des termes proches mais pas toujours identiques : afin de garantir une application uniforme et cohérente du droit de l’union, elle l’estime qu’il faut assurer une interprétation identique, qui est en substance celle du RGPD (et de la directive 95/46 auparavant).

Constitue une donnée à caractère personnel, « toute information se rapportant à une personne physique identifiée ou identifiable ».

Qu’entend-on par « toute information » qui se rapporte à une personne ?

La Cour ne dévie pas d’un pouce par rapport à sa jurisprudence :

  • L’emploi de l’expression « toute information » reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause (arrêts du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, point 23 et jurisprudence citée ; du 7 mars 2024, OC/Commission, C‑479/22 P, point 45, ainsi que du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, point 130).
  • Une information « concerne » une personne physique identifiée ou identifiable lorsque, « en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable »  (arrêts du 20 décembre 2017, Nowak, C‑434/16, point 35 ; du 7 mars 2024, OC/Commission, C‑479/22 P, point 45, et du 7 mars 2024, IAB Europe, C‑604/22, point 37 et jurisprudence citée).

La Cour estime que le tribunal s’est trompé lorsqu’il a jugé que « le CEPD ne pouvait qualifier les informations ressortant des commentaires transmis à Deloitte de données à caractère personnel sur le fondement du seul constat qu’il s’agissait d’opinions ou de points de vue personnels, mais qu’il aurait dû examiner, en outre, le contenu, la finalité et l’effet des opinions ainsi exprimées, afin de déterminer si celles-ci étaient liées à une personne déterminée. »

La Cour estime au contraire que « un examen portant sur le contenu d’une information ne doit pas nécessairement être complété par une analyse de la finalité et des effets de cette information, ainsi que l’indique l’emploi de la conjonction ‘ou’ reliant les différents critères visés par cette jurisprudence. »

Pour le dire autrement : une information « concerne » une personne si elle est liée en raison de : 1) son contenu, ou 2) sa finalité, ou 3) son effet. Il suffit de conclure positivement sur l’un des trois critères, pour établir que l’information en cause « concerne » une personne.

Ayant souligné la « nature particulière des opinions ou des points de vue personnels qui, en tant qu’expression de la pensée d’une personne, sont nécessairement intimement liés à cette dernière » (critère du contenu), la Cour retient que le tribunal ne pouvait pas exiger du CEPD qu’il vérifiât, en outre, les critères de finalité et d’effet.

Des données pseudonymisées sont-elles « toujours », « jamais » ou « parfois », des données à caractère personnel ?

Cette partie de l’arrêt est probablement la plus intéressante, car l’impact pratique est considérable. Que l’on songe à toutes les réutilisations qui sont effectuées à des fins scientifiques, statistiques ou de recherche, dans lesquelles la pseudonymisation joue un rôle crucial.

La Cour formule l’enjeu ainsi : des données pseudonymisées sont-elles « en toute hypothèse, des données à caractère personnel en raison de la seule existence d’informations permettant d’identifier la personne concernée, sans qu’il soit nécessaire d’examiner concrètement si, en dépit de la pseudonymisation, la personne à laquelle se rapportent ces données est identifiable » ? (nous soulignons)

Le raisonnement de la cour commence par une dissociation entre, d’une part, la définition de la donnée à caractère personnel, et d’autre part, la pseudonymisation : « la pseudonymisation ne constitue […] pas un élément de la définition des « données à caractère personnel », mais se réfère à la mise en place de mesures techniques et organisationnelles visant à réduire le risque d’une mise en corrélation d’un ensemble de données avec l’identité des personnes concernées ».

Ceci précisé, la cour refuse de répondre qu’une une donnée pseudonymisée n’est « jamais » une donnée personnelle.

Son raisonnement est le suivant : « la notion de « pseudonymisation » présuppose l’existence d’informations permettant d’identifier la personne concernée. Or, l’existence même de telles informations s’oppose à ce que des données ayant fait l’objet d’une pseudonymisation puissent, en toute hypothèse, être considérées comme étant des données anonymes, exclues du champ d’application de ce règlement. »

Par identité de motifs, la cour refuse de répondre à l’inverse qu’une donnée pseudonymisée demeure « toujours » une donnée personnelle.

Son raisonnement est le suivant : vu le critère portant sur « l’ensemble des moyens raisonnablement susceptibles » d’être utilisés par le responsable du traitement ou « par toute autre personne » pour identifier la personne physique « directement ou indirectement » (considérant 16 et jurisprudence de la Cour), « ces précisions relatives à l’évaluation du caractère identifiable ou non de la personne concernée seraient privées de tout effet utile si des données pseudonymisées devaient être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel (…) ».

Sa réponse est : cela dépend de la situation concrète.

L’appréciation de la Cour peut être formulée sous la forme d’une question : y-a-t-il des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne, pour identifier la personne physique directement ou indirectement ?

La Cour rappelle qu’un moyen « n’est pas susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée lorsque le risque d’une identification paraît en réalité insignifiant, en ce que l’identification de cette personne est interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main–d’œuvre (voir, en ce sens, arrêt du 7 mars 2024, OC/Commission,C‑479/22 P, EU:C:2024:215, point 51 et jurisprudence citée). Cette jurisprudence corrobore l’interprétation selon laquelle l’existence d’informations supplémentaires permettant d’identifier la personne concernée n’implique pas, à elle seule, que des données pseudonymisées doivent être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725. »

La cour apporte une précision supplémentaire bien utile : dans le cas d’espèce, il est évident que le CRU disposait de la clé permettant de lever la pseudonymisation. En d’autres termes, il existe de manière certaine une « autre personne » qui, combinée à Deloitte, permet de ‘repersonnaliser’ les données. Cette circonstance n’énerve pas la conclusion de la Cour qui souligne que le critère de « l’autre personne », tiré du considérant 16, « ne se réfère qu’aux personnes qui disposent de ou peuvent accéder aux moyens raisonnablement susceptibles d’être utilisés aux fins de l’identification de la personne concernée ».

Il nous semble donc que le message de la cour est clair : il ne faut pas s’attacher au risque théorique, mais bien à la situation pratique. S’attacher à l’aspect théorique reviendrait en effet à vider de sa substance la possibilité, explicitement prévue par le règlement, qu’une donnée puisse perdre son caractère personnel via des mesures techniques et organisationnelles, dont la pseudonymisation fait partie.

Concrètement, cela signifie qu’une donnée peut être personnelle ou non, selon qu’on apprécie les choses du point de vue du responsable initial qui la collecte, la pseudonymise et la transfère (en l’occurrence : le CRU), ou du point de vue du destinataire des données pseudonymisées (en l’occurrence : Deloitte).

La Cour est, sur cette question, assez claire :

  • « (…) comme c’est normalement le cas du responsable du traitement ayant procédé à la pseudonymisation, le CRU dispose, en l’espèce, des informations supplémentaires permettant d’attribuer les commentaires transmis à Deloitte à la personne concernée, si bien que, pour lui, ces commentaires conservent, en dépit de la pseudonymisation, leur caractère personnel ». (nous soulignons)
  • S’agissant de Deloitte à laquelle le CRU a transmis des commentaires pseudonymisés, « les mesures techniques et organisationnelles mise en place peuvent avoir pour effet que, pour cette société, ces commentaires ne présentent pas un caractère personnel » (nous soulignons). Cela présuppose évidemment que Deloitte ne puisse pas lever ces mesures, et que celles-ci soient effectivement de nature à empêcher Deloitte d’attribuer les commentaires à la personne concernée, par elle-même ou en ayant recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments.

Le responsable de traitement initial, qui transfère ultérieurement des données pseudonymisées, doit-il inclure ce transfert parmi les informations communiquées aux personnes concernées ?

En substance, le tribunal avait considéré qu’il n’était pas nécessaire d’informer les personnes concernées du transfert ultérieur à Deloitte au motif que, du point de vue de cette dernière, les informations ayant été pseudonymisées, elles ne constituaient pas des données à caractère personnel.

La cour voit les choses différemment.

Elle rappelle l’importance du respect de l’obligation d’information, véritable porte d’entrée pour la personne concernée qui souhaite contrôler les traitements qui la concernent ou exercer ses droits. Elle relève que « l’obligation de fournir à la personne concernée – au moment de la collecte des données à caractère personnel en lien avec elle – l’information relative aux éventuels destinataires de ces données a notamment pour objectif de permettre à cette personne de décider en pleine connaissance de cause si elle fournit ou, au contraire, refuse de fournir ses données à caractère personnel collectées auprès d’elle. »

Elle considère donc, à l’instar de l’avocat général, que « l’obligation d’information (…) s’inscrit dans la relation juridique existant entre la personne concernée et le responsable du traitement [NDR : initial] et, de ce fait, elle a pour objet les informations en lien avec cette personne telles qu’elles ont été transmises à ce responsable, donc avant tout éventuel transfert à un tiers. »

Il s’ensuit que « le caractère identifiable de la personne concernée doit être apprécié au moment de la collecte des données et du point de vue du responsable du traitement [NDR : qui effectue la collecte et la pseudonymisation]. »

La Cour retient donc une erreur de droit dans le chef du tribunal qui avait au contraire considéré que, pour apprécier si le CRU avait respecté son obligation d’information, « le CEPD aurait dû examiner si les commentaires transmis à Deloitte constituaient, du point de vue de ce dernier, des données à caractère personnel. »

La Cour appuie longuement sur la question du consentement : « lorsque la collecte de telles données auprès de la personne concernée est – comme, en l’espèce, dans le cadre de la procédure relative au droit d’être entendu – fondée sur le consentement de cette personne, la validité du consentement donné par ladite personne dépend, entre autres, du point de savoir si celle-ci a, au préalable, obtenu les informations au regard de toutes les circonstances entourant le traitement des données en question auxquelles elle avait droit (…), et qui lui permettent de donner un consentement en pleine connaissance de cause ». Faut-il y voir une manière de nuancer la portée de l’arrêt ? La Cour aurait-elle conclu différemment si la base de licéité était l’intérêt légitime ? Il faudra attendre d’autres arrêts.

La Cour ajoute que le raisonnement contraire poserait un problème pratique sur le plan chronologique : si l’on se plaçait « du point de vue du destinataire », en l’occurrence Deloitte, l’obligation d’information serait reportée dans le temps puisqu’elle porterait sur des données déjà transférées alors que le texte (et son esprit) implique une communication des informations à la collecte, ou au plus vite après celle-ci selon les circonstances.

Le conseil à donner au responsable de la collecte est le suivant : s’il est envisagé des transferts ultérieurs des données, même pseudonymisées soigneusement au point qu’elles ne constituent pas, dans le chef du destinataire, des données à caractère personnel, ce transfert doit néanmoins être mentionné au titre des informations obligatoires (voir art. 13 et 14 RGPD).

Le destinataire des données pseudonymisées, pour qui les données ne sont plus à caractère personnel, doit-il informer les personnes concernées ?

La réponse est négative – et somme toute logique. Le respect de l’obligation de fournir des informations à la personne concernée présuppose d’identifier la personne concernée. Or, de telles obligations ne sauraient être imposées à une entité qui n’est aucunement en mesure de procéder à cette identification.

Résumons les choses

Premier enseignement de l’arrêt.

Une dissociation est possible : alors que le responsable du traitement qui a procédé à la collecte et la pseudonymisation est normalement en mesure d’identifier la personne concernée, le destinataire des données pseudonymisées peut être dans une situation où, vis-à-vis de lui, la donnée a perdu son caractère personnel.

Deuxième enseignement de l’arrêt.

Le responsable du traitement qui a procédé à la collecte et la pseudonymisation doit, au titre des informations obligatoires, mentionner ce transfert ultérieur, y compris dans l’hypothèse où, grâce à une pseudonymisation, les données ne sont plus à caractère personnel à l’égard du destinataire.

Troisième enseignement de l’arrêt.

Le destinataire de données pseudonymisées qui n’a pas de moyen raisonnablement susceptible d’être mis en œuvre afin de ‘repersonnaliser’ les données, n’a pas d’obligation d’information à l’égard des personnes concernées puisqu’il n’est, dans ce cas, pas en mesure de les identifier.

Droit & Technologies

Annexes

CURIA – Conclusions avocat general

file_download Télécharger l'annexe

CURIA – Arret de la cour

file_download Télécharger l'annexe

Publié dans

Thèmes
Tags ######

Auteurs

Etienne Wery

 Suivez-moi sur LinkedIn

Lui écrire Ses 1350 contributions

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK