- CJUE, 4 sept. 2025, aff. C-413/23 P, CEPD c/ CRU
La Cour de justice de l’Union européenne a rendu, début septembre 2025, un arrêt important en matière de protection des données à caractère personnel. Par cette décision, la Cour tranche un débat nourri opposant une conception dite « absolue » de la donnée personnelle, selon laquelle la pseudonymisation est sans incidence dès lors qu’une personne demeure identifiable, indépendamment de l’accès effectif aux informations complémentaires, à une approche « relative », qui invite à apprécier le caractère personnel des données au regard des capacités concrètes d’identification propres à chaque acteur. En retenant cette seconde approche, la Cour apporte d’importantes précisions sur l’articulation entre pseudonymisation, qualification des données et obligation d’information des personnes.
Contexte
L’affaire trouve son origine dans la procédure de résolution d’un établissement bancaire, décidée le 7 juin 2017 par le Conseil de résolution unique (CRU), autorité européenne chargée de la résolution des établissements bancaires. À la suite de cette résolution, le CRU a adopté une décision préliminaire concluant à l’absence de droit à indemnisation des anciens actionnaires et créanciers de l’établissement concerné. Cette décision ayant été prise sans que les intéressés aient été entendus, le CRU a ultérieurement mis en place une procédure leur permettant de soumettre des commentaires, au moyen d’un formulaire en ligne, afin de recueillir leurs observations sur la décision de résolution et sur l’éventuelle existence d’un droit à dédommagement. Les commentaires ainsi collectés, émanant de personnes physiques identifiées lors de la phase de soumission, ont fait l’objet d’un traitement de pseudonymisation. L’identité de leurs auteurs a en effet été dissociée du contenu des commentaires par l’attribution d’un code alphanumérique unique, les informations permettant l’identification étant conservées séparément par le CRU. Dans le cadre de l’analyse de ces contributions, le CRU a transmis une partie des commentaires pseudonymisés à un tiers, chargé d’une mission d’évaluation indépendante visant à apprécier les effets de la procédure de résolution sur les actionnaires et créanciers concernés. Les personnes ayant soumis des commentaires n’ont toutefois pas été informées de ce transfert.
Estimant que cette transmission constituait un manquement aux obligations de transparence prévues par le règlement (UE) 2018/1725, plusieurs intéressés ont saisi le Contrôleur européen de la protection des données (CEPD). Celui-ci a considéré que les données transmises demeuraient des données à caractère personnel et que le CRU aurait dû informer les personnes concernées de l’identité du destinataire des données. Le CRU a alors introduit un recours en annulation de cette décision devant le Tribunal de l’Union européenne. Par un arrêt du 26 avril 2023, celui-ci a partiellement accueilli le recours et annulé la décision du CEPD, estimant que la qualification des données litigieuses devait s’apprécier du point de vue du destinataire, qui ne disposait pas de moyens raisonnables permettant la ré-identification des personnes concernées. Le CEPD a formé pourvoi contre cet arrêt.
Solution
En se fondant sur sa jurisprudence antérieure (v. not. CJUE, 20 déc. 2017, Nowak, aff. C-434/16 ; CJUE, 7 mars 2024, OC/Commission, aff. C-479/22 P ; CJUE, 7 mars 2024, IAB Europe, aff. C-604/22), la Cour rappelle, en premier lieu, qu’« une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, de sa finalité ou de son effet, elle est liée à une personne identifiable ». Il en résulte que le Tribunal a commis une erreur de droit en jugeant que le CEPD ne pouvait se fonder sur le seul constat que les commentaires exprimaient des opinions ou points de vue personnels, mais devait examiner, en outre, le contenu, la finalité et les effets de ces commentaires, alors qu’il suffisait de constater que des opinions ou points de vue personnels sont, par nature, intimement liés à la personne qui les exprime.
La Cour confirme, ensuite, que le Tribunal a jugé à bon droit que les données pseudonymisées « ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725 », dès lors que la pseudonymisation peut, selon les circonstances de l’espèce, empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée. Autrement dit, une même information peut recevoir des qualifications différentes selon l’acteur qui la détient. Pour le responsable de traitement initial, qui conserve les moyens de réidentification, les données pseudonymisées demeurent des données à caractère personnel, tandis que, pour un tiers destinataire dépourvu de tout moyen raisonnablement mobilisable permettant l’identification, elles peuvent perdre ce caractère.
Toutefois, la Cour refuse d’en déduire un quelconque allègement de l’obligation d’information. Elle souligne que celle-ci, prévue à l’article 15, §1, d), du règlement (UE) 2018/1725 (équivalent des articles 13 et 14 du RGPD), s’apprécie immédiatement, au moment de la collecte des données, et du point de vue du responsable de traitement. La pseudonymisation opérée ultérieurement, ainsi que l’impossibilité pour le destinataire de réidentifier les personnes concernées, sont indifférentes à cet égard. En faisant dépendre le respect de l’obligation d’information du point de vue du destinataire, le Tribunal a ainsi commis une erreur de droit. La Cour annule en conséquence l’arrêt attaqué.
Portée
La solution retenue par la Cour, transposable au RGPD en raison de l’équivalence des définitions, dépasse le seul cadre institutionnel du litige et concerne plus largement les pratiques de partage de données pseudonymisées, y compris dans le secteur privé. Elle conduit les responsables de traitement à dissocier avec davantage de rigueur la qualification des données de l’étendue de leurs obligations, tout en rappelant que la pseudonymisation, si elle peut atténuer certaines contraintes, demeure sans effet sur l’exigence d’une information complète et loyale des personnes concernées.
Cette reconnaissance d’une approche relative de la donnée personnelle n’est toutefois pas exempte de difficultés. En subordonnant la qualification des données à une appréciation contextuelle des capacités d’identification propres à chaque acteur, la Cour introduit une variabilité susceptible de fragiliser la sécurité juridique, laquelle dépendra désormais largement de l’appréciation portée, au cas par cas, par les autorités de contrôle et le juge.
