LA CJUE TRANCHE : L’EXPRESSION DE VOTRE PENSÉE EST, PAR NATURE, UNE DONNÉE À CARACTÈRE PERSONNEL — ET VOUS AVIEZ LE DROIT DE LE SAVOIR AVANT DE LA PARTAGER. LA PSEUDONYMISATION NE BLANCHIT PAS TOUT.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I. UNE DÉCISION STRUCTURANTE POUR LE DROIT EUROPÉEN DE LA PROTECTION DES DONNÉES
L’arrêt C-413/23 P s’impose, par sa densité normative et la technicité de son objet, comme l’une des décisions les plus importantes rendues par la Cour de justice de l’Union européenne en matière de protection des données depuis l’entrée en vigueur du RGPD et du règlement 2018/1725. Sa portée excède largement les circonstances particulières de la résolution de Banco Popular : il fixe des règles d’interprétation dont l’application déborde très largement le cadre institutionnel (institutions et organes de l’Union) pour irriguer, par voie d’interprétation uniforme consacrée au point 52 de l’arrêt, l’ensemble du droit de la protection des données personnelles, y compris le RGPD applicable aux acteurs privés.
Cette uniformité d’interprétation entre le règlement 2018/1725 et le RGPD, rappelée explicitement par la Cour (point 52, renvoyant aux arrêts OC c. Commission et IAB Europe du 7 mars 2024), signifie que les enseignements de cet arrêt ont vocation à s’appliquer directement à tous les responsables du traitement, qu’ils soient des institutions de l’Union ou des opérateurs privés soumis au RGPD.
II. LA QUALIFICATION DES OPINIONS ET POINTS DE VUE COMME DONNÉES À CARACTÈRE PERSONNEL
A. LA RÈGLE POSÉE
La Cour consacre le principe selon lequel les opinions et points de vue personnels, « en tant qu’expression de la pensée d’une personne, sont nécessairement intimement liés à cette dernière » (point 58). Il en résulte que, lorsqu’une information exprime l’opinion ou le point de vue de son auteur, la condition de rattachement à une personne physique est réputée satisfaite sans qu’il soit nécessaire de procéder à un examen complémentaire portant sur la finalité ou les effets de cette information.
B. CHAMP D’APPLICATION
Cette règle a une portée considérable. Elle s’applique à tout traitement impliquant des éléments à caractère subjectif émanant d’une personne physique identifiée ou identifiable :
—-Enquêtes de satisfaction des salariés, des clients, des usagers ;
—-Formulaires de réclamation ou d’observation soumis à des procédures administratives ou judiciaires ;
—-Messageries électroniques et autres outils de communication interne dans lesquels des collaborateurs expriment leur point de vue ;
—-Réseaux sociaux et plateformes de publication de contenus générés par les utilisateurs ;
—-Procédures de consultation publique organisées par des institutions ou autorités administratives.
Dans tous ces cas, la qualification de données à caractère personnel des contenus exprimant le point de vue de leur auteur ne nécessitera plus d’analyse tripartite (contenu/finalité/effet) — le seul constat que l’information exprime l’opinion de son auteur sera suffisant.
C. NUANCES À PRÉSERVER
La Cour ne va pas jusqu’à établir une présomption irréfragable : le point 58 vise les opinions et points de vue personnels. Dans les situations où la nature personnelle ou non du point de vue exprimé serait elle-même en cause (données agrégées au point de ne plus exprimer un point de vue individuel, données statistiques dérivées de commentaires individuels, etc.), la qualification devra être appréciée au cas par cas en tenant compte des circonstances factuelles. L’Avocat Général Spielmann avait d’ailleurs relevé (point 39 des conclusions) que les commentaires agrégés « reflètent, dans leur contenu, des points de vue personnels concernant la valorisation 3 » — suggérant que même l’agrégation ne supprime pas nécessairement le lien avec les personnes concernées.
III. LE RÉGIME DES DONNÉES PSEUDONYMISÉES
A. LA CLARIFICATION APPORTÉE : NI PERSONNELLES EN TOUTE HYPOTHÈSE, NI ANONYMES
L’arrêt tranche définitivement la controverse doctrinale sur le statut des données pseudonymisées. La thèse maximaliste (données pseudonymisées = données à caractère personnel en toute hypothèse, pour tout destinataire) est rejetée. La thèse minimaliste (données pseudonymisées = données anonymes pour le destinataire) est également écartée.
La Cour confirme une approche circonstanciée et relative : le caractère personnel des données pseudonymisées dépend, du point de vue du destinataire, de la robustesse effective des mesures techniques et organisationnelles de pseudonymisation et de l’impossibilité concrète, pour ce destinataire, d’identifier les personnes concernées par tout moyen raisonnable.
B. LES DEUX CONDITIONS CUMULATIVES POUR QU’UN DESTINATAIRE NE SOIT PAS SOUMIS AU DROIT DES DONNÉES
Pour que les données pseudonymisées cessent d’être des données à caractère personnel du point de vue du destinataire (point 77 de l’arrêt), deux conditions cumulatives doivent être satisfaites :
1ère condition : le destinataire « ne soit pas en mesure de lever ces mesures lors de tout traitement desdits commentaires effectué sous son contrôle » — ce qui implique l’absence de tout accès, direct ou indirect, aux informations de réidentification détenues par le responsable du traitement ou par tout autre tiers.
2ème condition : les mesures de pseudonymisation « soient effectivement de nature à empêcher [le destinataire] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments » — ce qui impose une robustesse de la pseudonymisation face aux risques de ré-identification par croisement de sources.
C. INCIDENCES PRATIQUES POUR LES RESPONSABLES DU TRAITEMENT
Ces deux conditions imposent aux responsables du traitement qui souhaitent transférer des données sous forme pseudonymisée à des tiers d’effectuer une analyse préalable rigoureuse portant sur :
—-Les capacités effectives du destinataire à procéder à une réidentification au moyen des seules données reçues ou en combinaison avec des données accessibles par ailleurs ;
—-La robustesse des mesures de pseudonymisation face aux techniques disponibles au moment du transfert (notamment le risque de ré-identification par record linkage, par inférence statistique ou par recoupement avec des référentiels publics) ;
—-La présence ou l’absence de clauses contractuelles interdisant au destinataire tout accès aux clés de réidentification ou tout recoupement avec des données externes.
Cette analyse ne peut être conduite a posteriori — elle doit être menée ex ante, préalablement au transfert.
IV. L’OBLIGATION D’INFORMATION : LA CONSÉCRATION DU PRINCIPE « COLLECTE-CENTRIC »
A. LE PRINCIPE ET SA JUSTIFICATION
La contribution la plus opérationnellement significative de l’arrêt est sans doute la consécration du principe selon lequel l’obligation d’information relative aux destinataires des données à caractère personnel doit être appréciée au moment de la collecte et du point de vue du responsable du traitement (point 111).
Ce principe a une justification profonde : l’obligation d’information prévue à l’article 15, §1, sous d), du règlement 2018/1725 (et à l’article 13, §1, sous e), du RGPD dans le secteur privé) est le corollaire du consentement éclairé de la personne concernée. Elle permet à celle-ci de décider en toute connaissance de cause si elle souhaite ou non fournir ses données, sachant qu’elles seront susceptibles d’être transmises à des tiers déterminés ou à des catégories de tiers.
B. IMPLICATIONS POUR LES POLITIQUES DE CONFIDENTIALITÉ ET LES REGISTRES DES TRAITEMENTS
L’arrêt implique que la déclaration de confidentialité (privacy notice) d’un responsable du traitement doit mentionner, dès la collecte, les destinataires ou catégories de destinataires des données à caractère personnel — y compris les prestataires auxquels des données pseudonymisées pourraient ultérieurement être transmises. Le responsable du traitement ne peut s’exonérer de cette obligation en se prévalant du fait que les données seront pseudonymisées avant leur transmission au tiers.
Cette règle a des implications directes pour :
—-Les registres des activités de traitement (article 30 RGPD) qui doivent être mis à jour pour répertorier tous les destinataires potentiels, y compris les sous-traitants et prestataires recevant des données sous forme pseudonymisée ;
—-Les notices d’information au moment de la collecte, qui doivent mentionner explicitement la possibilité d’un transfert à des prestataires d’audit, de conseil ou d’évaluation, même si ces transferts sont opérés sous forme pseudonymisée ;
—-Les analyses d’impact relatives à la protection des données (AIPD) qui doivent intégrer le risque lié au non-respect de l’obligation d’information en cas de transferts à des tiers sous forme pseudonymisée.
C. L’IMPOSSIBILITÉ DE « VALIDER A POSTERIORI » L’OBLIGATION D’INFORMATION
L’arrêt ferme définitivement la voie à toute argumentation tendant à exonérer ex post un responsable du traitement de son obligation d’information en démontrant que les données transmises au tiers ne constituent pas, du point de vue de ce dernier, des données à caractère personnel. Cette argumentation — qui avait prospéré devant le Tribunal — est expressément rejetée comme « méconnaissant également l’objet de l’obligation d’information » (point 114).
V. COMPÉTENCES DES AUTORITÉS DE CONTRÔLE
L’arrêt confirme implicitement l’étendue des pouvoirs d’investigation et de constatation des autorités de contrôle — ici le CEPD — dans le cadre de l’examen de réclamations relatives à des violations de l’obligation d’information. Il établit clairement que l’autorité de contrôle n’est pas tenue, pour caractériser une violation de l’obligation d’information, d’analyser si les données transmises constituaient des données à caractère personnel du point de vue du destinataire. Son examen doit se concentrer sur la situation au moment de la collecte et du point de vue du responsable du traitement.
Cette clarification renforce les pouvoirs des autorités de contrôle dans les situations où la pseudonymisation intervient entre la collecte et le transfert, et rend plus aisée la démonstration d’une violation de l’obligation d’information sans qu’il soit nécessaire de conduire une analyse technique approfondie de la robustesse des mesures de pseudonymisation du point de vue du destinataire.
VI. JURISPRUDENCE
A. ARTICULATION AVEC LES PRÉCÉDENTS FONDATEURS
C-582/14 Breyer (2016) : premier arrêt consacrant la théorie de l’identifiabilité relative — une adresse IP dynamique peut constituer une donnée à caractère personnel pour le fournisseur de services en ligne si ce dernier dispose de voies légales pour obtenir des informations complémentaires auprès du FAI. L’arrêt C-413/23 P prolonge et précise cette logique : le CRU, comme le fournisseur de services dans Breyer, dispose des informations de réidentification — d’où le maintien du caractère personnel des données à son égard.
C-434/16 Nowak (2017) : toute information, objective ou subjective, peut constituer une donnée à caractère personnel si elle concerne la personne en cause (test contenu/finalité/effet). L’arrêt C-413/23 P précise ce test en y ajoutant une règle spécifique pour les opinions et points de vue personnels, dont le rattachement à leur auteur est présumé sans analyse supplémentaire.
C-479/22 P OC c. Commission (2024) : la Cour a posé, dans le contexte d’un communiqué de presse contenant des informations relatives à une personne sans la désigner nommément, que l’identifiabilité doit s’apprécier du point de vue du public concerné — en examinant si les indications du document permettaient raisonnablement d’identifier la personne. L’arrêt C-413/23 P complète cet enseignement en précisant que, dans le contexte spécifique de l’obligation d’information, c’est le point de vue du responsable du traitement au moment de la collecte qui prime — et non celui du destinataire ou du public.
C-604/22 IAB Europe (2024) : des données en soi impersonnelles peuvent acquérir un caractère personnel lorsqu’elles sont mises à la disposition de tiers disposant de moyens raisonnables d’identification. L’arrêt C-413/23 P articule cet enseignement avec la question du transfert sous forme pseudonymisée, en précisant les conditions dans lesquelles ce transfert peut avoir pour effet que les données cessent d’être personnelles pour le destinataire.
B. PERSPECTIVES SUR L’ÉVOLUTION JURISPRUDENTIELLE
L’arrêt C-413/23 P laisse ouvertes plusieurs questions qui alimenteront les litiges à venir :
La charge de la preuve de la robustesse des mesures de pseudonymisation : la Cour ne tranche pas explicitement la question de savoir sur qui repose la charge de démontrer que les mesures de pseudonymisation sont suffisamment robustes pour rendre les personnes concernées non identifiables du point de vue du destinataire. L’Avocat Général Spielmann avait abordé ce point (points 84-96 des conclusions), mais la Cour n’a pas eu à l’examiner.
L’articulation avec le RGPD : si l’arrêt pose le principe d’interprétation uniforme entre le règlement 2018/1725 et le RGPD, son application concrète dans le contexte RGPD (responsables du traitement privés, transferts vers des sous-traitants) reste à préciser par la jurisprudence des juridictions nationales et de la Cour elle-même.
Le renvoi au Tribunal : la question de la violation du droit à la bonne administration (article 41 de la Charte) reste pendante devant le Tribunal. La décision qui en résultera précisera les exigences procédurales applicables aux décisions du CEPD et, par analogie, aux décisions des autorités nationales de contrôle.
POINTS ESSENTIELS
L’arrêt C-413/23 P constitue une décision structurante du droit européen de la protection des données, dont les enseignements s’imposent, par voie d’interprétation uniforme (point 52 de l’arrêt, renvoyant aux arrêts OC c. Commission, C-479/22 P, et IAB Europe, C-604/22), à l’ensemble des responsables du traitement soumis au RGPD. Sur le fond, la Cour censure sur deux points l’arrêt du Tribunal du 26 avril 2023 (T-557/20) :
1. La Cour juge que les opinions et points de vue personnels constituent, par nature, des données à caractère personnel de leurs auteurs — « en tant qu’expression de la pensée d’une personne, [ils] sont nécessairement intimement liés à cette dernière » (point 58) —, de sorte que la constatation du seul critère du contenu, révélant que les commentaires litigieux exprimaient les points de vue des réclamants, suffisait à en établir le caractère personnel sans qu’il fût nécessaire d’examiner en outre leur finalité ou leurs effets, ainsi que l’indique l’emploi de la conjonction « ou » dans la jurisprudence Nowak (C-434/16) ;
2. Elle rejette à la fois la thèse maximaliste du CEPD (les données pseudonymisées seraient des données à caractère personnel en toute hypothèse, pour tout destinataire) et la thèse du Tribunal (le CEPD aurait dû apprécier l’identifiabilité du point de vue de Deloitte), en consacrant une approche médiane et circonstanciée : si le CRU, auteur de la pseudonymisation, conserve nécessairement le caractère personnel des données à son égard puisqu’il en détient les clés de réidentification (point 76), Deloitte peut en revanche, sous deux conditions cumulatives, ne pas être destinataire de données à caractère personnel — à savoir que les mesures techniques et organisationnelles l’empêchent effectivement « lors de tout traitement effectué sous son contrôle » de lever la pseudonymisation, et que ces mesures soient « de nature à empêcher [Deloitte] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments » (point 77) ;
3. Enfin, et c’est là la contribution opérationnellement la plus significative, la Cour consacre le principe selon lequel l’obligation d’information relative aux destinataires des données à caractère personnel (article 15, §1, sous d), du règlement 2018/1725 ; article 13, §1, sous e), RGPD) doit être appréciée au moment de la collecte et du point de vue du responsable du traitement, indépendamment du caractère personnel ou non des données du point de vue du destinataire après leur éventuelle pseudonymisation (point 111) — règle qui s’impose à tous les responsables du traitement et implique que toute déclaration de confidentialité recense, dès la collecte, les prestataires ou catégories de prestataires auxquels des données, même pseudonymisées, seront susceptibles d’être transmises ; l’affaire étant renvoyée devant le Tribunal pour qu’il statue sur le second moyen du CRU tiré de la violation du droit à la bonne administration (article 41 de la Charte), la portée définitive de l’arrêt demeure incomplète dans l’attente de la décision de renvoi.
| Problématique | Solution retenue par la Cour | Références |
|---|---|---|
| Opinions et points de vue personnels | Données à caractère personnel par nature, sans analyse de finalité/effet | §§ 56-60, Nowak C-434/16 |
| Pseudonymisation : thèse maximaliste | Rejetée — pas de données à caractère personnel en toute hypothèse pour tout destinataire | §§ 68-90 |
| Pseudonymisation : conditions pour le destinataire | Deux conditions cumulatives : impossibilité de lever la pseudonymisation + impossibilité de réidentification par recoupement | § 77 |
| CRU auteur de la pseudonymisation | Données à caractère personnel en toute hypothèse pour lui | § 76 |
| Obligation d’information (art. 15 §1 d) | Appréciée au moment de la collecte, du point de vue du responsable du traitement | §§ 111-112 |
| Conséquence de l’arrêt | Annulation T-557/20 + renvoi sur le second moyen (droit à la bonne administration) | §§ 117-121 |
30.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats