LA CJUE TRANCHE : L’EXPRESSION DE VOTRE PENSÉE EST, PAR NATURE, UNE DONNÉE À CARACTÈRE PERSONNEL — ET VOUS AVIEZ LE DROIT DE LE SAVOIR AVANT DE LA PARTAGER. LA PSEUDONYMISATION NE BLANCHIT PAS TOUT.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
1. Les opinions et points de vue personnels sont des données à caractère personnel par nature
Une opinion ou un point de vue personnel, en tant qu’expression de la pensée d’une personne, lui est nécessairement intimement lié. Dès lors qu’il est constant que des informations expriment les opinions ou points de vue personnels de leurs auteurs, elles se rapportent à ces derniers au sens du règlement 2018/1725 (et, par analogie, du RGPD), sans qu’il soit nécessaire d’examiner leur contenu, leur finalité ou leurs effets. Toute exigence d’un tel examen supplémentaire constitue une erreur de droit.
2. La pseudonymisation est une protection relative et contextuelle, non absolue
Des données pseudonymisées ne constituent pas, en toute hypothèse et pour toute personne, des données à caractère personnel. Le caractère identifiable d’une personne s’apprécie in concreto, en fonction des moyens raisonnablement disponibles pour l’acteur concerné dans les circonstances du traitement. Un destinataire ne disposant ni de la clé d’identification ni de la possibilité raisonnable de se la procurer ne reçoit pas de données à caractère personnel. Cette relativité est symétrique : elle ne permet ni d’exclure systématiquement le caractère personnel des données pseudonymisées ni de le présupposer.
3. La perspective pertinente pour l’obligation d’information est celle du responsable du traitement, au moment de la collecte
L’obligation d’information inscrite dans la relation entre la personne concernée et le responsable du traitement a pour objet les informations telles qu’elles ont été transmises au responsable — avant tout transfert à un tiers. Le caractère identifiable de la personne concernée doit donc être apprécié au moment de la collecte des données et du point de vue du responsable du traitement. La pseudonymisation opérée avant le transfert à un destinataire ne fait pas rétroagir ce point de vue sur le moment de la collecte, et ne neutralise pas l’obligation d’information qui pèse sur le responsable collecteur.
4. L’obligation d’information s’applique en amont du transfert, indépendamment du traitement ultérieur
L’obligation d’information du responsable du traitement doit être satisfaite avant tout transfert à un tiers, indépendamment du caractère personnel ou non des données du point de vue de ce tiers après leur pseudonymisation. Il est donc sans incidence, pour l’appréciation du respect de cette obligation par le responsable collecteur, que le destinataire ne puisse pas réidentifier les personnes à partir des données reçues.
5. L’architecture procédurale de contrôle : une autorité de protection des données compétente pour apprécier la relation collecteur/personne concernée
L’autorité de protection des données — ici le CEPD — apprécie la conformité du traitement et le respect de l’obligation d’information du point de vue du responsable du traitement collecteur, dans sa relation directe avec la personne concernée. Elle n’est pas tenue d’examiner la question sous l’angle du destinataire tiers pour établir si l’obligation d’information s’appliquait. Ce principe d’appréciation « dans la relation d’origine » garantit l’effectivité du droit à l’information des personnes concernées face aux techniques de désidentification partielle des données.
POINTS ESSENTIELS
L’arrêt C-413/23 P constitue une décision structurante du droit européen de la protection des données, dont les enseignements s’imposent, par voie d’interprétation uniforme (point 52 de l’arrêt, renvoyant aux arrêts OC c. Commission, C-479/22 P, et IAB Europe, C-604/22), à l’ensemble des responsables du traitement soumis au RGPD. Sur le fond, la Cour censure sur deux points l’arrêt du Tribunal du 26 avril 2023 (T-557/20) :
1. La Cour juge que les opinions et points de vue personnels constituent, par nature, des données à caractère personnel de leurs auteurs — « en tant qu’expression de la pensée d’une personne, [ils] sont nécessairement intimement liés à cette dernière » (point 58) —, de sorte que la constatation du seul critère du contenu, révélant que les commentaires litigieux exprimaient les points de vue des réclamants, suffisait à en établir le caractère personnel sans qu’il fût nécessaire d’examiner en outre leur finalité ou leurs effets, ainsi que l’indique l’emploi de la conjonction « ou » dans la jurisprudence Nowak (C-434/16) ;
2. Elle rejette à la fois la thèse maximaliste du CEPD (les données pseudonymisées seraient des données à caractère personnel en toute hypothèse, pour tout destinataire) et la thèse du Tribunal (le CEPD aurait dû apprécier l’identifiabilité du point de vue de Deloitte), en consacrant une approche médiane et circonstanciée : si le CRU, auteur de la pseudonymisation, conserve nécessairement le caractère personnel des données à son égard puisqu’il en détient les clés de réidentification (point 76), Deloitte peut en revanche, sous deux conditions cumulatives, ne pas être destinataire de données à caractère personnel — à savoir que les mesures techniques et organisationnelles l’empêchent effectivement « lors de tout traitement effectué sous son contrôle » de lever la pseudonymisation, et que ces mesures soient « de nature à empêcher [Deloitte] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments » (point 77) ;
3. Enfin, et c’est là la contribution opérationnellement la plus significative, la Cour consacre le principe selon lequel l’obligation d’information relative aux destinataires des données à caractère personnel (article 15, §1, sous d), du règlement 2018/1725 ; article 13, §1, sous e), RGPD) doit être appréciée au moment de la collecte et du point de vue du responsable du traitement, indépendamment du caractère personnel ou non des données du point de vue du destinataire après leur éventuelle pseudonymisation (point 111) — règle qui s’impose à tous les responsables du traitement et implique que toute déclaration de confidentialité recense, dès la collecte, les prestataires ou catégories de prestataires auxquels des données, même pseudonymisées, seront susceptibles d’être transmises ; l’affaire étant renvoyée devant le Tribunal pour qu’il statue sur le second moyen du CRU tiré de la violation du droit à la bonne administration (article 41 de la Charte), la portée définitive de l’arrêt demeure incomplète dans l’attente de la décision de renvoi.
| Problématique | Solution retenue par la Cour | Références |
|---|---|---|
| Opinions et points de vue personnels | Données à caractère personnel par nature, sans analyse de finalité/effet | §§ 56-60, Nowak C-434/16 |
| Pseudonymisation : thèse maximaliste | Rejetée — pas de données à caractère personnel en toute hypothèse pour tout destinataire | §§ 68-90 |
| Pseudonymisation : conditions pour le destinataire | Deux conditions cumulatives : impossibilité de lever la pseudonymisation + impossibilité de réidentification par recoupement | § 77 |
| CRU auteur de la pseudonymisation | Données à caractère personnel en toute hypothèse pour lui | § 76 |
| Obligation d’information (art. 15 §1 d) | Appréciée au moment de la collecte, du point de vue du responsable du traitement | §§ 111-112 |
| Conséquence de l’arrêt | Annulation T-557/20 + renvoi sur le second moyen (droit à la bonne administration) | §§ 117-121 |
30.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats