[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fnZO9jC8JYdhcqFwwbeV8qaeXUAKLXT5AJg65dkTBh-U":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":15,"state":16,"author":17,"authorId":18,"datePublication":22,"dateCreation":23,"dateUpdate":24,"mainCategory":25,"categories":40,"metaDatas":67,"imageUrl":68,"imageThumbUrls":69,"id":77},true,"La récente décision de la Tribunal de l'Union européenne (TUE) sur [l'affaire CRU/Deloitte](https://curia.europa.eu/juris/document/document.jsf;jsessionid=9C78FE92F8CA958D9B75F60C0ADF11D3?text=&docid=272910&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=764110) nous montre que la frontière entre les données personnelles, pseudonymisées et anonymisées, sur le plan juridique, **n'est pas toujours claire**.\r\n\r\nDans cette décision, le Contrôleur européen de la protection des données (CEPD) a considéré que les informations transmises à Deloitte par le Centre de recherche et d'innovation de l'Union européenne (CRU) constituaient des données à caractère personnel. Le Tribunal a cependant apporté des nuances à cette position, appliquant, ainsi, la [solution de l'affaire Breyer](https://curia.europa.eu/juris/document/document.jsf?docid=184668).\r\n\r\n## Un rappel des définitions\r\n\r\nLes [**données personnelles**](https://www.dastra.eu/fr/guide/donnee-a-caractere-personnel/382) sont des informations qui peuvent être utilisées pour identifier directement ou indirectement une personne physique. Cela peut inclure des informations telles :\r\n\r\n- que le nom,\r\n- l'adresse,\r\n- le numéro de téléphone,\r\n- l'adresse e-mail,\r\n- l'adresse IP,\r\n- les identifiants de connexion,\r\n- les données de localisation,\r\n- les données de santé,\r\n- les données financières, etc.\r\n\r\nLes **données pseudonymisées** sont des informations qui ont été modifiées pour ne plus pouvoir identifier directement une personne, mais qui peuvent toujours être associées à celle-ci avec l'aide d'une clé de correspondance. *Par exemple*, si une entreprise \"anonymise\" les noms de ses clients en les remplaçant par des identifiants uniques, mais conserve une clé de correspondance pour relier les identifiants à des noms réels, alors ces données sont pseudonymisées.\r\n\r\nEnfin, les **données [anonymisées](https://www.dastra.eu/fr/article/anonymisation/52265)** sont des informations qui ne peuvent pas être liées à une personne physique identifiée ou identifiable, même avec l'utilisation d'une clé de correspondance. *Par exemple*, si une entreprise collecte des données sur la fréquentation d'un site web et supprime toutes les informations personnelles telles que les adresses IP et les cookies, de sorte que les données ne peuvent plus être associées à une personne, alors ces données sont anonymisées.\r\n\r\n> ⛔ Toutefois, il est important de noter que, sur le plan technique, il n'est généralement pas possible d'anonymiser complètement les données. Des techniques avancées peuvent permettre de recouper des informations et de retrouver l'identité des personnes concernées. Par conséquent, il est essentiel de prendre des précautions supplémentaires pour protéger la vie privée et la sécurité des personnes, même lorsque les données sont considérées comme anonymisées.\r\n\r\nRetrouvez [notre article](https://www.dastra.eu/fr/article/savoir-faire-la-distinction-entre-la-pseudominisation-et-lanonymisation/53638) sur ces éléments afin de comprendre la distinction entre pseudonymisation et anonymisation.\r\n\r\n## Les critères de qualification des données à caractère personnel selon la CJUE\r\n\r\nDans cette affaire, le CEPD a considéré que les informations transmises à Deloitte constituaient des données à caractère personnel, bien que les informations aient été pseudonymisées. En effet, il soutenait que le fait que Deloitte n'ait pas eu accès aux informations permettant la réidentification des personnes **n'excluait pas que celles-ci constituaient des données à caractère personnel**, en se basant sur la jurisprudence Breyer de la CJUE ([C‑582/14, EU:C:2016:779](https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:62014CJ0582)).\r\n\r\nLe CRU avait fourni à Deloitte des une base de données contenant des codes alphanumériques et des commentaires associés. Ces informations, seules, ne permettaient pas de réidentifier les personnes. Le CRU avait conservé une table de correspondance entre les codes alphanumériques et les identités des personnes concernées.\r\n\r\nOr la jurisprudence Breyer prévoit que, pour déterminer si les informations transmises constituaient des données à caractère personnel, **il convient de se placer du point de vue du destinataire de ces données**, en l'occurrence Deloitte.\r\n\r\nEn effet, les informations supplémentaires nécessaires pour identifier les personnes concernées étaient détenues non pas par Deloitte, mais par le CRU.\r\n\r\nAinsi, pour que les données détenues par Deloitte soient considérées comme personnelles, il faut que Deloitte puisse raisonnablement identifier les personnes.\r\n\r\nIl a donc estimé que les deux conditions cumulatives pour qu'une information soit considérée comme une donnée à caractère personnel n'étaient pas remplies (**sur le plan juridique**) : les informations transmises se rapportaient, certes, à une personne physique (1), **mais** qui n'était pas identifiée ou identifiable (2).\r\n\r\n## Que retenir de cette décision ?\r\n\r\nDans le cadre d'une transmission de données à caractère personnel pseudonymisées, il convient au responsable du traitement de vérifier si le [destinataire](https://www.dastra.eu/fr/article/destinataire/1491) dispose de moyens légaux et réalisables lui permettant d'identifier les personnes concernées :\r\n\r\n- **Si c'est le cas**, cela constitue une transmission de données personnelles. Il est alors soumis aux obligations du RGPD (*informer les personnes concernées de la transmission de leurs données, mettre en place des mesures de sécurité appropriées, garantir que les personnes concernées peuvent exercer leurs droits...*) ;\r\n- **Si ce n'est pas le cas**, les personnes concernées ne peuvent pas être identifiées, et les données ne sont plus, sur le plan juridique, à caractère personnel. Dans ce cas, le responsable du traitement n'est pas soumis aux obligations découlant du RGPD. **Attention** toutefois, il doit tout de même mettre en place des [mesures de sécurité](https://www.dastra.eu/fr/article/security/446) appropriées pour protéger les informations transmises, puisqu'une donnée pseudonymisée reste une donnée personnelle sur le plan technique, et qu'il est toujours possible de retrouver les informations supplémentaires permettant d'identifier la personne concernée. Il faut s'assurer que les moyens de réidentification soient pas accessibles de manière raisonnable au destinataire.\r\n\r\nEn fin de compte, la détermination de la nécessité de précautions supplémentaires dépendra du contexte spécifique de chaque situation, en tenant compte à la fois des aspects techniques et des considérations juridiques et pratiques.\r\n\r\nL'évaluation du **caractère raisonnable de la réidentification** repose sur plusieurs facteurs, tels que :\r\n\r\n- la disponibilité des informations supplémentaires nécessaires à la réassociation des identifiants pseudonymes avec des personnes réelles,\r\n- ainsi que les ressources, le temps et les compétences techniques requises pour effectuer cette réidentification.\r\n\r\nCela signifie qu'il est important de déterminer si la possibilité de réidentifier les personnes concernées est raisonnable ou non.\r\n\r\nSi la réidentification est jugée peu probable ou techniquement difficile, il peut ne pas être nécessaire de mettre en place des mesures de sécurité supplémentaires de grande envergure. Il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.\r\n\r\nRegroupez vos mesures de sécurité avec facilité grâce à l'outil de gestion de Dastra. ","\u003Cp>La récente décision de la Tribunal de l'Union européenne (TUE) sur \u003Ca href=\"https://curia.europa.eu/juris/document/document.jsf;jsessionid=9C78FE92F8CA958D9B75F60C0ADF11D3?text=&docid=272910&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=764110\" rel=\"nofollow\">l'affaire CRU/Deloitte\u003C/a> nous montre que la frontière entre les données personnelles, pseudonymisées et anonymisées, sur le plan juridique, \u003Cstrong>n'est pas toujours claire\u003C/strong>.\u003C/p>\r\n\u003Cp>Dans cette décision, le Contrôleur européen de la protection des données (CEPD) a considéré que les informations transmises à Deloitte par le Centre de recherche et d'innovation de l'Union européenne (CRU) constituaient des données à caractère personnel. Le Tribunal a cependant apporté des nuances à cette position, appliquant, ainsi, la \u003Ca href=\"https://curia.europa.eu/juris/document/document.jsf?docid=184668\" rel=\"nofollow\">solution de l'affaire Breyer\u003C/a>.\u003C/p>\r\n\u003Ch2 id=\"un-rappel-des-definitions\">Un rappel des définitions\u003C/h2>\r\n\u003Cp>Les \u003Ca href=\"https://www.dastra.eu/fr/guide/donnee-a-caractere-personnel/382\">\u003Cstrong>données personnelles\u003C/strong>\u003C/a> sont des informations qui peuvent être utilisées pour identifier directement ou indirectement une personne physique. Cela peut inclure des informations telles :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>que le nom,\u003C/li>\r\n\u003Cli>l'adresse,\u003C/li>\r\n\u003Cli>le numéro de téléphone,\u003C/li>\r\n\u003Cli>l'adresse e-mail,\u003C/li>\r\n\u003Cli>l'adresse IP,\u003C/li>\r\n\u003Cli>les identifiants de connexion,\u003C/li>\r\n\u003Cli>les données de localisation,\u003C/li>\r\n\u003Cli>les données de santé,\u003C/li>\r\n\u003Cli>les données financières, etc.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Les \u003Cstrong>données pseudonymisées\u003C/strong> sont des informations qui ont été modifiées pour ne plus pouvoir identifier directement une personne, mais qui peuvent toujours être associées à celle-ci avec l'aide d'une clé de correspondance. \u003Cem>Par exemple\u003C/em>, si une entreprise \"anonymise\" les noms de ses clients en les remplaçant par des identifiants uniques, mais conserve une clé de correspondance pour relier les identifiants à des noms réels, alors ces données sont pseudonymisées.\u003C/p>\r\n\u003Cp>Enfin, les \u003Cstrong>données \u003Ca href=\"https://www.dastra.eu/fr/article/anonymisation/52265\">anonymisées\u003C/a>\u003C/strong> sont des informations qui ne peuvent pas être liées à une personne physique identifiée ou identifiable, même avec l'utilisation d'une clé de correspondance. \u003Cem>Par exemple\u003C/em>, si une entreprise collecte des données sur la fréquentation d'un site web et supprime toutes les informations personnelles telles que les adresses IP et les cookies, de sorte que les données ne peuvent plus être associées à une personne, alors ces données sont anonymisées.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>⛔ Toutefois, il est important de noter que, sur le plan technique, il n'est généralement pas possible d'anonymiser complètement les données. Des techniques avancées peuvent permettre de recouper des informations et de retrouver l'identité des personnes concernées. Par conséquent, il est essentiel de prendre des précautions supplémentaires pour protéger la vie privée et la sécurité des personnes, même lorsque les données sont considérées comme anonymisées.\u003C/p>\r\n\u003C/blockquote>\r\n\u003Cp>Retrouvez \u003Ca href=\"https://www.dastra.eu/fr/article/savoir-faire-la-distinction-entre-la-pseudominisation-et-lanonymisation/53638\">notre article\u003C/a> sur ces éléments afin de comprendre la distinction entre pseudonymisation et anonymisation.\u003C/p>\r\n\u003Ch2 id=\"les-criteres-de-qualification-des-donnees-a-caractere-personnel-selon-la-cjue\">Les critères de qualification des données à caractère personnel selon la CJUE\u003C/h2>\r\n\u003Cp>Dans cette affaire, le CEPD a considéré que les informations transmises à Deloitte constituaient des données à caractère personnel, bien que les informations aient été pseudonymisées. En effet, il soutenait que le fait que Deloitte n'ait pas eu accès aux informations permettant la réidentification des personnes \u003Cstrong>n'excluait pas que celles-ci constituaient des données à caractère personnel\u003C/strong>, en se basant sur la jurisprudence Breyer de la CJUE (\u003Ca href=\"https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:62014CJ0582\" rel=\"nofollow\">C‑582/14, EU:C:2016:779\u003C/a>).\u003C/p>\r\n\u003Cp>Le CRU avait fourni à Deloitte des une base de données contenant des codes alphanumériques et des commentaires associés. Ces informations, seules, ne permettaient pas de réidentifier les personnes. Le CRU avait conservé une table de correspondance entre les codes alphanumériques et les identités des personnes concernées.\u003C/p>\r\n\u003Cp>Or la jurisprudence Breyer prévoit que, pour déterminer si les informations transmises constituaient des données à caractère personnel, \u003Cstrong>il convient de se placer du point de vue du destinataire de ces données\u003C/strong>, en l'occurrence Deloitte.\u003C/p>\r\n\u003Cp>En effet, les informations supplémentaires nécessaires pour identifier les personnes concernées étaient détenues non pas par Deloitte, mais par le CRU.\u003C/p>\r\n\u003Cp>Ainsi, pour que les données détenues par Deloitte soient considérées comme personnelles, il faut que Deloitte puisse raisonnablement identifier les personnes.\u003C/p>\r\n\u003Cp>Il a donc estimé que les deux conditions cumulatives pour qu'une information soit considérée comme une donnée à caractère personnel n'étaient pas remplies (\u003Cstrong>sur le plan juridique\u003C/strong>) : les informations transmises se rapportaient, certes, à une personne physique (1), \u003Cstrong>mais\u003C/strong> qui n'était pas identifiée ou identifiable (2).\u003C/p>\r\n\u003Ch2 id=\"que-retenir-de-cette-decision\">Que retenir de cette décision ?\u003C/h2>\r\n\u003Cp>Dans le cadre d'une transmission de données à caractère personnel pseudonymisées, il convient au responsable du traitement de vérifier si le \u003Ca href=\"https://www.dastra.eu/fr/article/destinataire/1491\">destinataire\u003C/a> dispose de moyens légaux et réalisables lui permettant d'identifier les personnes concernées :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cstrong>Si c'est le cas\u003C/strong>, cela constitue une transmission de données personnelles. Il est alors soumis aux obligations du RGPD (\u003Cem>informer les personnes concernées de la transmission de leurs données, mettre en place des mesures de sécurité appropriées, garantir que les personnes concernées peuvent exercer leurs droits...\u003C/em>) ;\u003C/li>\r\n\u003Cli>\u003Cstrong>Si ce n'est pas le cas\u003C/strong>, les personnes concernées ne peuvent pas être identifiées, et les données ne sont plus, sur le plan juridique, à caractère personnel. Dans ce cas, le responsable du traitement n'est pas soumis aux obligations découlant du RGPD. \u003Cstrong>Attention\u003C/strong> toutefois, il doit tout de même mettre en place des \u003Ca href=\"https://www.dastra.eu/fr/article/security/446\">mesures de sécurité\u003C/a> appropriées pour protéger les informations transmises, puisqu'une donnée pseudonymisée reste une donnée personnelle sur le plan technique, et qu'il est toujours possible de retrouver les informations supplémentaires permettant d'identifier la personne concernée. Il faut s'assurer que les moyens de réidentification soient pas accessibles de manière raisonnable au destinataire.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>En fin de compte, la détermination de la nécessité de précautions supplémentaires dépendra du contexte spécifique de chaque situation, en tenant compte à la fois des aspects techniques et des considérations juridiques et pratiques.\u003C/p>\r\n\u003Cp>L'évaluation du \u003Cstrong>caractère raisonnable de la réidentification\u003C/strong> repose sur plusieurs facteurs, tels que :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>la disponibilité des informations supplémentaires nécessaires à la réassociation des identifiants pseudonymes avec des personnes réelles,\u003C/li>\r\n\u003Cli>ainsi que les ressources, le temps et les compétences techniques requises pour effectuer cette réidentification.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Cela signifie qu'il est important de déterminer si la possibilité de réidentifier les personnes concernées est raisonnable ou non.\u003C/p>\r\n\u003Cp>Si la réidentification est jugée peu probable ou techniquement difficile, il peut ne pas être nécessaire de mettre en place des mesures de sécurité supplémentaires de grande envergure. Il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.\u003C/p>\r\n\u003Cp>Regroupez vos mesures de sécurité avec facilité grâce à l'outil de gestion de Dastra.\u003C/p>\r\n",null,1112,6,"Données personnelles : la réidentification des personnes doit avoir un caractère raisonnable",0,"fr","notion-de-donnee-a-caractere-personnel-les-rappels","Le Tribunal de l'UE dans l'affaire CRU/Deloitte rappelle les règles de qualification d'une donnée personnelle. En cas de réidentification des personnes, une évaluation du caractère raisonnable de cette possibilité de réidentifier les personnes doit être effectuée. Explications.",false,"Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":7,"blogUrl":7,"color":7,"userId":18,"creationDate":21},2986,"Maëva Vidal","https://static.dastra.eu/tenant-3/avatar/2986/maeva-min-min-min-150.png","2022-09-05T13:22:36","2023-05-11T10:36:00","2023-05-11T10:36:24.7759087","2026-01-22T10:11:40.9660808",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":31},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[32,34,37],{"lang":12,"name":27,"description":33},"Une liste d'articles rédigés par la communauté",{"lang":35,"name":27,"description":36},"es","Una lista de artículos escritos por la comunidad",{"lang":38,"name":27,"description":39},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[41,46],{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":42},[43,44,45],{"lang":12,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},{"id":47,"name":48,"description":49,"url":50,"color":51,"parentId":26,"count":7,"imageUrl":7,"parent":52,"order":57,"translations":58},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":53},[54,55,56],{"lang":12,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},5,[59,61,64],{"lang":12,"name":48,"description":60},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":38,"name":62,"description":63},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":35,"name":65,"description":66},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/3794744d-03e0-410e-ac4b-415a2050e9d4/copie-de-article-comprendre-la-notion-cl-de-la-protection-1000.jpg",[70,71,72,73,74,75,76],"https://static.dastra.eu/content/3794744d-03e0-410e-ac4b-415a2050e9d4/copie-de-article-comprendre-la-notion-cl-de-la-protection-1000.webp","https://static.dastra.eu/content/3794744d-03e0-410e-ac4b-415a2050e9d4/copie-de-article-comprendre-la-notion-cl-de-la-protection.webp","https://static.dastra.eu/content/3794744d-03e0-410e-ac4b-415a2050e9d4/copie-de-article-comprendre-la-notion-cl-de-la-protection-1500.webp","https://static.dastra.eu/content/3794744d-03e0-410e-ac4b-415a2050e9d4/copie-de-article-comprendre-la-notion-cl-de-la-protection-800.webp","https://static.dastra.eu/content/3794744d-03e0-410e-ac4b-415a2050e9d4/copie-de-article-comprendre-la-notion-cl-de-la-protection-600.webp","https://static.dastra.eu/content/3794744d-03e0-410e-ac4b-415a2050e9d4/copie-de-article-comprendre-la-notion-cl-de-la-protection-300.webp","https://static.dastra.eu/content/3794744d-03e0-410e-ac4b-415a2050e9d4/copie-de-article-comprendre-la-notion-cl-de-la-protection-100.webp",54160]