LA CJUE TRANCHE : L’EXPRESSION DE VOTRE PENSÉE EST, PAR NATURE, UNE DONNÉE À CARACTÈRE PERSONNEL — ET VOUS AVIEZ LE DROIT DE LE SAVOIR AVANT DE LA PARTAGER. LA PSEUDONYMISATION NE BLANCHIT PAS TOUT.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I. ARCHITECTURE DU POURVOI ET PLAN D’ANALYSE
À l’appui de son pourvoi, le CEPD, soutenu par le Comité européen de la protection des données, invoquait deux moyens. Le premier, subdivisé en deux branches, visait à contester l’interprétation par le Tribunal de la notion de données à caractère personnel au sens de l’article 3, points 1 et 6, du règlement 2018/1725, tel qu’interprété par la jurisprudence de la Cour. Le second moyen était tiré de la violation du principe de responsabilité énoncé à l’article 4, §2, et à l’article 26, §1, dudit règlement.
La Cour, ayant accueilli le premier moyen dans sa première branche et dans le second grief de sa seconde branche, n’a pas examiné le second moyen, ainsi qu’il ressort du point 117 de l’arrêt :
« Le premier moyen du pourvoi étant fondé, dans sa première branche et dans le second grief de sa seconde branche, il n’y a pas lieu d’examiner le second moyen du CEPD, tiré d’une méconnaissance de l’article 4, §2, et de l’article 26, §1, du règlement 2018/1725. »
II. SUR LA PREMIÈRE BRANCHE DU PREMIER MOYEN : LA CONDITION SELON LAQUELLE LES INFORMATIONS « SE RAPPORTENT » À UNE PERSONNE PHYSIQUE
A. LA POSITION DU TRIBUNAL CENSURÉE
Le Tribunal avait jugé, aux points 60 à 74 de l’arrêt attaqué, que le CEPD s’était fondé sur une présomption inadmissible en concluant que les commentaires transmis à Deloitte constituaient des données à caractère personnel au seul motif qu’ils reflétaient les opinions ou points de vue personnels de leurs auteurs — sans procéder à l’examen du contenu, de la finalité et des effets, pourtant exigé selon lui par l’arrêt Nowak (C-434/16). Aux points 73 et 74 de l’arrêt attaqué, le Tribunal avait considéré que le CEPD aurait dû examiner « en outre, le contenu, la finalité et l’effet des opinions ainsi exprimées, afin de déterminer si celles-ci étaient liées à une personne déterminée ».
B. LE RAPPEL DE LA JURISPRUDENCE DE LA COUR
La Cour rappelle, dès le point 52 de l’arrêt, le principe d’uniformité d’interprétation entre les différents textes régissant la protection des données :
« la définition de la notion de “données à caractère personnel”, énoncée à l’article 3, point 1, du règlement 2018/1725, est en substance identique à celle figurant à l’article 4, point 1, du RGPD, laquelle a, pour sa part, une portée en substance identique à celle qui figurait à l’article 2, sous a), de la directive 95/46/CE […]. Afin de garantir une application uniforme et cohérente du droit de l’Union, il convient donc d’assurer une interprétation identique de l’article 3, point 1, du règlement 2018/1725, de l’article 4, point 1, du RGPD et de l’article 2, sous a), de la directive 95/46 — voir, en ce sens, arrêts du 7 mars 2024, OC/Commission, C‑479/22 P, EU:C:2024:215, point 43, ainsi que du 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, point 33 et jurisprudence citée. »
La Cour rappelle ensuite que l’emploi de l’expression « toute information » dans la définition de la donnée à caractère personnel « reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations » (point 53), tant objectives que subjectives, sous forme d’avis ou d’appréciations, « à condition cependant que celles-ci concernent la personne en cause » (point 54).
Elle rappelle ensuite le test jurisprudentiel issu de l’arrêt Nowak :
« une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne déterminée » (point 55, renvoyant à Nowak, point 35 ; OC/Commission, point 45 ; IAB Europe, point 37).
C. LA CENSURE DU TRIBUNAL : L’EMPLOI DE LA CONJONCTION « OU »
La Cour relève (point 56) que, si le Tribunal a constaté que le CEPD n’avait examiné ni le contenu, ni la finalité, ni l’effet des commentaires (point 70 de l’arrêt attaqué), il ressort pourtant des points 71 et 72 dudit arrêt « que le constat que ces commentaires reflétaient les opinions ou les points de vue des personnes concernées avait nécessité que le CEPD ait préalablement examiné le contenu desdits commentaires ». Or :
« selon la jurisprudence rappelée au point 55 du présent arrêt, un examen portant sur le contenu d’une information ne doit pas nécessairement être complété par une analyse de la finalité et des effets de cette information, ainsi que l’indique l’emploi de la conjonction “ou” reliant les différents critères visés par cette jurisprudence. » (point 56)
D. LA NATURE PARTICULIÈRE DES OPINIONS ET POINTS DE VUE PERSONNELS
C’est le point 58 de l’arrêt qui formule la règle de fond :
« Cette appréciation du Tribunal méconnaît la nature particulière des opinions ou des points de vue personnels qui, en tant qu’expression de la pensée d’une personne, sont nécessairement intimement liés à cette dernière. »
La Cour précise au point 59 que cette interprétation est « corroborée par la jurisprudence issue de l’arrêt du 20 décembre 2017, Nowak », en ce que, dans cette affaire, la Cour avait établi que les annotations de l’examinateur constituaient des informations concernant le candidat — sans avoir procédé à un examen distinct pour en conclure qu’elles concernaient également l’examinateur.
La Cour conclut au point 60 :
« En conséquence, le Tribunal a commis une erreur de droit en jugeant, aux points 73 et 74 de l’arrêt attaqué, que le CEPD ne pouvait qualifier les informations ressortant des commentaires transmis à Deloitte de données à caractère personnel sur le fondement du seul constat qu’il s’agissait d’opinions ou de points de vue personnels, mais qu’il aurait dû examiner, en outre, le contenu, la finalité et l’effet des opinions ainsi exprimées, afin de déterminer si celles-ci étaient liées à une personne déterminée. »
E. LA POSITION DE L’AVOCAT GÉNÉRAL SPIELMANN SUR CE POINT
L’Avocat Général Spielmann avait développé une analyse nuancée, proposant d’admettre une présomption simple de rattachement pour les opinions et points de vue personnels à leurs auteurs. Il avait distingué deux situations : celle où l’on examine si une opinion se rattache à la personne qui en est l’objet (nécessitant l’analyse tripartite), et celle où il s’agit de déterminer si elle se rattache à la personne qui l’a émise — auquel cas « on pourrait présumer que tel est le cas » (point 31 des conclusions). L’Avocat Général ajoutait (point 33) :
« J’en conclus que, sauf preuve contraire, les commentaires en cause en l’espèce, dès lors qu’ils émanaient des réclamants et montraient leur logique et leur raisonnement, reflétant ainsi l’expression de leur opinion subjective, concernaient nécessairement lesdits réclamants, indépendamment de la finalité ou de l’effet de leurs commentaires. »
III. SUR LA SECONDE BRANCHE DU PREMIER MOYEN : LA CONDITION D’IDENTIFIABILITÉ DE LA PERSONNE CONCERNÉE EN CONTEXTE DE PSEUDONYMISATION
A. LE PREMIER GRIEF : LA QUESTION DU STATUT AUTOMATIQUE DES DONNÉES PSEUDONYMISÉES
1. POSITIONS DES PARTIES
Le CEPD soutenait que les données pseudonymisées restent, en toute hypothèse, des données à caractère personnel dès lors que les informations permettant d’identifier les personnes concernées continuent d’exister. Le CRU soutenait, à l’inverse, qu’il y avait lieu d’examiner le caractère identifiable des personnes concernées du point de vue du destinataire.
2. L’APPRÉCIATION DE LA COUR
La Cour commence par rappeler (point 69) que, « aux termes mêmes de l’article 3, point 1, du règlement 2018/1725, une information doit se rapporter à une personne physique identifiée ou identifiable pour être qualifiée de donnée à caractère personnel » et que « l’application de ce règlement présuppose, en principe, un examen portant sur le caractère identifié ou identifiable de la personne concernée par l’information en cause ».
Elle énonce ensuite trois propositions fondamentales sur la pseudonymisation :
Proposition 1 — La pseudonymisation n’est pas un critère définitoire (point 70) :
« en vertu du règlement 2018/1725, la pseudonymisation ne constitue pas un élément de la définition des “données à caractère personnel”, mais se réfère à la mise en place de mesures techniques et organisationnelles visant à réduire le risque d’une mise en corrélation d’un ensemble de données avec l’identité des personnes concernées. »
Proposition 2 — L’existence d’informations supplémentaires empêche l’assimilation à des données anonymes (point 71) :
« la notion de pseudonymisation présuppose l’existence d’informations permettant d’identifier la personne concernée. Or, l’existence même de telles informations s’oppose à ce que des données ayant fait l’objet d’une pseudonymisation puissent, en toute hypothèse, être considérées comme étant des données anonymes, exclues du champ d’application du règlement 2018/1725. »
Proposition 3 — L’objectif de la pseudonymisation : éviter l’identification par les seules données pseudonymisées (point 72) :
« la pseudonymisation a notamment pour objectif d’éviter que la personne concernée puisse être identifiée au moyen des seules données pseudonymisées. »
La Cour conclut (point 73) :
« il résulte tant du considérant 16 du règlement 2018/1725 que de sa jurisprudence que l’existence d’informations supplémentaires permettant d’identifier la personne concernée n’implique pas, elle seule, que des données pseudonymisées doivent être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725. »
3. LA SYNTHÈSE DE LA JURISPRUDENCE ANTÉRIEURE SUR L’IDENTIFIABILITÉ RELATIVE
La Cour rappelle (points 82 à 86) les enseignements essentiels de sa jurisprudence :
—-Arrêt OC c. Commission (C-479/22 P) : « un moyen n’est pas susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée lorsque le risque d’une identification paraît en réalité insignifiant, en ce que l’identification de cette personne est interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre ».
—-Arrêt Breyer (C-582/14) : « des données en soi impersonnelles, collectées et conservées par le responsable du traitement se rattachaient tout de même à une personne identifiable, dès lors que le responsable du traitement disposait de voies légales pour obtenir auprès d’autrui des informations supplémentaires permettant d’identifier cette personne. »
—-Arrêt IAB Europe (C-604/22) : « des données tant en soi impersonnelles peuvent acquérir un caractère personnel, lorsque le responsable du traitement les met à disposition d’autres personnes disposant de moyens raisonnablement susceptibles de permettre l’identification de la personne concernée. »
4. APPLICATION À L’ESPÈCE : STATUT DES DONNÉES POUR LE CRU ET POUR DELOITTE
Aux points 75 et 76, la Cour précise le régime applicable dans les deux relations en cause :
Pour le CRU (point 76) :
« comme c’est normalement le cas du responsable du traitement ayant procédé à la pseudonymisation, le CRU dispose, en l’espèce, des informations supplémentaires permettant d’attribuer les commentaires transmis à Deloitte à la personne concernée, si bien que, pour lui, ces commentaires conservent, en dépit de la pseudonymisation, leur caractère personnel. »
Pour Deloitte (point 77) :
« Sagissant de Deloitte à laquelle le CRU a transmis des commentaires pseudonymisés, les mesures techniques et organisationnelles visées à l’article 3, point 6, du règlement 2018/1725 peuvent […] avoir pour effet que, pour cette société, ces commentaires ne présentent pas un caractère personnel. Cela présuppose toutefois, d’une part, que Deloitte ne soit pas en mesure de lever ces mesures lors de tout traitement desdits commentaires effectué sous son contrôle. D’autre part, lesdites mesures doivent effectivement être de nature à empêcher Deloitte d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments, de telle manière que, pour cette société, la personne concernée n’est pas ou n’est plus identifiable. »
B. LE SECOND GRIEF : LA PERSPECTIVE PERTINENTE POUR APPRÉCIER L’OBLIGATION D’INFORMATION
1. L’ERREUR DE DROIT DU TRIBUNAL
Le Tribunal avait jugé (points 97, 98, 100, 101 et 103-105 de l’arrêt attaqué) que le CEPD aurait dû, pour apprécier si le CRU avait respecté son obligation d’information au titre de l’article 15, §1, sous d), du règlement 2018/1725, examiner si les commentaires transmis à Deloitte constituaient, du point de vue de ce dernier, des données à caractère personnel. Cette approche était motivée par l’idée que si Deloitte ne recevait pas de données à caractère personnel, les personnes concernées n’avaient aucun intérêt à être informées du transfert.
2. L’APPRÉCIATION DE LA COUR : FIXATION DE LA PERSPECTIVE ET DU MOMENT DE RÉFÉRENCE
La Cour rappelle d’abord (point 103) que « le règlement 2018/1725 ne précise pas expressément la perspective pertinente pour apprécier le caractère identifiable de la personne concernée », mais que « la perspective pertinente pour apprécier le caractère identifiable de la personne concernée dépend essentiellement des circonstances caractérisant le traitement des données dans chaque cas particulier ».
Elle identifie ensuite les caractères propres à l’obligation d’information (point 104) :
« l’obligation d’information relative aux éventuels destinataires des données à caractère personnel, visée à l’article 15, §1, sous d), du règlement 2018/1725, est une information, à fournir parmi d’autres, “au moment où les données en question sont obtenues”, au moment de la collecte des données auprès de la personne concernée. »
La Cour rappelle la fonction de l’obligation d’information au regard du consentement (point 109) :
« lorsque la collecte de telles données est, comme en l’occurrence, fondée sur le consentement de la personne concernée, la validité de celui-ci dépend, entre autres, du point de savoir si celle-ci a, au préalable, obtenu les informations au regard de toutes les circonstances entourant le traitement des données en question auxquelles elle avait droit, en vertu de l’article 15 du règlement 2018/1725, et qui lui permettent de donner un consentement en pleine connaissance de cause. »
Elle énonce ensuite la règle de fond aux points 110 et 111 :
« L’obligation de fournir à la personne concernée – au moment de la collecte des données à caractère personnel en lien avec elle – l’information relative aux éventuels destinataires de ces données a notamment pour objectif de permettre à cette personne de décider en pleine connaissance de cause si elle fournit ou, au contraire, refuse de fournir ses données à caractère personnel […]. La Cour ajoute que, outre son caractère indispensable pour que la personne concernée puisse, ultérieurement, défendre ses droits à l’encontre de ces destinataires, l’obligation de fournir une telle information au moment de la collecte des données à caractère personnel garantit, notamment, que ces données ne sont pas collectées contre sa volonté par le responsable de traitement, voire transférées contre son gré à des tiers. »
Et au point 111 :
« Ainsi, l’obligation d’information s’inscrit dans la relation juridique existant entre la personne concernée et le responsable du traitement et, de ce fait, elle a pour objet les informations en lien avec cette personne telles qu’elles ont été transmises à ce responsable, donc avant tout éventuel transfert à un tiers. Partant, la Cour considère que, aux fins de l’application de l’obligation d’information prévue par le règlement 2018/1725, le caractère identifiable de la personne concernée doit être apprécié au moment de la collecte des données et du point de vue du responsable du traitement. »
La Cour en tire la conséquence au point 112 :
« Ainsi, l’obligation d’information incombant au CRU s’appliquait en amont du transfert des commentaires en cause et indépendamment de leur caractère personnel ou non, du point de vue de Deloitte, après leur éventuelle pseudonymisation. »
La Cour rejette enfin l’argumentation du CRU en soulignant (point 114, reprenant le point 77 des conclusions Avocat Général) :
« l’argumentation du CRU selon laquelle il y aurait lieu de se placer du point de vue du destinataire pour contrôler le respect de cette obligation d’information aurait pour conséquence de reporter ce contrôle dans le temps. Dans la mesure où ledit contrôle porterait nécessairement sur des données à caractère personnel déjà transférées au destinataire, cette argumentation méconnaît également l’objet de l’obligation d’information, qui est intrinsèquement liée à la relation entre le responsable du traitement et la personne concernée. »
3. LA POSITION DE L’AVOCAT GÉNÉRAL SUR CE POINT
L’Avocat général Spielmann avait développé une analyse convergente, distinguant toutefois avec finesse la question de la perspective pertinente pour la qualification des données (question générale) et la question de la perspective pour l’obligation d’information (question spécifique). Aux points 73-78 de ses conclusions, il avait estimé que l’obligation d’information prévue à l’article 15, §1, sous d), du règlement 2018/1725 s’inscrit dans la relation entre le responsable du traitement et la personne concernée :
« La relation juridique créée par cette obligation est une relation entre le responsable du traitement et la personne concernée dont les données sont collectées, et a pour objet les données telles qu’elles ont été transmises au responsable du traitement, donc avant tout éventuel transfert à un tiers. Il en découle que la question de savoir si les informations à transmettre constituent ou non des données à caractère personnel doit être appréciée au moment de la collecte des données et donc du point de vue du responsable du traitement. »
IV. SUR LA SOLUTION DÉFINITIVE QUANT AU PREMIER MOYEN DU RECOURS
Ayant accueilli le premier moyen du pourvoi, la Cour a statué définitivement sur le premier moyen du recours initial du CRU. Elle a jugé (points 120) :
« le CEPD a pu, d’une part, considérer, sans commettre d’erreur de droit, que les commentaires transmis à Deloitte constituaient des informations se rapportant à des personnes physiques, à savoir aux auteurs de ces commentaires. D’autre part, ainsi qu’il a été relevé au point 111 de cet arrêt, dans le cadre de l’application de l’obligation d’information prévue à l’article 15, §1, sous d), de ce règlement, le caractère identifiable de la personne concernée doit être apprécié en se plaçant du point de vue du responsable du traitement. Or, il n’est pas contesté entre les parties que le CRU disposait, en tant que responsable du traitement, de l’ensemble des informations nécessaires pour identifier les auteurs desdits commentaires. Il résulte de ce qui précède que les informations litigieuses constituent, contrairement à ce que soutient le CRU, des données à caractère personnel. Partant, le premier moyen du recours doit être rejeté comme étant non fondé. »
En revanche, le second moyen du recours (violation du droit à la bonne administration) a été renvoyé au Tribunal, dès lors qu’il « implique des appréciations factuelles qui n’ont pas été opérées par le Tribunal » (point 121).
V. DISPOSITIF DE L’ARRÊT
« 1. L’arrêt du Tribunal de l’Union européenne du 26 avril 2023, CRU/CEPD (T‑557/20, EU:T:2023:219), est annulé.
2. L’affaire T‑557/20 est renvoyée devant le Tribunal de l’Union européenne.
3. Les dépens sont réservés. »
VI. DISPOSITIF DES CONCLUSIONS DE L’AVOCAT GÉNÉRAL SPIELMANN
L’Avocat général avait proposé à la Cour « d’annuler l’arrêt du Tribunal de l’Union européenne du 26 avril 2023, CRU/CEPD (T‑557/20, EU:T:2023:219), de renvoyer l’affaire T‑557/20 devant le Tribunal de l’Union européenne et de réserver les dépens. »
POINTS ESSENTIELS
L’arrêt C-413/23 P constitue une décision structurante du droit européen de la protection des données, dont les enseignements s’imposent, par voie d’interprétation uniforme (point 52 de l’arrêt, renvoyant aux arrêts OC c. Commission, C-479/22 P, et IAB Europe, C-604/22), à l’ensemble des responsables du traitement soumis au RGPD. Sur le fond, la Cour censure sur deux points l’arrêt du Tribunal du 26 avril 2023 (T-557/20) :
1. La Cour juge que les opinions et points de vue personnels constituent, par nature, des données à caractère personnel de leurs auteurs — « en tant qu’expression de la pensée d’une personne, [ils] sont nécessairement intimement liés à cette dernière » (point 58) —, de sorte que la constatation du seul critère du contenu, révélant que les commentaires litigieux exprimaient les points de vue des réclamants, suffisait à en établir le caractère personnel sans qu’il fût nécessaire d’examiner en outre leur finalité ou leurs effets, ainsi que l’indique l’emploi de la conjonction « ou » dans la jurisprudence Nowak (C-434/16) ;
2. Elle rejette à la fois la thèse maximaliste du CEPD (les données pseudonymisées seraient des données à caractère personnel en toute hypothèse, pour tout destinataire) et la thèse du Tribunal (le CEPD aurait dû apprécier l’identifiabilité du point de vue de Deloitte), en consacrant une approche médiane et circonstanciée : si le CRU, auteur de la pseudonymisation, conserve nécessairement le caractère personnel des données à son égard puisqu’il en détient les clés de réidentification (point 76), Deloitte peut en revanche, sous deux conditions cumulatives, ne pas être destinataire de données à caractère personnel — à savoir que les mesures techniques et organisationnelles l’empêchent effectivement « lors de tout traitement effectué sous son contrôle » de lever la pseudonymisation, et que ces mesures soient « de nature à empêcher [Deloitte] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments » (point 77) ;
3. Enfin, et c’est là la contribution opérationnellement la plus significative, la Cour consacre le principe selon lequel l’obligation d’information relative aux destinataires des données à caractère personnel (article 15, §1, sous d), du règlement 2018/1725 ; article 13, §1, sous e), RGPD) doit être appréciée au moment de la collecte et du point de vue du responsable du traitement, indépendamment du caractère personnel ou non des données du point de vue du destinataire après leur éventuelle pseudonymisation (point 111) — règle qui s’impose à tous les responsables du traitement et implique que toute déclaration de confidentialité recense, dès la collecte, les prestataires ou catégories de prestataires auxquels des données, même pseudonymisées, seront susceptibles d’être transmises ; l’affaire étant renvoyée devant le Tribunal pour qu’il statue sur le second moyen du CRU tiré de la violation du droit à la bonne administration (article 41 de la Charte), la portée définitive de l’arrêt demeure incomplète dans l’attente de la décision de renvoi.
| Problématique | Solution retenue par la Cour | Références |
|---|---|---|
| Opinions et points de vue personnels | Données à caractère personnel par nature, sans analyse de finalité/effet | §§ 56-60, Nowak C-434/16 |
| Pseudonymisation : thèse maximaliste | Rejetée — pas de données à caractère personnel en toute hypothèse pour tout destinataire | §§ 68-90 |
| Pseudonymisation : conditions pour le destinataire | Deux conditions cumulatives : impossibilité de lever la pseudonymisation + impossibilité de réidentification par recoupement | § 77 |
| CRU auteur de la pseudonymisation | Données à caractère personnel en toute hypothèse pour lui | § 76 |
| Obligation d’information (art. 15 §1 d) | Appréciée au moment de la collecte, du point de vue du responsable du traitement | §§ 111-112 |
| Conséquence de l’arrêt | Annulation T-557/20 + renvoi sur le second moyen (droit à la bonne administration) | §§ 117-121 |
30.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats