La Cour de justice de l’Union européenne a précisé la portée de la notion de « données à caractère personnel » dans le contexte d’un transfert de données pseudonymisées à des tiers. Et, schématiquement, une fois pseudonymisées, des données peuvent assez rapidement, et assez logiquement, perdre leur caractère personnel.
Dans une affaire concernant des transferts de données bancaires, une procédure de résolution amiable des litiges s’est faite avec demande de commentaires à des sociétés d’audit et de conseils. A cette occasion, ont été échangées des données pseudonymisées, ce qui a ému les actionnaires et créanciers affectés.
Ces derniers ont en effet estimé que ce transfert, certes pseudonymisé, de leurs données, sans leur consentement ni même en être informées, violait leurs droits (RGPD).
La CJUE a rendu son arrêt (censurant la juridiction de première instance), avec au moins quatre apports :
- 1/ pour schématiser un peu à outrance : nul besoin d’examiner si le contenu, la finalité et l’effet d’opinions exprimées par des personnes sont liées à celles-ci.. puisque par définition des opinions sont liées à ces personnes .
- « En l’espèce, si le Tribunal a relevé, au point 70 de l’arrêt attaqué, que le CEPD n’avait examiné ni le contenu, ni la finalité, ni l’effet des informations ressortant des commentaires transmis à Deloitte, il ressort néanmoins des points 71 et 72 de cet arrêt que le constat que ces commentaires reflétaient les opinions ou les points de vue des personnes concernées avait nécessité que le CEPD ait préalablement examiné le contenu desdits commentaires. À partir de ce constat, le CEPD a conclu qu’ils constituaient des informations concernant ces personnes. Or, selon la jurisprudence rappelée au point 55 du présent arrêt, un examen portant sur le contenu d’une information ne doit pas nécessairement être complété par une analyse de la finalité et des effets de cette information, ainsi que l’indique l’emploi de la conjonction « ou » reliant les différents critères visés par cette jurisprudence.
« 57 Pourtant, aux points 73 et 74 de l’arrêt attaqué, le Tribunal a considéré que le CEPD ne pouvait qualifier les informations ressortant des commentaires transmis à Deloitte de données à caractère personnel sur le fondement du seul constat qu’il s’agissait d’opinions ou de points de vue personnels, mais qu’il aurait dû examiner, en outre, le contenu, la finalité et l’effet des opinions ainsi exprimées, afin de déterminer si celles-ci étaient liées à une personne déterminée.
« 58 Cette appréciation du Tribunal méconnaît la nature particulière des opinions ou des points de vue personnels qui, en tant qu’expression de la pensée d’une personne, sont nécessairement intimement liés à cette dernière.
« 59 L’interprétation retenue au point précédent est corroborée par la jurisprudence issue de l’arrêt du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994), lequel portait, entre autres, sur les annotations d’un examinateur relatives aux réponses écrites d’un candidat à un examen professionnel. En effet, aux points 42 à 44 de cet arrêt, si la Cour a apprécié le contenu, la finalité et l’effet de ces annotations pour constater qu’elles constituaient des informations concernant le candidat visé par celles-ci, elle a, en substance, considéré que lesdites annotations se rapportaient également à l’examinateur qui en était l’auteur, dès lors qu’elles exprimaient l’avis ou l’appréciation de celui-ci.
« 60 Il s’ensuit que le Tribunal a commis une erreur de droit en jugeant, aux points 73 et 74 de l’arrêt attaqué, que le CEPD, pour conclure que les informations ressortant des commentaires transmis à Deloitte « se rapportaient », au sens de l’article 3, point 1, du règlement 2018/1725, aux personnes ayant soumis ces commentaires, aurait dû examiner le contenu, la finalité ou les effets desdits commentaires, dès lors qu’il était constant que ceux-ci exprimaient l’opinion ou le point de vue personnel de leurs auteurs.
« 61 Partant, sans qu’il soit nécessaire d’examiner les arguments résumés aux points 46 et 47 du présent arrêt, la première branche du premier moyen doit être accueillie.»
- « En l’espèce, si le Tribunal a relevé, au point 70 de l’arrêt attaqué, que le CEPD n’avait examiné ni le contenu, ni la finalité, ni l’effet des informations ressortant des commentaires transmis à Deloitte, il ressort néanmoins des points 71 et 72 de cet arrêt que le constat que ces commentaires reflétaient les opinions ou les points de vue des personnes concernées avait nécessité que le CEPD ait préalablement examiné le contenu desdits commentaires. À partir de ce constat, le CEPD a conclu qu’ils constituaient des informations concernant ces personnes. Or, selon la jurisprudence rappelée au point 55 du présent arrêt, un examen portant sur le contenu d’une information ne doit pas nécessairement être complété par une analyse de la finalité et des effets de cette information, ainsi que l’indique l’emploi de la conjonction « ou » reliant les différents critères visés par cette jurisprudence.
- 2/ POINT IMPORTANT : des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725. La Cour précise bien que la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable. Dans ce contexte, la Cour prend soin de rappeler (voir les jurisprudences citées par l’arrêt aux points 81 et 70), les enseignements issus de sa jurisprudence quant à l’appréciation du caractère identifiable ou non de la personne concernée, dans des situations dans lesquelles les informations permettant d’identifier cette personne ne se trouvaient pas entre les mains de différentes personnes :
- «70. Cette interprétation est corroborée par les cinquième et sixième phrases du considérant 16 du règlement 2018/1725, selon lesquelles ne relèvent pas de la définition de la notion de « données à caractère personnel » les « informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable », ni les « données à caractère personnel rendues anonymes de telle manière que la personne concernée n’est pas ou n’est plus identifiable » (voir, par analogie, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 57).
71 S’agissant, plus particulièrement, des données pseudonymisées, il convient de noter, en premier lieu, que ces données ne sont pas mentionnées dans la définition légale de la notion de « données à caractère personnel », figurant à l’article 3, point 1, du règlement 2018/1725, mais que leurs caractéristiques ressortent de l’article 3, point 6, de ce règlement. Cette dernière disposition définit la notion de « pseudonymisation » comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».
72 Ainsi que M. l’avocat général l’a, en substance, relevé aux points 46 et 48 de ses conclusions, la pseudonymisation ne constitue donc pas un élément de la définition des « données à caractère personnel », mais se réfère à la mise en place de mesures techniques et organisationnelles visant à réduire le risque d’une mise en corrélation d’un ensemble de données avec l’identité des personnes concernées. Selon le considérant 17 dudit règlement, la pseudonymisation « peut [seulement] réduire les risques » d’une telle mise en corrélation pour ces personnes et, de ce fait, « aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données ».
73 En deuxième lieu, il ressort des termes de l’article 3, point 6, du règlement 2018/1725 que la notion de « pseudonymisation » présuppose l’existence d’informations permettant d’identifier la personne concernée. Or, l’existence même de telles informations s’oppose à ce que des données ayant fait l’objet d’une pseudonymisation puissent, en toute hypothèse, être considérées comme étant des données anonymes, exclues du champ d’application de ce règlement.
74 Il n’en demeure pas moins que, en troisième lieu, l’exigence d’une conservation séparée des informations d’identification ainsi que de mesures techniques et organisationnelles « afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable », prévue à l’article 3, point 6, dudit règlement, indique que la pseudonymisation a notamment pour objectif d’éviter que la personne concernée puisse être identifiée au moyen des seules données pseudonymisées.
75 En effet, pour autant que de telles mesures techniques et organisationnelles soient effectivement mises en place et qu’elles soient de nature à prévenir une attribution des données en cause à la personne concernée, de telle manière que celle-ci n’est pas ou n’est plus identifiable, la pseudonymisation peut avoir une incidence sur le caractère personnel de ces données au sens de l’article 3, point 1, du règlement 2018/1725.
76 À cet égard, il convient de préciser que, comme c’est normalement le cas du responsable du traitement ayant procédé à la pseudonymisation, le CRU dispose, en l’espèce, des informations supplémentaires permettant d’attribuer les commentaires transmis à Deloitte à la personne concernée, si bien que, pour lui, ces commentaires conservent, en dépit de la pseudonymisation, leur caractère personnel.
77 S’agissant de Deloitte à laquelle le CRU a transmis des commentaires pseudonymisés, les mesures techniques et organisationnelles visées à l’article 3, point 6, du règlement 2018/1725 peuvent, comme le soutient en substance le CRU, avoir pour effet que, pour cette société, ces commentaires ne présentent pas un caractère personnel. Cela présuppose toutefois, d’une part, que Deloitte ne soit pas en mesure de lever ces mesures lors de tout traitement desdits commentaires effectué sous son contrôle. D’autre part, lesdites mesures doivent effectivement être de nature à empêcher Deloitte d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments, de telle manière que, pour cette société, la personne concernée n’est pas ou n’est plus identifiable.
78 Cette interprétation est corroborée par le considérant 16 du règlement 2018/1725 qui, après avoir énoncé, à sa première phrase, qu’« [i]l y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable », énonce, à sa deuxième phrase, que « [l]es données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ».
79 En effet, à la suite de ces indications relatives aux données à caractère personnel et aux données pseudonymisées, la troisième phrase de ce considérant précise que, pour déterminer si une personne physique est identifiable, il convient de prendre en considération « l’ensemble des moyens raisonnablement susceptibles » d’être utilisés par le responsable du traitement ou « par toute autre personne » pour identifier la personne physique « directement ou indirectement ». En outre, la quatrième phrase de ce considérant énonce que, pour établir si des moyens sont raisonnablement susceptibles d’être utilisés afin d’identifier une personne physique, il convient de prendre en considération « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».
80 Or, ainsi que M. l’avocat général l’a, en substance, relevé au point 51 de ses conclusions, ces précisions relatives à l’évaluation du caractère identifiable ou non de la personne concernée seraient privées de tout effet utile si des données pseudonymisées devaient être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725.
81 À cet égard, il convient de rappeler que, s’agissant d’un communiqué de presse qui contenait un certain nombre d’indications relatives à une personne sans la désigner nommément, la Cour ne s’est pas limitée, dans son arrêt du 7 mars 2024, OC/Commission (C‑479/22 P, EU:C:2024:215, points 52 à 64), au constat que l’organisme de l’Union ayant publié ce communiqué disposait de l’ensemble des informations permettant d’identifier cette personne, mais elle a examiné si les indications figurant dans ledit communiqué permettaient raisonnablement au public concerné d’identifier cette personne, notamment au moyen d’une combinaison de ces indications avec des informations disponibles sur Internet.
82 En outre, la Cour a déjà jugé qu’un moyen n’est pas susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée lorsque le risque d’une identification paraît en réalité insignifiant, en ce que l’identification de cette personne est interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main–d’œuvre (voir, en ce sens, arrêt du 7 mars 2024, OC/Commission,C‑479/22 P, EU:C:2024:215, point 51 et jurisprudence citée). Cette jurisprudence corrobore l’interprétation selon laquelle l’existence d’informations supplémentaires permettant d’identifier la personne concernée n’implique pas, à elle seule, que des données pseudonymisées doivent être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725.
83 Dans le même ordre d’idées, la Cour a en substance, jugé, notamment dans les arrêts du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779, points 44, 47 et 48), et du 7 mars 2024, IAB Europe (C‑604/22, EU:C:2024:214, points 43 et 48), que des données en soi impersonnelles, collectées et conservées par le responsable du traitement se rattachaient tout de même à une personne identifiable, dès lors que le responsable du traitement disposait de voies légales pour obtenir auprès d’autrui des informations supplémentaires permettant d’identifier cette personne. En effet, dans de telles conditions, la circonstance que les informations permettant d’identifier la personne concernée se trouvaient entre les mains de différentes personnes n’était pas de nature à empêcher effectivement son identification de telle manière qu’elle fût non identifiable pour le responsable du traitement.
84 Surtout, selon la jurisprudence issue de l’arrêt du 9 novembre 2023, Gesamtverband Autoteile-Handel (Accès aux informations sur les véhicules) (C‑319/22, EU:C:2023:837, points 46 et 49), des données étant en soi impersonnelles peuvent acquérir un caractère « personnel », lorsque le responsable du traitement les met à disposition d’autres personnes disposant de moyens raisonnablement susceptibles de permettre l’identification de la personne concernée. Il ressort, en particulier, de ce dernier arrêt, que – dans le contexte d’une telle mise à disposition – lesdites données présentent un caractère personnel tant pour ces personnes que, indirectement, pour le responsable du traitement.
85 Par conséquent, eu égard à la jurisprudence rappelée au point précédent, c’est à tort que le CEPD soutient que la circonstance selon laquelle des données pseudonymisées ne présentent pas, le cas échéant, un caractère personnel pour les personnes auxquelles le responsable du traitement transfère des données pseudonymisées, permettrait de soustraire ces données indûment du champ d’application du droit de l’Union en matière de protection des données à caractère personnel. En effet, selon cette jurisprudence, ladite circonstance est sans incidence sur l’appréciation du caractère personnel de ces mêmes données dans le contexte notamment de leur éventuel transfert ultérieur à des tiers. Ainsi, pour autant qu’il n’est pas exclu que ces tiers seront raisonnablement en mesure d’attribuer, par des moyens, tels qu’un recoupement avec d’autres données dont ils disposent, les données pseudonymisées à la personne concernée, celle-ci doit être considérée comme étant identifiable en ce qui concerne tant ce transfert que tout traitement ultérieur de ces données par lesdits tiers. Dans de telles circonstances, les données pseudonymisées devraient être considérées comme présentant un caractère personnel.« 86 Il s’ensuit que, contrairement à ce que soutient le CEPD, des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725, dans la mesure où la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable.»
- «70. Cette interprétation est corroborée par les cinquième et sixième phrases du considérant 16 du règlement 2018/1725, selon lesquelles ne relèvent pas de la définition de la notion de « données à caractère personnel » les « informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable », ni les « données à caractère personnel rendues anonymes de telle manière que la personne concernée n’est pas ou n’est plus identifiable » (voir, par analogie, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 57).
- 3/ la perspective pertinente pour apprécier le caractère identifiable de la personne concernée dépend essentiellement des circonstances caractérisant le traitement des données dans chaque cas particulier.
- 4/ l’obligation d’information s’inscrit dans la relation juridique existant entre la personne concernée et le responsable du traitement et, de ce fait, elle a pour objet les informations en lien avec cette personne telles qu’elles ont été transmises à ce responsable, donc avant tout éventuel transfert à un tiers. Partant, la Cour considère que le caractère identifiable de la personne concernée doit être apprécié au moment de la collecte des données et du point de vue du responsable du traitement.
Source :
