Arrêt de la Cour de justice de l’Union euro­péenne (CJUE) du 4 septembre 2025, C‑413/​23

La Cour de justice de l’Union euro­péenne est amenée à tran­cher, – d’une part, si les données pseu­do­ny­mi­sées trans­mises par l’une des parties doivent être consi­dé­rées comme des données person­nelles du point de vue du desti­na­taire, et – d’autre part, si, dans la néga­tive, l’obligation d’information des personnes concer­nées quant à la trans­mis­sion de leurs données subsiste.

En d’autres termes, la Cour est appe­lée à opérer une clari­fi­ca­tion entre la concep­tion abso­lue et rela­tive de la notion de donnée person­nelle. La première postule que les données demeurent pseu­do­ny­mi­sées dès lors que les personnes concer­nées restent iden­ti­fiables, indé­pen­dam­ment de l’accessibilité effec­tive aux infor­ma­tions complé­men­taires permet­tant leur iden­ti­fi­ca­tion. La seconde soutient qu’à l’issue d’un proces­sus de pseu­do­ny­mi­sa­tion, les données ne conservent un carac­tère person­nel qu’à l’égard des acteurs dispo­sant raison­na­ble­ment des moyens néces­saires pour iden­ti­fier les personnes concernées.

Faits

Dans le cadre d’une procé­dure de dédom­ma­ge­ment des action­naires et créan­ciers d’un établis­se­ment bancaire à la suite de la réso­lu­tion de celui-ci, l’en­tité en charge de cette procé­dure, le Conseil de réso­lu­tion unique (CRU), a mandaté une société d’au­dit et de conseil pour établir la valo­ri­sa­tion de la diffé­rence de trai­te­ment. Cette démarche vise à déter­mi­ner si les action­naires et créan­ciers de l’éta­blis­se­ment bancaire concerné auraient béné­fi­cié d’un meilleur trai­te­ment si ce dernier avait fait l’ob­jet d’une procé­dure normale d’insolvabilité.

Afin de déter­mi­ner la valo­ri­sa­tion de la diffé­rence de trai­te­ment, les action­naires et créan­ciers affec­tés doivent exer­cer leur droit d’être entendu à l’aide d’un formu­laire d’ins­crip­tion en ligne. Durant cette phase d’ins­crip­tion, les action­naires et créan­ciers commu­niquent des pièces justi­fi­ca­tives, notam­ment une pièce d’iden­tité et une preuve de la propriété de l’un des instru­ments de capi­tal dépré­ciés de l’éta­blis­se­ment bancaire ou conver­tis et trans­fé­rés à un autre établis­se­ment bancaire. Cette première phase doit permettre au CRU de véri­fier le statut d’ac­tion­naire ou de créan­cier affecté par la réso­lu­tion unique.

S’ouvre ensuite la phase de consul­ta­tion, phase durant laquelle les personnes dont le statut d’ac­tion­naires et/​ou créan­ciers affec­tés est véri­fié par le CRU. Ceux-ci peuvent soumettre leurs commen­taires rela­tifs à la déci­sion préli­mi­naire fixant la valo­ri­sa­tion de la diffé­rence de trai­te­ment. Pour recueillir ces commen­taires, un lien person­nel unique permet­tant d’ac­cé­der en ligne à un formu­laire est commu­ni­qué auxdits action­naires et créan­ciers. Ces commen­taires font l’ob­jet d’une évalua­tion par la société d’au­dit et de conseil manda­tée par le CRU afin d’exa­mi­ner si la valo­ri­sa­tion de la diffé­rence de trai­te­ment restait valable à la lumière des commen­taires recueillis.

Lors de la phase de consul­ta­tion plus d’un millier de commen­taires reçus ont été trans­fé­rés à la société d’au­dit et de conseil. À ce stade, il convient de préci­ser que lesdits commen­taires portent un code alpha­nu­mé­rique et que seul le CRU est en mesure de pouvoir corré­ler (table de concor­dance) par le biais de ce code, les commen­taires aux données d’iden­ti­fi­ca­tion collec­tées lors de la phase d’inscription.

Le Contrôleur euro­péen de la protec­tion des données (CEPD) est saisi de récla­ma­tions formu­lées par les action­naires et créan­ciers affec­tés. Ces derniers se prévalent du fait qu’ils n’ont pas été infor­més que les données collec­tées seraient trans­mises à des tiers, à savoir la société d’au­dit et conseil ainsi que l’éta­blis­se­ment bancaire auprès duquel les instru­ments de capi­tal ont été conver­tis et trans­fé­rés. Le CEPD adopte une déci­sion selon laquelle le CRU a violé son obli­ga­tion d’in­for­ma­tion en n’in­di­quant pas, dans sa décla­ra­tion de confi­den­tia­lité, la possi­bi­lité que les données person­nelles soient commu­ni­quées à la société d’au­dit et de conseil.

Le CRU se prévaut du fait que les infor­ma­tions trans­mises à la société ne consti­tuent pas des données person­nelles et solli­cite du CEPD le réexa­men de sa déci­sion initiale. À l’is­sue de la procé­dure de révi­sion, le CEPD retient, – d’une part, que les données que le CRU a partagé avec la société d’au­dit et de conseil sont des données pseu­do­ny­mi­sées et, – d’autre part, que ladite société est un desti­na­taire de données person­nelles de sorte qu’elle aurait dû figu­rer dans la décla­ra­tion de confi­den­tia­lité du CRU comme tel. Ce dernier forme recours à l’encontre de cette déci­sion par devant le Tribunal de l’Union euro­péenne (TUE), lequel rejette la posi­tion du CEPD et annule sa déci­sion (cf. T‑557/​20 du 26 avril 2023, commenté in swiss​pri​vacy​.law/​2​32/). En désac­cord avec la solu­tion rete­nue par le TUE, le CEPD forme recours auprès de la Cour de justice de l’Union européenne.

Droit

La Cour débute son raison­ne­ment en s’intéressant à la notion de données person­nelles figu­rant à l’art. 3 §1 du règle­ment (UE) 2018/​1725  du 23 octobre 2018 rela­tif à la protec­tion des personnes physiques à l’égard du trai­te­ment des données à carac­tère person­nel par les insti­tu­tions, organes et orga­nismes de l’Union (Règlement 2018/​1725) selon laquelle consti­tue une donnée à carac­tère person­nel « toute infor­ma­tion se rappor­tant à une personne physique iden­ti­fiée ou iden­ti­fiable ». En outre, la Cour rappelle que l’interprétation de cette dispo­si­tion doit être iden­tique à celle présente dans le RGPD (art. 4 §1), et ce, afin de garan­tir une appli­ca­tion uniforme et cohé­rente du droit de l’Union européenne.

Dès lors, pour conduire son analyse, la Cour distingue les deux condi­tions posées par cette défi­ni­tion, à savoir (i.) le fait que l’information se rapporte à une personne physique et (ii.) le carac­tère iden­ti­fiable de cette dernière.

L’information « se rapporte » à une personne physique

Dans un premier temps, la Cour rappelle sa juris­pru­dence en ce sens qu’une infor­ma­tion se rapporte à une personne physique lorsque « en raison de son contenu, sa fina­lité ou son effet, elle est liée à une personne iden­ti­fiable » (cf. C‑604/​22 du 7 mars 2024, commenté in swiss​pri​vacy​.law/​3​03/). Dans le cas d’espèce, sont liti­gieuses les infor­ma­tions trans­mises par le CRU, à savoir les commen­taires formu­lés par les action­naires et créan­ciers concer­nés. Faisant état de sa juris­pru­dence « Nowak » (cf. C‑434/​16 du 20 décembre 2017) dans laquelle la Cour recon­naît que les anno­ta­tions d’un exami­na­teur rela­tives aux réponses écrites d’un candi­dat consti­tuent l’expression d’un avis ou d’une appré­cia­tion et se rapportent donc audit exami­na­teur. Ainsi, la Cour relève que des commen­taires expriment l’opinion ou le point de vue person­nel de leur auteur. De la sorte, les commen­taires des action­naires et créan­ciers consti­tuent des infor­ma­tions se rappor­tant à une personne physique.

Le carac­tère « iden­ti­fiable » de cette personne

L’information se rappor­tant à une personne physique, la Cour doit désor­mais déter­mi­ner si cette dernière est iden­ti­fiable. Alors que le CEPD défend son approche maxi­ma­liste en invo­quant que l’interprétation rete­nue par l’autorité précé­dente consti­tue un risque que les données pseu­do­ny­mi­sées puissent être trai­tées en l’absence de toute restric­tion en vertu du Règlement 2018/​1725 et du RGPD, la Cour s’attarde sur le consid. 16 du Règlement 2018/​1725. Ce dernier, dont la teneur est iden­tique à celle du consid.  26 RGPD, indique que

« [l]es données à carac­tère person­nel qui ont fait l’objet d’une pseu­do­ny­mi­sa­tion et qui pour­raient être attri­buées à une personne physique par le recours à des infor­ma­tions supplé­men­taires devraient être consi­dé­rées comme des infor­ma­tions concer­nant une personne physique identifiable ».

La Cour relève égale­ment que les données pseu­do­ny­mi­sées ne sont pas mention­nées dans la défi­ni­tion de la notion de données person­nelles à l’art. 3 §1 du Règlement 2018/​1725 mais sont défi­nies à son §6 comme étant

« le trai­te­ment de données à carac­tère person­nel de telle façon que celles-ci ne puissent plus être attri­buées à une personne concer­née précise sans avoir recours à des infor­ma­tions supplé­men­taires, pour autant que ces infor­ma­tions supplé­men­taires soient conser­vées sépa­ré­ment et soumises à des mesures tech­niques et orga­ni­sa­tion­nelles afin de garan­tir que les données à carac­tère person­nel ne sont pas attri­buées à une personne physique iden­ti­fiée ou identifiable ».

De la sorte, la pseu­do­ny­mi­sa­tion est la mise en place de mesures tech­niques ainsi qu’organisationnelles visant à réduire le risque de mise en corré­la­tion d’un jeu de données avec l’identité de la personne concer­née. En outre, cette notion de pseu­do­ny­mi­sa­tion présup­pose la présence d’informations qui permettent d’identifier la personne concernée.

Dans l’état de fait concerné, il convient donc de déter­mi­ner si la société d’au­dit et de conseil est en mesure ou non de lever les mesures de pseu­do­ny­mi­sa­tion dans le cadre du trai­te­ment des données, ainsi que si lesdites mesures privent effec­ti­ve­ment la société d’au­dit et de conseil de la possi­bi­lité d’attribuer ces commen­taires aux personnes concer­nées par le recours à d’autres moyens d’identification (p. ex. par recou­pe­ment avec d’autres infor­ma­tions). Ces obser­va­tions permettent ainsi de déter­mi­ner si la personne concer­née est ou n’est pas identifiable.

Le consid. 16 du Règlement 2018/​1725 offre égale­ment un éclai­rage concer­nant la déter­mi­na­tion du carac­tère iden­ti­fiable d’une personne physique. Celle-ci requiert d’apprécier l’ensemble des moyens raison­na­ble­ment envi­sa­geables permet­tant une iden­ti­fi­ca­tion, directe ou indi­recte, par le respon­sable du trai­te­ment ou par tout tiers, notam­ment par des tech­niques de ciblage. L’évaluation du carac­tère raison­nable de ces moyens doit se fonder sur des critères objec­tifs, incluant notam­ment le coût et le délai néces­saires à l’identification, eu égard aux tech­no­lo­gies dispo­nibles au moment du trai­te­ment ainsi que de leur évolu­tion prévisible.

À ce titre, la Cour fait étalage de ses déci­sions précé­dentes afin de démon­trer que l’existence d’informations supplé­men­taires permet­tant l’identification de la personne concer­née ne doit entrai­ner, à elle seule, la quali­fi­ca­tion de données person­nelles en toute hypo­thèse et pour toute personne (cf. C‑479/​22 « OC/​Commission » du 7 mars 2024, commenté in swiss​pri​vacy​.law/​3​04/). Bien que de telles infor­ma­tions supplé­men­taires se trouvent en mains de tiers, le respon­sable du trai­te­ment dispose de voies légales en vue d’obtenir d’autrui les infor­ma­tions lui permet­tant d’identifier la personne concer­née (cf. C‑582/​14 « Breyer » du 19 octobre 2016 et C‑604/​22 susmen­tionné). En outre, des données initia­le­ment dépour­vues de carac­tère person­nel peuvent l’acquérir dès lors que le respon­sable du trai­te­ment les met à dispo­si­tion de tiers dispo­sant de moyens raison­na­ble­ment suscep­tibles de permettre l’identification de la personne concer­née (cf. C‑319/​22 « Scania » du 9 novembre 2023). Il ressort de cet exposé que des données pseu­do­ny­mi­sées ne sauraient, de manière systé­ma­tique et pour tout desti­na­taire, être quali­fiées de données person­nelles. En effet, la pseu­do­ny­mi­sa­tion peut, selon les circons­tances propres au cas d’espèce, empê­cher de manière effec­tive toute iden­ti­fi­ca­tion de la personne concer­née par des tiers (i.e. le desti­na­taire des données) autres que le respon­sable du trai­te­ment. Dans une telle hypo­thèse, la personne concer­née n’est pas, ou n’est plus, iden­ti­fiable pour ces tiers.

L’obligation d’information

Dans un second temps, la Cour se penche sur l’obligation d’information à four­nir à la personne concer­née lors de la collecte par le respon­sable du trai­te­ment (art. 15 §1 Règlement 2018/​1725) afin de tran­cher si l’omission de mention­ner la société de conseil et d’audit en tant que desti­na­taire poten­tiel des commen­taires dans la décla­ra­tion de confi­den­tia­lité présen­tée au moment de la collecte de ceux-ci consti­tue une viola­tion de son obli­ga­tion d’information (art. 15 §1 let. d Règlement 2018/​1725) par le CRU. La Cour retient qu’il découle de cette dispo­si­tion que les infor­ma­tions doivent être immé­dia­te­ment four­nies par le respon­sable du trai­te­ment au moment de la collecte des données concernées.

Dans le cas d’espèce, elle met en exergue que la collecte des commen­taires est inter­ve­nue dans le cadre de la procé­dure rela­tive au droit d’être entendu, laquelle est fondée sur le consen­te­ment de l’actionnaire ou du créan­cier concerné. Or, pour qu’un tel consen­te­ment puisse être recueilli, encore faut-il qu’il soit valide. En effet, la vali­dité du consen­te­ment suppose que la personne concer­née ait notam­ment été préa­la­ble­ment infor­mée de toutes les infor­ma­tions auxquelles elle pouvait légi­ti­me­ment prétendre en vertu de l’art. 15 du Règlement 2018/​1725.

De plus, cette obli­ga­tion à charge du respon­sable du trai­te­ment doit être lue en paral­lèle avec le consid. 35 du Règlement 2018/​1725. Ce dernier indique qu’il est égale­ment essen­tiel que la personne concer­née soit infor­mée du carac­tère obli­ga­toire ou non de la four­ni­ture de ses données person­nelles, ainsi que des consé­quences éven­tuelles qu’elle encourt en cas de refus de les commu­ni­quer. Ainsi, la Cour souligne que l’information rela­tive aux éven­tuels desti­na­taires de ces données (art. 15 §1 let. d Règlement 2018/​1725) permet notam­ment à la personne concer­née de déter­mi­ner, en pleine connais­sance de cause, s’il y a lieu de four­nir ou non ses données person­nelles. Au surplus, l’information rela­tives aux éven­tuels desti­na­taires est égale­ment requise pour que la personne concer­née puisse défendre ses droits à l’encontre de ces desti­na­taires ultérieurement.

La Cour fait siennes les conclu­sions de l’avocat géné­ral selon lesquelles l’obligation d’information (art. 15 §1 let. d Règlement 2018/​1725) s’inscrit dans le cadre de la rela­tion juri­dique entre le respon­sable du trai­te­ment et la personne concer­née et ajoute que le carac­tère iden­ti­fiable de cette dernière doit faire l’objet d’une appré­cia­tion du point de vue du respon­sable du trai­te­ment au moment de la collecte des données. De la sorte, la Cour conclut à ce que le CRU a violé son obli­ga­tion d’information préa­la­ble­ment au trans­fert des commen­taires des action­naires et créan­ciers, et ce, indé­pen­dam­ment de leur carac­tère person­nel ou non du point de vue de la société d’audit et de conseil après leur éven­tuelle pseu­do­ny­mi­sa­tion. Par consé­quent, le respect de l’obligation d’information du respon­sable du trai­te­ment ne dépend pas des possi­bi­li­tés d’identification de la personne concer­née dont dispose un éven­tuel destinataire.

Conclusion

Bien que cet arrêt soit rendu sous l’égide du Règlement 2018/​1725, ce dernier est le pendant du RGPD pour les trai­te­ments de données person­nelles effec­tués par les insti­tu­tions et organes de l’UE, de sorte que le raison­ne­ment et les consé­quences résul­tant de cet arrêt sont trans­po­sables au RGPD. 

La CJUE marque dura­ble­ment la protec­tion des données en optant pour une approche contex­tuelle du Règlement 2018/​1725 basée sur la réalité tech­nique et écono­mique des trai­te­ments de données en lieu et place de la pratique ayant long­temps perdu­rée selon laquelle une donnée, quand bien même pseu­do­ny­mi­sée, était de facto une donnée person­nelle avec pour résul­tante l’application de ce Règlement. En outre, il convient de souli­gner que la Cour réin­tègre ainsi le débat sur le plan juri­dique et non plus unique­ment tech­nique sur lequel les auto­ri­tés de protec­tion des données avaient de longue date tran­chée que l’anonymisation de données ne pouvait résul­ter que de certaines caté­go­ries de tech­niques d’anonymisation, notam­ment la géné­ra­li­sa­tion et la randomisation.

Toutefois, la posi­tion adop­tée par la CJUE dans cet arrêt corres­pond à des déve­lop­pe­ments récents. En effet, l’Information Commissioner’s Office (ICO) a publié courant mars 2025 de nouvelles lignes direc­trices en matière de pseu­do­ny­mi­sa­tion et anony­mi­sa­tion qui retiennent que peuvent être exclues du champ d’application du UK GDPR les données pseu­do­ny­mi­sées lorsque l’utilisateur n’a accès à aucune clé de pseu­do­ny­mi­sa­tion et ne peut pas iden­ti­fier les personnes concer­nées avec les infor­ma­tions dont il dispose (iden­ti­fia­bi­lity). En outre, la propo­si­tion Digital Omnibus – qui vise à appor­ter un soula­ge­ment immé­diat aux entre­prises, admi­nis­tra­tions publiques et citoyens, mais égale­ment à stimu­ler la compé­ti­ti­vité – fait sienne l’approche subjec­tive rete­nue par la CJUE.

Désormais, la problé­ma­tique à laquelle sont confron­tés les prati­ciens et les métiers est celle de l’appréciation concrète (i.) de la nature iden­ti­fiante ou non des données trai­tées, (ii.) du risque de réiden­ti­fi­ca­tion, ainsi que (iii.) des moyens raison­na­ble­ment suscep­tibles d’être mobi­li­sés pour permettre l’identification d’une personne.

Par cet arrêt, la CJUE consacre une concep­tion plus flexible de ces notions, ce qui mérite d’être salué en raison de l’adéquation avec la réalité offerte par cette concep­tion. Néanmoins, celle-ci peut engen­drer un amenui­se­ment de la sécu­rité juri­dique du fait de la néces­sité de procé­der à une analyse minu­tieuse des divers éléments du cas d’espèce.

En outre, une zone d’ombre subsiste du fait que la défi­ni­tion de la pseu­do­ny­mi­sa­tion présente à l’art. 3 ch. 6 du Règlement 2018/​1725 indique expres­sé­ment que la pseu­do­ny­mi­sa­tion requiert que les données person­nelles « ne puissent plus être attri­buées à une personne concer­née précise ». Il est légi­time de s’interroger quant à la lecture qui doit être réali­sée de cette défi­ni­tion paral­lè­le­ment à la lecture du consid. 16 qui est réali­sée par la Cour, dit consi­dé­rant qui dispose d’une valeur juri­dique moindre que celle de l’art. 3.

Au surplus, concer­nant l’obligation d’information rela­tive à des données anony­mi­sées, le raison­ne­ment de la Cour est diffi­ci­le­ment appré­hen­dable en ce qui a trait à la moti­va­tion justi­fiant la commu­ni­ca­tion d’informations aux personnes concer­nées du fait que des données qui seront anony­mi­sées puis trans­mises à un desti­na­taire non-déter­miné voire inconnu lors du trai­te­ment d’anonymisation.