La CJUE se prononce sur le caractère personnel des données pseudonomysées

L’article 4 du RGPD définit les données à caractère personnel comme : 
« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») [1]»

De cette définition ressortent à tout le moins deux conditions sur lesquelles la Cour de justice de l’Union européenne vient de se pencher dans le cadre de son arrêté n°C-413/23P du 4 septembre 2025[2] :

• non seulement, la donnée pour être à caractère personnel doit « se rapporter » à une personne ;
• mais encore, la donnée pour être à caractère personnel soit se rapporter à une personne « identifiée ou identifiable ». 

L’intérêt de cet arrêt repose également sur le fait qu’il oppose des institutions européennes entre elles, à savoir, d’une part, le Contrôleur européen de la protection des données (CEPD), soutenu devant la Cour par le Conseil européen de la protection des données, tous les deux partisans d’une vision large des données à caractère personnel, et, d’autre part, le Conseil de résolution unique (CRU), soutenu par la Commission européenne, tous les deux partisans d’une conception plus restrictive. En d’autres termes, dans un camp, les institutions spécialistes des données à caractère personnel ; dans l’autre, une institution financière et la Commission.   

Pour rappel, les institutions européennes sont soumises à leur « propre RGPD », soit à un autre règlement comprenant substantiellement les mêmes dispositions que le RGPD mais adopté sur une base légale différente. Il s’agit du Règlement (UE) 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation des données. Les correspondances entre les articles des deux règlements sont établies dans le présent écrit.

Sans entrer dans les détails (pourtant très intéressants) des faits, le CEPD avait sanctionné le CRU pour ne pas avoir respecté son obligation d’information imposée par l’article 15 du Règlement 2018/1725 (article 13 du RGPD « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée »). Les données résultaient de l’application du droit d’être entendu des actionnaires et créanciers affectés par la résolution de la Banque Banco popular Espanol afin d’éventuellement bénéficier d’un dédommagement au titre de l’article 76 du Règlement dit « MRU » (Règlement 806/2014 établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un fonds de résolution bancaire unique).   

Concernant le fait de « se rapporter » à une personne physique, l’arrêt précité de la Cour rappelle la jurisprudence de la Cour selon laquelle la définition de donnée à caractère personnel englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciation, à condition que celles-ci concernent la personne en cause. Toujours selon la jurisprudence de la Cour, « une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable »[3]

En l’espèce, la Cour va casser le jugement rendu par le Tribunal de l’Union européenne en ce que celui-ci avait reproché à tort que le CEPD n’avait pas examiné, le contenu, la finalité et l’effet des commentaires et avis des actionnaires et créanciers de la banque espagnole visée par la procédure de résolution. Ce faisant, selon la Cour, le « tribunal méconnaît la nature particulière des opinions ou des points de vue personnels, qui en tant qu’expression de la pensée d’une personne, sont nécessairement intimement liés à cette dernière ». 

En d’autres termes, la Cour conclut sur ce premier point que l’expression d’opinion ou de points de vue personnels se « rapportent » toujours à une personne. 

Afin de définir s’il s’agit cependant de données à caractère personnel, encore s’agit-il de vérifier le caractère identifiable de cette personne. En effet, en l’absence de personne directement identifiée, le caractère identifiable de la personne conditionnera l’application du RGPD. 

Seul le considérant 26 du RGPD éclaire cette exigence :

« (…) Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci ».

Si la lecture de ce considérant nous renseigne toute de suite sur la nécessité d’une analyse au cas par cas afin d’examiner les « moyens raisonnablement susceptibles d’être utilisés » pour identifier la personne concernée, il reste toujours difficile de déterminer : 

• si cette analyse doit être faite de manière objective ou absolue, à savoir sans s’intéresser à la qualité et aux moyens à disposition ou potentiellement accessibles pour le détenteur, individuellement considéré, de la donnée concernée,
• ou si au contraire, la possibilité d’identifier la personne est un élément relatif qui dépend des moyens (individuels) du détenteur visé de la donnée d’obtenir les informations supplémentaires nécessaires pour identifier la personne concernée. 

La jurisprudence belge et européenne penche visiblement pour la relativité du caractère personnel de toute donnée : une donnée n’est pas en soi à caractère personnel ou impersonnel pour tout le monde. 

En effet, une donnée peut être à caractère personnel pour un détenteur raisonnablement susceptible de la croiser avec d’autres données pour identifier la personne concernée, alors que la même donnée peut ne pas être à caractère personnel pour une autre personne pour qui la recherche de l’identité de la personne demandera des moyens et des procédures exorbitants, de sorte qu’il peut être soutenu que le risque d’identification est inexistant ou insignifiant. 

À titre d’exemple, dans son arrêt n° 259.418 du 9 avril 2024, la section d’administration du Conseil d’Etat a suivi cette ligne d’interprétation et a réfuté le caractère personnel d’une liste de logements inoccupés ou abandonnés de la Ville de Liège. Le Conseil d’Etat a ainsi démonté un à un les arguments de la Ville de la Liège pour démontrer que cette liste contenait bien des données à caractère personnel pour la Ville de Liège, qui pouvait recouper cette information avec d’autres informations pour obtenir l’identité des propriétaires, mais ne contenait pas des données à caractère personnel pour le demandeur de cette liste qui n’avait pas accès à d’autres informations qui lui auraient permis d’identifier les propriétaires. 

Dans l’arrêt commenté n°C-413-23 P du 4 septembre 2025, la Cour européenne de Justice a été confrontée à cette question de la relativité du caractère personnel des données, de manière encore plus subtile avec le cas particulier des données pseudonomysées. Les données pseudonomysées ont été soumises à un traitement de sorte qu’elles « ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable; » (définition de la pseudonymisation, article 4, 5 du RGPD ». 

Une conception absolue du caractère personnel des données pseudonomysées reviendrait, comme le soutenait le CEPD en l’espèce, à considérer que celles-ci constituent toujours des données à caractère personnel « et ce simplement en raison de l’existence d’informations supplémentaires permettant de les attribuer à une personne déterminée » (point 63 de l’arrêt commenté). 

La Cour rappelle que cette conception est contraire au considérant 26 précité qui suppose l’existence de moyens raisonnables pour opérer une réidentification, ou, de moyens déraisonnables, ce qui serait le cas si le procédé d’identification était illégal ou irréalisable dans la pratique vu l’effort démesuré qu’il exigerait en termes de temps, de coût et de main-d’œuvre. Toute donnée pseudonomysée n’est donc pas toujours, en toute hypothèse et pour toute personne, à caractère personnel.  

La Cour renvoie encore à différents arrêts démontrant que le caractère personnel de données pourtant a priori impersonnel peut se révéler lorsqu’il est établi que le responsable de traitement peut les mettre à disposition de personnes disposant de moyens raisonnables pour permettre l’identification des personnes concernées. 

Enfin, après avoir clarifié ces deux premiers éléments, essentiels, de la notion de donnée à caractère personnel, la Cour affronte enfin la question de savoir si le CRU a violé son obligation d’information et, ce faisant, fait une application quasi immédiate du rappel qu’elle a formulé sur la relativité du caractère personnel des données. 

En effet, le grief formulée formulé par le CEPD portait sur l’absence d’information par le CRU lors de la collecte des données à caractère personnel auprès des actionnaires et créanciers potentiellement lésés, qui n’avaient pas été informés dès ce moment que leurs données à caractère personnel seraient transmises à un destinataire, en l’occurrence Deloitte, qui avait reçu comme mission d’examiner les commentaires de l’ensemble des actionnaires et créanciers. 

Le Tribunal de l’Union européenne[4] avait considéré que les données transmises ne présentaient pas de caractère personnel à l’égard de Deloitte car celui-ci n’avait pas accès aux informations d’identification nécessaire pour identifier les réclamants.  Le CRU n’était donc pas tenu à une obligation d’information.

La Cour va considérer, au contraire, que le caractère personnel des données visées doit s’interpréter au moment de la collecte des données à l’égard du responsable de traitement qui collecte les données, soit le CRU, dont il n’est pas contesté qu’il a les moyens de réidentifier les données … vu qu’il les a lui-même pseudonomysées. 

Partant, la Cour a conclu que le CRU a effectivement manqué à son obligation d’information auprès des personnes concernées lors de la collecte de leurs données.

Arrêt de la CJUE du 4 septembre 2025 :

https://curia.europa.eu/juris/document/document.jsf?text=&docid=303863&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=17325908

Arrêt du Tribunal de l’Union Européenne du 26 avril 2023 : 

https://publications.europa.eu/resource/cellar/2260209e-e413-11ed-a05c-01aa75ed71a1.0002.05/DOC_1

[1]     La définition se poursuit comme suit : « est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; ». 

[2]https://curia.europa.eu/juris/document/document.jsf?text=&docid=303863&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=17325908

[3]     Arrêts du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 35 ; du 7 mars 2024, OC/Commission, C-479/22 P, EU:C:2024:215, point 45, et du 7 mars 2024, IAB Europe, C-604/22, EU:C:2024:214, point 37 et jurisprudence citée. 

[4]     Arrêt du Tribunal de l'Union européenne du 26 avril 2023, CRU/CEPD (T-557/20, ci-après l' arrêt attaqué , EU:T:2023:219) https://publications.europa.eu/resource/cellar/2260209e-e413-11ed-a05c-01aa75ed71a1.0002.05/DOC_1