Arrêt du Tribunal de l’Union euro­péenne, Affaire T‑557/​20 du 26 avril 2023 (CRU /​ CEPD)

Introduction

Le Tribunal de l’Union euro­péenne (TUE) a rendu un arrêt majeur le 26 avril dernier sur la notion de données person­nelles. Cet arrêt, qui n’a pas (encore) fait les gros titres, aura sans aucun doute un impact consi­dé­rable sur l’application du droit de la protec­tion des données en Europe et dans le monde.

En effet, bien qu’il ne concerne pas le RGPD direc­te­ment, mais le règle­ment (UE) 2018/​1725 – qui est son pendant pour les trai­te­ments de données person­nelles effec­tués par les insti­tu­tions et organes de l’UE – il apporte pour la première fois depuis l’arrêt de la CJUE « Breyer » des clari­fi­ca­tions impor­tantes sur le concept fonda­men­tal de données person­nelles (respec­ti­ve­ment de données à carac­tère person­nel selon la termi­no­lo­gie en droit euro­péen). Nous préci­sons d’emblée que les dispo­si­tions légales sur lesquelles l’arrêt se fonde sont iden­tiques dans le RGPD, et que les prin­ci­pales déci­sions de justice citées se rapportent au RGPD. Les consi­dé­ra­tions qui suivent sont donc à notre avis plei­ne­ment trans­po­sables au RGPD.

Les faits

Le Conseil de réso­lu­tion unique (CRU) est une auto­rité euro­péenne dont le but est de contri­buer à la stabi­lité finan­cière en Europe et qui a été char­gée du cas de la Banco Popular Español en pleine déroute. Pour les besoins de la procé­dure, le CRU mandate le cabi­net Deloitte afin de procé­der à une évalua­tion des actifs de la banque.

Dans ce cadre, le CRU partage avec Deloitte des commen­taires émanant d’actionnaires de la banque. Avant leur trans­fert à Deloitte, le CRU a supprimé tous les iden­ti­fiants directs (nom, prénom, etc.) des commen­taires et a appli­qué un code alpha­nu­mé­rique. Au moyen de ce code, le CRU était le seul à pouvoir relier les commen­taires aux indi­vi­dus concer­nés. Le code alpha­nu­mé­rique est utilisé à des fins d’audit pour permettre de véri­fier, et éven­tuel­le­ment de démon­trer, a poste­riori que chaque commen­taire avait été traité et dûment pris en compte. Deloitte n’a jamais eu accès à la base de données complète, ni au code permet­tant de réiden­ti­fier les auteurs des divers commentaires.

La décla­ra­tion rela­tive au trai­te­ment de données à carac­tère person­nel du CRU ne conte­nait pas d’information sur un poten­tiel trans­fert de données person­nelles à Deloitte. Partant de ce constat, cinq action­naires ont intro­duit une plainte contre le CRU auprès du Contrôleur euro­péen de la protec­tion des données (CEPD [ou EDPS en anglais]), qui est l’autorité euro­péenne char­gée de veiller au respect du règle­ment (UE) 2018/​1725  (à ne pas confondre avec le Comité euro­péen de la protec­tion des données, qui porte égale­ment en fran­çais l’acronyme CEPD [EDPB en anglais], qui lui veille à l’application du RGPD). À la suite des plaintes, le CEPD rend une déci­sion dans laquelle il retient que le CRU a trans­féré des données person­nelles à Deloitte en viola­tion des règles prévues par le règle­ment (UE) 2018/​1725.

Le CRU conteste cette déci­sion auprès du Tribunal de l’Union euro­péenne (TUE). Il estime en substance que les données trans­mises à Deloitte ne doivent pas être consi­dé­rées comme des données à carac­tère person­nel, car Deloitte n’était pas en mesure d’identifier les auteurs des commen­taires et que Deloitte n’avait donc pas besoin d’être listé comme desti­na­taire des données. De son côté, le CEPD persiste dans sa posi­tion, esti­mant que des données pseu­do­ny­mi­sées sont toujours des données à carac­tère person­nel (y compris pour le desti­na­taire qui n’a pas accès au code). Dans son arrêt du 26 avril 2023, le TUE rejette sèche­ment la posi­tion du CEPD et annule sa déci­sion, pour les motifs expo­sés ci-après.

Un commen­taire ne « se rapporte » pas néces­sai­re­ment à une personne physique

Pour rendre sa déci­sion, le TUE se plonge dans la notion de « données à carac­tère person­nel », qui est défi­nie de manière iden­tique à l’art. 4 par. 1 RGPD et à l’art. 3 par. 1 du règle­ment (UE) 2018/​1725. Il ressort de cette défi­ni­tion qu’une infor­ma­tion consti­tue une donnée à carac­tère person­nel, si quatre condi­tions cumu­la­tives sont réunies, soit (1) l’existence d’une infor­ma­tion, (2) qui « se rapporte » à (3) une personne physique et, enfin, (4) que cette personne soit « iden­ti­fiée ou identifiable ».

Le TUE rappelle tout d’abord, en réfé­rence à l’arrêt de la CJUE « Nowak » (points 34–35), que la notion d’« infor­ma­tion » doit être inter­pré­tée de manière large et n’est pas restreinte aux infor­ma­tions sensibles ou d’ordre privé, mais englobe poten­tiel­le­ment toute sorte d’informations, tant objec­tives que subjec­tives sous forme d’avis ou d’appréciations, à condi­tion que celles-ci « concernent » la personne en cause, ce qui sera le cas si son contenu, sa fina­lité ou son effet est lié à cette personne.

Sur cette base, le TUE juge que le CEPD ne pouvait pas consi­dé­rer de manière sché­ma­tique que les commen­taires des action­naires, comme toute opinion person­nelle, consti­tuaient systé­ma­ti­que­ment des infor­ma­tions « se rappor­tant » à des indi­vi­dus (arrêt commenté, point 73). Selon le TUE, s’il ne saurait être exclu que des points de vue person­nels ou des opinions consti­tuent des données à carac­tère person­nel, une telle conclu­sion doit néces­sai­re­ment s’appuyer sur l’examen visant à déter­mi­ner si, par son contenu, sa fina­lité ou son effet, un point de vue est lié à une personne déter­mi­née. Le CEPD n’ayant pas fait cette analyse, il ne pouvait rete­nir que les infor­ma­tions trans­mises à Deloitte consti­tuaient des infor­ma­tions « se rappor­tant » à une personne physique.

Des données pseu­do­ny­mi­sées sont anonymes pour celui qui ne dispose pas des moyens de ré-identification

C’est toute­fois sur l’exigence du carac­tère « iden­ti­fiable » de l’information que l’arrêt est le plus inté­res­sant. De manière simi­laire à l’opinion répan­due parmi les auto­ri­tés char­gées de faire appli­quer le RGPD, le CEPD avait retenu que des données pseu­do­ny­mi­sées sont toujours des données à carac­tère person­nel et qu’il n’existe pas de distinc­tion légale entre ceux qui conservent les données « pseu­do­ny­mi­sées » et ceux qui détiennent les infor­ma­tions supplé­men­taires (le code) permet­tant une réiden­ti­fi­ca­tion. Dès lors, le fait que Deloitte n’ait pas été en mesure à lui seul d’attribuer les commen­taires aux données reçues lors de la phase d’inscription n’excluait pas que les données qu’il avait reçues étaient pseu­do­ny­mi­sées et donc personnelles.

Le TUE s’appuie sur l’arrêt « Breyer »  pour contre­dire la posi­tion du CEPD, ainsi que sur le consi­dé­rant 16 du règle­ment 2018/​1725 (qui est iden­tique au consi­dé­rant 26 du RPGD). Dans l’arrêt Breyer (rendu avant l’entrée en vigueur du RGPD), la CJUE a jugé en substance qu’afin de déter­mi­ner si une infor­ma­tion, en l’occurrence une adresse IP, est une donnée à carac­tère person­nel : (1) il convient de prendre en compte les moyens suscep­tibles d’être raison­na­ble­ment mis en œuvre par le déten­teur de cette infor­ma­tion pour iden­ti­fier la personne concer­née et (2) qu’il n’est en soi pas perti­nent que les données supplé­men­taires permet­tant l’identification se trouvent en main d’un tiers, pour autant que ces infor­ma­tions puissent léga­le­ment être requises et que cela n’implique pas un effort démesuré.

Cette juris­pru­dence a fait l’objet de nombreux débats juri­diques et conduit à des opinions oppo­sées sur la nature plutôt rela­tive ou abso­lue de la notion de donnée à carac­tère person­nel. L’arrêt commenté ici est à notre connais­sance la première déci­sion d’une auto­rité judi­ciaire euro­péenne appli­quant direc­te­ment l’arrêt Breyer au RGPD (respec­ti­ve­ment au règle­ment 2018/​1725), y compris au consi­dé­rant 26 du RGPD (qui corres­pond au consi­dé­rant 16 du règle­ment 2018/​1725 dans l’arrêt analysé), dont la la teneure est la suivante :

(26) […] Les données à carac­tère person­nel qui ont fait l’objet d’une pseu­do­ny­mi­sa­tion et qui pour­raient être attri­buées à une personne physique par le recours à des infor­ma­tions supplé­men­taires devraient être consi­dé­rées comme des infor­ma­tions concer­nant une personne physique iden­ti­fiable. Pour déter­mi­ner si une personne physique est iden­ti­fiable, il convient de prendre en consi­dé­ra­tion l’ensemble des moyens raison­na­ble­ment suscep­tibles d’être utili­sés par le respon­sable du trai­te­ment ou par toute autre personne pour iden­ti­fier la personne physique direc­te­ment ou indi­rec­te­ment, tels que le ciblage. Pour établir si des moyens sont raison­na­ble­ment suscep­tibles d’être utili­sés pour iden­ti­fier une personne physique, il convient de prendre en consi­dé­ra­tion l’ensemble des facteurs objec­tifs, tels que le coût de l’identification et le temps néces­saire à celle-ci, en tenant compte des tech­no­lo­gies dispo­nibles au moment du trai­te­ment et de l’évolution de celles-ci. […]

Dans son arrêt, le TUE consi­dère que l’arrêt Breyer, inter­prété à la lumière du consi­dé­rant ci-dessus, néces­site d’analyser la possi­bi­lité d’une iden­ti­fi­ca­tion du point de vue du destinataire :

(96) Certes, […] le fait que les infor­ma­tions supplé­men­taires néces­saires pour iden­ti­fier les auteurs des commen­taires reçus lors de la phase de consul­ta­tion étaient déte­nues non pas par Deloitte, mais par le CRU, n’apparaît pas de nature à exclure a priori que les infor­ma­tions trans­mises à Deloitte consti­tuaient, pour celui-ci, des données à carac­tère personnel.

(97) Toutefois, il ressort égale­ment de l’arrêt du 19 octobre 2016, Breyer (C‑582/​14, EU:C:2016:779), que, pour déter­mi­ner si les infor­ma­tions trans­mises à Deloitte consti­tuaient des données à carac­tère person­nel, il convient de se placer du point de vue de ce dernier pour déter­mi­ner si les infor­ma­tions qui lui ont été trans­mises se rapportent à des « personnes identifiables ».

En défi­ni­tive, le TUE juge que le CEPD aurait dû recher­cher si les auteurs des infor­ma­tions trans­mises à Deloitte étaient direc­te­ment iden­ti­fiables par Deloitte ou si Deloitte dispo­sait de moyens légaux et réali­sables en pratique lui permet­tant d’accéder aux infor­ma­tions supplé­men­taires néces­saires à la réiden­ti­fi­ca­tion des auteurs des commen­taires. Faute pour le CEPD d’avoir fait cette analyse – ayant consi­déré que les données pseu­do­ny­mi­sées étaient systé­ma­ti­que­ment des données à carac­tère person­nel, tant pour le CRU que pour Deloitte – le TUE annule la déci­sion du CEPD.

Commentaire

Cet arrêt ouvre de nouvelles pers­pec­tives en matière de trans­mis­sion d’informations pseu­do­ny­mi­sées (ou « dé-iden­ti­fiées ») et apporte une clari­fi­ca­tion juri­dique bien­ve­nue sur un concept aussi impor­tant que celui de « donnée person­nelle ». Il remet en ques­tion l’in­ter­pré­ta­tion souvent prônée en tout cas dans l’Union euro­péenne selon laquelle les données pseu­do­ny­mi­sées restent systé­ma­ti­que­ment des données person­nelles, même lors­qu’elles sont trans­mises à des tiers qui ne disposent ni des infor­ma­tions supplé­men­taires néces­saires pour réiden­ti­fier les personnes, ni d’un moyen licite de les obtenir.

Selon l’arrêt du TUE, le carac­tère iden­ti­fiable de l’information doit être analysé du point de vue de la personne qui détient l’information. En consé­quence, la même infor­ma­tion peut être une donnée person­nelle pour un acteur, et une donnée anonyme pour un autre, en fonc­tion des moyens raison­na­ble­ment dispo­nibles à chacun d’eux. Ainsi, le TUE adopte (à raison) une approche fondée sur le risque d’iden­ti­fi­ca­tion dans chaque scéna­rio indi­vi­duel, plutôt qu’une approche absolue.

Cet arrêt rapproche la concep­tion euro­péenne de la notion de donnée person­nelle de celle préva­lant en Suisse, que l’auteur de cet article a analy­sée dans une récente publi­ca­tion dans la Jusletter (Alexandre Jotterand, Personal Data or Anonymous Data : where to draw the lines (and why)?, in : Jusletter 15 August 2022 (dispo­nible à cette adresse) ; laquelle a fait l’objet d’une recen­sion sur www​.swiss​pri​vacy​.law/​202). En résumé, l’analyse de la possi­bi­lité d’identification (directe ou indi­recte) doit dans le cadre de la LPD (et de la nLPD) égale­ment partir du point de vue du déten­teur de l’information, et prendre en compte l’environnement dans lequel les données sont parta­gées. Tout comme dans l’arrêt analysé ici, il n’est pas perti­nent en cas de trans­fert que les données soient quali­fiées de person­nelles pour celui qui les trans­met : c’est le point de vue du desti­na­taire qui doit être analysé. Si le desti­na­taire n’est pas en mesure d’identifier les personnes concer­nées, que se soit direc­te­ment ou à l’aide d’informations supplé­men­taires raison­na­ble­ment acces­sibles auprès d’un tiers, il faut alors rete­nir qu’aucune donnée person­nelle ne lui est communiquée.

Cette situa­tion à l’avantage d’éviter l’application par exemple des règles sur le trans­fert inter­na­tio­nal de données person­nelles ou concer­nant la commu­ni­ca­tion de données sensibles à des tiers (puisque ce qui est reçu par le desti­na­taire n’est pas des données personnelles).

Ces avan­tages sont toute­fois tempé­rés de plusieurs manières :

• La situa­tion présente certains risques pour celui qui trans­met les données : en effet, alors que les données restent en prin­cipe pour lui des données person­nelles (puisqu’il détient le code), le desti­na­taire des infor­ma­tions ne sera, lui, pas soumis à la LPD (ou au RGPD), puisque les données ne seront pas pour lui des données person­nelles. Cette situa­tion peut poser des problèmes à celui qui trans­fère des données, qui s’est poten­tiel­le­ment engagé envers les personnes concer­nées à trai­ter les données d’une certaine manière. Au demeu­rant, en cas de viola­tion de la sécu­rité des données chez le desti­na­taire, celui-ci ne sera léga­le­ment pas tenu de noti­fier le respon­sable du trai­te­ment (l’art. 24 nLPD ne lui sera en prin­cipe pas oppo­sable), alors que le respon­sable du trai­te­ment sera quant à lui tenu à des obli­ga­tions d’annonce.
• L’analyse juri­dique dépend d’une situa­tion factuelle spéci­fique (le data envi­ron­ment), basée sur les moyens raison­na­ble­ment à dispo­si­tion du desti­na­taire. Si la situa­tion factuelle change, par exemple parce que le desti­na­taire trans­met à son tour les données (qui sont anonymes pour lui) à des tiers, ou les publie sur inter­net, l’analyse juri­dique change égale­ment et des données qui ont été anonymes pendant un moment peuvent soudai­ne­ment rede­ve­nir personnelles.
• Enfin, l’analyse juri­dique complète dépend du rôle de chaque acteur : elle sera en partie diffé­rente en cas de trans­fert entre un respon­sable du trai­te­ment et son sous-trai­tant, ou entre des respon­sables conjoints du traitement.

Celui qui trans­met des données pseu­do­ny­mi­sées à un tiers sera donc bien inspiré de s’assurer contrac­tuel­le­ment que ce tiers se soumet­tra à des exigences appro­priées même si les données ne sont pas person­nelles pour lui.

Enfin, il est impor­tant de noter que la déci­sion du TUE ne fixe pas de seuil précis pour déter­mi­ner si les personnes concer­nées sont (ré-)identifiables et précise que cela doit être évalué au cas par cas. À ce titre, il aurait été inté­res­sant que le Tribunal se réfère à la récente norme ISO/​IEC 27559:2022, dont l’ambition est de servir de cadre pour la dési­den­ti­fi­ca­tion de données pour la protec­tion de la vie privée. Nous préci­sons enfin que l’arrêt du TUE peut encore être contesté devant la CJUE. Nous ne manque­rons pas d’analyser cette déci­sion subsé­quente si cela devait être le cas.