- La CJUE considère que les données pseudonymisées ne sont pas, de manière générale, des données à caractère personnel ; si des tiers ne sont pas en mesure de supprimer la pseudonymisation, les personnes concernées ne restent pas identifiables pour eux.
- L’obligation d’information du responsable doit être vérifiée au moment de la collecte des données ; elle ne s’applique pas si, au moment de la collecte, il ne faut pas s’attendre à ce que les destinataires puissent traiter les données en tant que données à caractère personnel.
La CJCE a statué le 4 septembre 2025 (Rs. C‑413/23), qu’une communication de données pseudonymes ne constitue pas une communication de données personnelles si
Le contexte était une décision du Conseil de résolution unique SRBL’autorité de résolution de l’Union bancaire européenne a lancé une procédure de résolution à l’encontre d’une banque. Dans ce cadre, des avis ont été recueillis auprès des actionnaires et des créanciers. Ces avis ont ensuite été transmis à Deloitte sous forme de pseudonymes :
28 Seules les observations qui […] étaient accompagnées d’un code alphanumérique étaient munis d’un code. Toutefois, seul le SRB pouvait, à l’aide de ce code, relier les avis aux données collectées pendant la phase d’enregistrement […]. […] Deloitte avait pas d’accès à la base de données avec les données collectées pendant la phase d’enregistrement […].
Le litige portait sur la question de savoir si les actionnaires et les créanciers concernés auraient dû être informés de la communication à Deloitte, et donc notamment s’il s’agissait d’une communication de données personnelles.
La CJCE répond par la négative à cette question : Les données pseudonymisées ne sont pas des données à caractère personnel dans toutes les circonstances. Si un tiers ne peut pas supprimer la pseudonymisation, les personnes concernées doivent pour ce non identifiable.
Ce jugement est correct parce qu’il découle de l’approche relative de la détermination du lien avec la personne : Ce qui compte, ce sont les possibilités d’identification du service qui traite les données ou qui les fait traiter par un sous-traitant. La conséquence directe est le fait qu’une pseudonymisation peut avoir l’effet d’une anonymisation vis-à-vis de tiers, raison pour laquelle on pourrait également qualifier la pseudonymisation d’anonymisation subjective. En Suisse, le HGer Zürich 2021 même décision.
Il s’ensuit, par exemple, qu’en cas de communication de données pseudonymisées robustes à un sous-traitant à l’étranger, les données ne peuvent pas être traitées de manière confidentielle. pas besoin d’ADV ni de SCC sont des données à caractère personnel. Le responsable peut toutefois être tenu, au titre de la sécurité des données, de garantir la confidentialité et la finalité avec le destinataire et donc de conclure un quasi-CDA.
Critères de vérification de la référence aux personnes
La notion de données personnelles dépend de la question de savoir si une information est
55 […] en raison de leur Contenu, son À propos de ou de leur Conséquences est liée à une personne identifiable (arrêts du 20 décembre 2017, Nowak, C‑434/16 […], OC/Commission, C‑479/22 […], IAB Europe, C‑604/22 […] et la jurisprudence citée).
Il n’est toutefois pas toujours nécessaire d’examiner séparément l’objectif et les conséquences d’un traitement :
56 […] […] Selon la jurisprudence rappelée au point 55 du présent arrêt, un examen du contenu d’une information doit ne sont pas nécessairement complétées par une analyse de leur finalité et de leur impact être utilisés. Cela résulte de l’utilisation de la conjonction “ou”, à laquelle ont été associés les différents critères mentionnés dans cette jurisprudence.
Référence aux personnes des données pseudonymisées
Tout d’abord, la pseudonymisation n’est qu’une MesureLa définition légale des données personnelles n’inclut pas les données de type “nom de famille”, qui réduisent la probabilité d’identification, ni les données de type “nom de famille” :
72 Comme l’a indiqué l’avocat général […], la pseudonymisation n’est donc pas un élément de définition de la notion de “données à caractère personnel”. Elle se réfère plutôt à la mise en œuvre de mesures techniques et organisationnelles visant à réduire le risque qu’un ensemble de données donné soit associé à l’identité des personnes concernées. […]
Et si cette mesure a pour effet d’adsssser une personne de facto non identifiable est, il manque justement la référence à la personne :
75 En effet, dans la mesure où de telles mesures techniques et organisationnelles sont effectivement prises et sont de nature à empêcher l’attribution des données en cause à la personne concernée, de sorte que celle-ci n’est pas ou plus identifiable, la pseudonymisation peut avoir une incidence sur le caractère personnel de ces données au sens de l’article 3, point 1, du règlement 2018/1725.
C’est pourquoi ceux qui sont liés à Deloitte transmises Les pseudonymes ne sont pas en soi des données personnelles:
77 En ce qui concerne Deloitte, à qui le CSR a transmis des avis pseudonymisés, […] les mesures techniques et organisationnelles […] peuvent faire en sorte que ces avis ne soient pas personnels pour Deloitte. Cela suppose toutefois, d’une part, que Deloitte ne soit pas en mesure de lever ces mesures lors du traitement des avis, qui s’effectue sous son contrôle. D’autre part, ces mesures doivent également être effectivement de nature à empêcher Deloitte d’attribuer ces avis à la personne concernée, y compris par d’autres moyens d’identification, tels qu’un recoupement avec d’autres éléments, de sorte que la personne concernée ne soit pas ou plus identifiable pour Deloitte.
Ce résultat est conforme à la jurisprudence :
82 En outre, la Cour a déjà jugé qu’un moyen n’est pas susceptible, selon l’appréciation générale, d’être utilisé pour identifier la personne concernée si le risque d’identification semble de facto insignifiant, parce que la Identification de cette personne interdite par la loi ou impossible à réaliser dans la pratique par exemple parce qu’elle exigerait un investissement disproportionné en temps, en coûts et en main-d’œuvre […]. […]
83 De même, la Cour a jugé […] en substance que des données à caractère non personnel en soi, collectées et stockées par le responsable du traitement, se rapportaient néanmoins à une personne identifiable, étant donné que le responsable du traitement disposait de moyens juridiques pour obtenir de tiers des informations supplémentaires permettant d’identifier cette personne. […].
84 En particulier, selon la jurisprudence […], des données qui ne sont pas en soi des données à caractère personnel peuvent devenir des données “à caractère personnel” lorsque le responsable du traitement les transmet à d’autres personnes qui disposent de moyens permettant raisonnablement d’identifier la personne concernée. […]
85 […] Dans la mesure où […] il ne peut être exclu que ces tiers soient raisonnablement en mesure de rattacher les données pseudonymisées à la personne concernée par des moyens tels qu’une comparaison avec d’autres données dont ils disposent, cette personne doit être considérée comme identifiable, tant en ce qui concerne la transmission des données que le traitement ultérieur de ces données par des tiers. Dans ces circonstances, les données pseudonymisées devraient être considérées comme des données à caractère personnel.
86 Par conséquent, […] des données pseudonymisées doivent être […]. ne sont pas considérées comme des données à caractère personnel dans tous les cas et pour chaque personne être utilisées. En effet, la pseudonymisation peut – selon les circonstances du cas d’espèce – empêcher effectivement d’autres personnes que le responsable du traitement d’identifier la personne concernée, de sorte que cette dernière n’est pas ou plus identifiable pour eux.
Conséquences sur l’obligation d’information
La question de savoir à quel moment l’obligation d’information sur les destinataires doit être appliquée était également litigieuse. Il s’agit ici ne se préoccupe pas de savoir si un destinataire ultérieur potentiel peut procéder à une identification:
112 Il s’ensuit […] que l’obligation d’information incombant au CSR a été remplie en l’espèce avant la transmission des avis en question et des indépendamment de cela, existaitLa Commission a demandé à Deloitte s’il s’agissait ou non de données à caractère personnel après leur éventuelle pseudonymisation.
113 […] Il résulte des points 102 à 108 du présent arrêt […] que cette disposition régit l’obligation d’information qui incombe au responsable du traitement au moment de la collecte de telles données. La question de savoir si le responsable a rempli son obligation d’information à ce moment-là ne peut pas dépendre des possibilités d’identification de la personne concernée dont un destinataire potentiel pourrait éventuellement disposer après une transmission ultérieure des données en question.
114 Comme l’a indiqué l’avocat général […], l’argument […] selon lequel il convient de se placer du point de vue du destinataire pour vérifier le respect de cette obligation d’information conduirait à déplacer ce contrôle dans le temps. Étant donné que ce contrôle porterait nécessairement sur des données à caractère personnel déjà transmises au destinataire, cet argument méconnaît également le principe de proportionnalité. Objectif de l’obligation d’information, indissociable de la relation entre le responsable du traitement et la personne concernée. est
Cette conclusion est évidente – mais seulement si, au moment de la collecte des données, il faut au moins s’attendre à ce que des données qui sont effectivement personnelles pour un destinataire soient communiquées. S’il n’y a pas lieu de s’y attendre, par exemple parce qu’il est clair que les données ne seront transmises que sous forme de pseudonyme, il ne peut y avoir d’obligation d’information, car l’opération en question n’est pas pertinente pour la protection des données et ne peut donc pas avoir de conséquences en matière de protection des données.