Blog Données personnelles
Apports majeurs de la CJUE sur les notions de pseudonymisation et de donnée à caractère personnel
Dans un arrêt en date du 4 septembre 2025 [1], la Cour de Justice de l’Union européenne (CJUE) est venue apporter des précisions majeures concernant la notion de donnée à caractère personnel.
En l’espèce, la Cour était amenée à se prononcer, notamment, sur la qualification au regard de la définition de données à caractère personnel, de commentaires formulés par des personnes physiques auprès d’un responsable de traitement (le Conseil de résolution unique – CRU) puis communiqués à un destinataire (Deloitte). Ces commentaires avaient, en l’espèce, fait l’objet de mesures de pseudonymisation préalablement à cette communication, lesquelles ne permettaient pas à Deloitte de réidentifier leurs auteurs.
Afin de se prononcer sur la qualification des données transmises à Deloitte, la CJUE a notamment précisé les points suivants :
- la mise en place de mesures techniques et organisationnelles, telle que la pseudonymisation, peut avoir pour effet que, à l’égard d’un destinataire de ces données, celles-ci ne présentent pas un caractère personnel. En revanche, cela présuppose « […] d’une part, que Deloitte ne soit pas en mesure de lever ces mesures lors de tout traitement desdits commentaires effectué sous son contrôle. D’autre part, lesdites mesures doivent effectivement être de nature à empêcher Deloitte d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments, de telle manière que, pour cette société, la personne concernée n’est pas ou n’est plus identifiable. » ;
- afin de déterminer si une personne physique est identifiable, « […] il convient de prendre en considération « l’ensemble des moyens raisonnablement susceptibles » d’être utilisés par le responsable du traitement ou « par toute autre personne » pour identifier la personne physique « directement ou indirectement ». […] pour établir si des moyens sont raisonnablement susceptibles d’être utilisés afin d’identifier une personne physique, il convient de prendre en considération « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci » ».
Au regard, notamment, de ces éléments, la CJUE a considéré, entre autres, que :
- « […] des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel […] dans la mesure où la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable. » ;
- un destinataire de données qui n’est pas en mesure de réidentifier une personne, ne peut être soumis à l’obligation d’information laquelle « présuppose d’identifier la personne concernée ».
Cet arrêt venant modifier la qualification, retenue jusqu’alors, des données pseudonymisées au regard de la définition des données à caractère personnel, les entités réalisant des traitements de données pseudonymisées doivent désormais évaluer les conséquences de cet arrêt à l’égard de leurs obligations relatives à la protection des données personnelles.
Nul doute que ces nouveaux éléments vont avoir des conséquences importantes sur les obligations de mise en conformité des traitements de données personnelles posées par le RGPD aujourd’hui ; on pense par exemple à l’information des personnes telle qu’exigée par les articles 13 et 14 du texte mais également aux mesures de sécurité.
La réaction des autorités de protection des données, en particulier de la CNIL, est attendue.