Par un arrêt du 4 septembre 2025 (affaire C-413/23 P), dans une affaire opposant le contrôleur européen de la protection des données (CEPD) au Conseil de résolution unique (CRU), la Cour de justice de l’Union européenne (CJUE) apporte un éclairage très attendu sur la notion de donnée à caractère personnel [1] (ou donnée personnelle). Cet arrêt s’inscrit en effet dans les suites de la décision du Tribunal de l’UE du 26 avril 2023 qui avait ouvert la porte à une approche plus subjective et contextuelle de la notion de pseudonymisation.
[1] Si l’arrêt cite le Règlement UE 2018/1725, le raisonnement de la Cour est transposable au RGPD dans la mesure où il s'agit des mêmes notions (données personnelles, pseudonymisation, donnée anonyme, obligation d’information). L’affaire trouve son origine dans une procédure de résolution mise en œuvre par le CRU en 2018 à la suite de la faillite de la banque Banco Popular. Une phase de la procédure dite du « droit d’être entendu », permettait aux actionnaires et créanciers affectés de soumettre des observations sur l’évaluation de leurs pertes. Les commentaires, non nominatifs et chacun associé à un code alphanumérique, ont ensuite été transmis à Deloitte, chargée d’en analyser le contenu en qualité d’évaluateur indépendant, sans que cette société ait accès aux éléments d’identification détenus uniquement par le CRU (i.e tableau de correspondance).
Plusieurs réclamations ont été portées devant le CEPD. Il était reproché au CRU un défaut d’information sur le traitement des données personnelles par la société Deloitte.
La question centrale de la discussion portait donc sur la notion de donnée à caractère personnel, et en particulier sur la question de savoir si Deloitte qui avait reçu des données pseudonymisées, pouvait être considérée comme ayant été destinataire de données anonymes.
1. Une donnée à caractère personnel est une donnée qui « se rapporte à » une personne physique « identifiée ou identifiable »
Deux critères doivent être réunis pour qu’une information soit qualifiée de donnée personnelle :
- L’information « se rapporte » à une personne physique et,
- La personne doit être « identifiée ou identifiable ».
Nous ne nous attarderons pas sur le 1er critère, la Cour censure le Tribunal qui avait estimé que la nature de donnée personnelle des commentaires ne pouvait se déduire du seul fait qu’il s’agissait d’opinions et qu’il fallait, suivant la JP Nowak [CJUE C-436/16 arrêt du 20 décembre 2017], examiner le contenu, la finalité, et l’effet des informations transmises à Deloitte.
Or, la Cour a jugé qu’une opinion en tant qu’expression de la pensée d’une personne se rapportait nécessairement, c’est-à-dire par nature, à celle-ci.
C’est sur le 2ème critère que le raisonnement de la Cour est intéressant.
Le Tribunal avait estimé que les informations pseudonymisées transmises à la société Deloitte ne se rapportaient pas à une personne identifiable.
2. Une donnée pseudonymisée ne demeure pas en toute hypothèse une donnée personnelle
Une question vient d’emblée à l’esprit : est-ce qu’une donnée pseudonymisée constitue toujours une donnée personnelle dans la mesure où le processus de pseudonymisation génère nécessairement des informations supplémentaires permettant de pouvoir réidentifier la personne. C’était la position défendue par le CEPD et c’est d’ailleurs la position du Comité européen de protection des données qui, au soutien du CEPD dans cette affaire, rappelle que, pour le législateur européen, il ne suffit pas de séparer les informations supplémentaires des données pseudonymisées pour exclure lesdites données du champ du RGPD. En d’autres termes, face à une donnée pseudonymisée, il n’y a pas lieu d’examiner si la personne à laquelle se rapporte les données est identifiable.
La Cour rappelle à cet égard deux éléments d’importance :
- La définition même d’une donnée personnelle qui ne vise pas la donnée pseudonymisée en tant que telle et qui se rapporte à une personne identifiée ou identifiable suppose un examen du caractère identifiable ou non ;
- La notion de donnée anonyme définie comme une donnée qui ne se rapporte plus à une personne identifiée ou identifiable ;
- La définition de la pseudonymisation envisagée comme une mesure technique qui a pour objectif d’éviter que la personne soit identifiée au moyen des seules données pseudonymisées et qui impose la mise en œuvre de mesures techniques et organisationnelles de conservation des informations supplémentaires pour éviter que les données ne soient attribuées à une personne identifiée ou identifiable.
Sur la base de ces éléments, la Cour considère que la pseudonymisation peut avoir une incidence sur le caractère personnel des données pseudonymisées.
Ce faisant elle opère un examen subjectif du contexte estimant que, si les données demeuraient des données personnelles pour le responsable de traitement (le CRU), elles pouvaient être considérées comme étant de nature anonyme du point de vue du destinataire, la société Deloitte.
3. Un examen concret des possibilités de réidentification
La Cour reconnait que, selon les mesures techniques et organisationnelles mises en place pour conserver les informations supplémentaires permettant de réidentifier les personnes, les commentaires traités par la société Deloitte pouvaient être considérés à son niveau comme des données anonymes.
La Cour pose à cet égard deux exigences, d’une part que le destinataire ne puisse pas lever les mesures à l’occasion du traitement qu’il met en œuvre sous son contrôle, et, d’autre part, que lesdites mesures soient de nature à empêcher que le destinataire puisse réidentifier les personnes en utilisant d’autres moyens d’identification (ex : un recoupement avec d’autres éléments).
Partant de ces exigences, la Cour rappelle qu’il faut considérer les moyens raisonnablement susceptibles d’être utilisés par le responsable de traitement, ou par toute autre personne (i.e. disposant ou pouvant accéder à ces moyens, ce qui ne signifie pas n’importe quelle autre personne) pour identifier la personne (directement ou indirectement), et que l’appréciation du caractère raisonnable des moyens doit être effectuée en tenant compte de l’ensemble des facteurs objectifs, tels que le coût de l’identification, le temps nécessaire à celle-ci, les technologies disponibles au moment du traitement et leur évolution.
Elle souligne également qu’il est constant que les informations permettant de réidentifier la personne n’ont pas nécessairement à se trouver dans les mains d’une seule et même personne.
La Cour réfute ainsi l’argumentation du CEPD et donne plusieurs exemples dans lesquels elle a analysé le contexte pour conclure à l’existence d’un risque de réidentification insignifiant, notamment lorsque l’identification est interdite par la loi ou irréalisable en pratique, compte tenu des moyens financiers et humains qu’il faudrait mobiliser.
A l’inverse, des données en soi impersonnelles peuvent acquérir un caractère personnel.
4. Une obligation d’information qui demeure pour le responsable de traitement
Très logiquement, il découle de la nature non personnelle des données reçues par le destinataire que celui-ci n’a aucune obligation d’informer les personnes concernées.
Là où l’arrêt est intéressant, c’est que cette obligation se répercute en revanche sur le responsable de traitement, en l’occurrence le CRU au niveau duquel les données demeurent des données à caractère personnel.
Le CEPD estimait qu’en omettant de mentionner la société Deloitte comme destinataire, le CRU avait méconnu son obligation d’information. A cet égard, on peut légitimement s’interroger sur l’obligation de mentionner un destinataire si l’on considère que ce dernier ne reçoit pas de donnée personnelle !
Le Tribunal avait considéré que cette obligation pouvait être écartée dès lors que le tiers destinataire ne disposait pas de la possibilité de ré-identifier les personnes.
La Cour rejette expressément cette approche.
Le respect de cette obligation d’information, rappelle la Cour, est d’autant plus important quand, comme en l’espèce, le traitement est fondé sur le consentement, celui-ci n’étant pas éclairé si l’information délivrée est incomplète.
A cet égard, la Cour considère que le principe de traitement loyal et transparent devrait conduire à informer la personne des éventuels destinataires pour lui permettre au moment où les informations lui sont demandées, si elle accepte de les fournir ou pas.
La Cour ne se place dès lors pas du point de vue du destinataire, mais de celui du responsable de traitement, la CRU, qui lui transfert des données à caractère personnel. En d’autres termes, le caractère identifiable de la donnée doit être apprécié au moment de la collecte, et du point de vue du responsable de traitement.
5. Le fin mot de l’histoire : une interprétation plus souple de la notion de donnée anonyme ?
Il est incontestable que cet arrêt a le mérite d’affirmer clairement qu’une donnée pseudonymisée peut ne pas être une donnée personnelle, et que l’appréciation du caractère personnel d’une donnée dépend de quel point de vue on se place.
La Cour affirme que « la perspective pertinente pour apprécier le caractère identifiable de la personne concernée dépend essentiellement des circonstances caractérisant le traitement des données dans chaque cas particulier ».
Il est utile de le rappeler tant le concept de donnée anonyme ressort parfois de positions très rigoristes voir doctrinales de la part des autorités de protection des données.
Pour autant, est-ce à dire que la portée de cet arrêt assouplit fondamentalement l’interprétation de la notion de donnée anonyme ?
A priori la réponse est non, car la Cour ne fait que ramener un peu de rigueur juridique en rappelant les critères de définition d’une donnée anonyme énoncés par le RGPD et en expliquant l’interprétation qu’il convient d’en avoir.
On ne peut donc que recommander à celui qui se prévaut de traiter des données anonymes d’analyser finement le cadre dans lequel le traitement a lieu, de n’omettre aucun élément factuel et d’envisager toutes les situations (raisonnables !) dans lesquelles les données pourraient être rapprochées pour réidentifier une personne, sans quoi il faudra considérer que le traitement s’applique à des données personnelles.
Claire LAURIA, Avocate
Sources :
CJUE, 4 septembre 2025, CURIA – Liste des résultats
