La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 4 septembre 2025, affaire C-413/23 P EDPS c. SRB, a apporté une clarification majeure quant au statut des données pseudonymisées.
La Cour a, pour la première fois, clairement établi que des données pseudonymisées peuvent être considérées comme non personnelles pour le destinataire, si ces conditions sont réunies : d’une part, des mesures techniques et organisationnelles efficaces empêchent tout accès aux informations identifiantes ; d’autre part, le destinataire n’a pas, et ne peut pas légalement obtenir, les moyens de ré-identifier les personnes concernées, ni transmettre les données à un tiers capable de le faire.
Cette reconnaissance explicite selon laquelle la perspective du destinataire est déterminante marque une évolution importante du droit européen de la protection des données, rompant avec l’approche longtemps présumée « absolue » de la notion de données personnelles.
Pour aider les DPO, les juristes et les équipes conformité à mettre en pratique cette décision, nous avons conçu une check-list opérationnelle claire et actionnable.
Contexte factuel
L’affaire trouve son origine dans la résolution de Banco Popular Español en juin 2017, lorsque le Comité de résolution unique (SRB) a adopté une décision préliminaire relative à une éventuelle indemnisation des actionnaires et créanciers.
Afin de recueillir leurs observations, le SRB a permis aux parties concernées de soumettre des commentaires et a ensuite transmis certains de ces commentaires, sous forme pseudonymisée, à Deloitte, chargée d’évaluer les effets de la résolution. Plusieurs actionnaires et créanciers ont saisi le Contrôleur européen de la protection des données (CEPD/EDPS), soutenant qu’ils n’avaient pas été informés de ce transfert.
Le CEPD a considéré que Deloitte était bien destinataire de données personnelles et que le SRB avait manqué à ses obligations de transparence prévues par le Règlement 2018/1725 ("EUI"). Le SRB a contesté cette décision devant le Tribunal de l’Union européenne, qui l’a partiellement annulée.
Question juridique
La CJUE devait répondre à une question centrale : les données pseudonymisées transmises par un responsable de traitement doivent-elles être considérées comme des données personnelles pour le destinataire ?
Jusqu’alors, le CEPD et le CEPD soutenaient une approche « absolue » : les données pseudonymisées devaient toujours être considérées comme des données personnelles.
Points essentiels de la décision
Rappel sur le champ d’application du RGPD : le RGPD ne s’applique pas aux données anonymes. Lorsque le destinataire ne peut plus raisonnablement identifier une personne, les obligations cessent de s’appliquer.
Les opinions comme données personnelles : la Cour a confirmé que des opinions, commentaires ou avis peuvent constituer des données personnelles dès lors qu’ils sont liés à une personne identifiable (jurisprudence Nowak, CRIF, OLAF). Il s’agit d’une confirmation de la jurisprudence existante, et non d’une nouveauté.
Reconnaissance du caractère contextuel : la notion de « données personnelles » est relative. L’identifiabilité dépend des moyens raisonnablement accessibles au destinataire. Ainsi, des données pseudonymisées peuvent, dans certains cas, être considérées comme des données anonymes pour un tiers qui ne peut raisonnablement ré-identifier les personnes.
Pour le SRB (responsable de traitement) : les données demeurent personnelles, car le SRB conservait les informations identifiantes.
Pour Deloitte (destinataire) : les mêmes données pouvaient être considérées comme anonymes dès lors qu’il n’avait aucun moyen, légal ou pratique, de ré-identifier les individus.
CJUE (paragraphe 86) : « La pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable. »
Niveau de protection : le CEPD plaidait pour une interprétation large afin de maintenir un haut niveau de protection. La Cour a répondu que les obligations ne sauraient s’imposer à des entités qui ne sont pas en mesure d’identifier les personnes concernées.
Obligation d’information : en vertu de l’article 13 RGPD (art. 15 Règlement 2018/1725), les obligations d’information s’appliquent au moment de la collecte. Le SRB aurait dû informer les personnes concernées de l’existence de destinataires potentiels (Deloitte), même si, ultérieurement, les données devenaient anonymes pour Deloitte. L’obligation s’apprécie du point de vue du responsable du traitement (SRB) et non du destinataire.
Impact pratique : une approche plus nuancée
Les organisations doivent évaluer l’identifiabilité au regard des moyens raisonnablement disponibles, et non de manière purement théorique ou absolue.
- Pour les responsables de traitement : les obligations du RGPD demeurent intégrales. Même si les données deviennent pseudonymisées et potentiellement non identifiables pour un tiers, l’obligation d’information s’applique au moment de la collecte.
- Pour les destinataires tiers : lorsque les conditions posées par la CJUE sont réunies, les données peuvent échapper au champ d’application du RGPD.
Il devient stratégiquement essentiel de renforcer la séparation des clés et de documenter les analyses de risques, afin de garantir des pratiques défendables en cas de contrôle.
Les responsables de traitement comme les destinataires doivent également documenter leur évaluation, en justifiant pourquoi, dans un contexte donné, les données doivent être considérées comme personnelles ou anonymes (principe d'accountability).
- Évolution doctrinale : Cette décision marque une rupture avec la position stricte défendue par le CEPD (EDPB) et ouvre la voie à une interprétation plus pragmatique et nuancée de la pseudonymisation dans le droit européen.