LA CJUE TRANCHE : L’EXPRESSION DE VOTRE PENSÉE EST, PAR NATURE, UNE DONNÉE À CARACTÈRE PERSONNEL — ET VOUS AVIEZ LE DROIT DE LE SAVOIR AVANT DE LA PARTAGER. LA PSEUDONYMISATION NE BLANCHIT PAS TOUT.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
Le contexte institutionnel : la résolution de Banco Popular et la procédure d’indemnisation
À la suite de la décision du Conseil de résolution unique (CRU) de mettre en œuvre, le 7 juin 2017, une procédure de résolution à l’égard de Banco Popular Español S.A., le CRU s’est trouvé dans l’obligation d’évaluer si les anciens actionnaires et créanciers de cet établissement avaient subi un préjudice du fait de cette résolution et méritaient, à ce titre, une indemnisation. Cette démarche s’inscrivait dans le cadre réglementaire du Mécanisme de résolution unique, qui impose que toute décision préliminaire sur l’indemnisation soit précédée d’une consultation des parties potentiellement affectées.
Le CRU a donc organisé une procédure participative au cours de laquelle les anciens actionnaires et créanciers ont été invités à soumettre des commentaires écrits sur la décision préliminaire. Ces commentaires présentaient un double caractère : d’une part, ils exprimaient les opinions et points de vue personnels de leurs auteurs quant aux conséquences économiques de la résolution ; d’autre part, ils permettaient au CRU de recueillir les éléments d’appréciation nécessaires à la confection d’une valorisation indépendante des effets de la procédure de résolution.
II.
La transmission pseudonymisée à Deloitte : genèse du litige de données
Pour réaliser la valorisation indépendante des effets de la résolution, le CRU a fait appel à Deloitte, société d’audit et de conseil, en qualité de valorisateur externe. Dans ce cadre, le CRU a transmis à Deloitte une sélection des commentaires recueillis auprès des anciens actionnaires et créanciers, sous une forme pseudonymisée : les identifiants directs des personnes ayant soumis les commentaires avaient été supprimés ou remplacés par des codes, de sorte que Deloitte, en théorie, n’était pas en mesure de rattacher directement ces commentaires à leurs auteurs.
Les personnes dont les commentaires avaient été ainsi transmis n’avaient pas été informées préalablement de ce transfert. Plusieurs d’entre elles ont alors déposé des réclamations auprès du Contrôleur européen de la protection des données (CEPD), autorité compétente pour contrôler le respect du règlement (UE) 2018/1725 par les institutions et organes de l’Union. Ces réclamants faisaient valoir que le CRU avait méconnu l’obligation d’information prévue par ce règlement en ne les informant pas que leurs données seraient transmises à Deloitte.
III.
La décision du CEPD : qualification de données à caractère personnel et violation de l’obligation d’information
Le CEPD a fait droit aux réclamations. Il a considéré, en premier lieu, que Deloitte était bien un destinataire de données à caractère personnel des réclamants au sens du règlement 2018/1725. En second lieu, il a constaté que le CRU avait violé l’obligation d’information prévue par ce règlement, en ne communiquant pas aux personnes concernées l’existence du transfert de leurs données vers Deloitte préalablement à ce transfert.
La décision du CEPD reposait sur un raisonnement en deux temps. D’abord, les commentaires soumis par les réclamants exprimaient leurs opinions et points de vue personnels ; à ce titre, ils se rapportaient nécessairement à leurs auteurs et constituaient des données à caractère personnel. Ensuite, l’obligation d’information du CRU devait être appréciée du point de vue du responsable du traitement — le CRU lui-même — au moment où les données avaient été collectées, indépendamment du point de vue de Deloitte sur le caractère personnel ou non des données pseudonymisées reçues.
IV.
Le recours devant le Tribunal : l’annulation partielle de la décision du CEPD
Le CRU a introduit un recours en annulation de la décision du CEPD devant le Tribunal de l’Union européenne. Par arrêt du 26 avril 2023 (T-557/20, CRU/CEPD), le Tribunal a partiellement accueilli ce recours et annulé la décision du CEPD dans sa partie relative au constat de violation de l’obligation d’information.
Le Tribunal avait adopté un raisonnement qui s’écartait sensiblement de celui du CEPD sur deux points essentiels. D’une part, il avait jugé que, pour déterminer si les commentaires transmis à Deloitte se « rapportaient » aux réclamants au sens du règlement 2018/1725, le CEPD aurait dû examiner le contenu, la finalité ou les effets de ces commentaires. D’autre part, le Tribunal avait estimé que, pour apprécier si le CRU avait respecté son obligation d’information, le CEPD aurait dû vérifier si les commentaires transmis à Deloitte constituaient, du point de vue de Deloitte, des données à caractère personnel — l’argument étant que des données pseudonymisées, telles que reçues par Deloitte sans clé de déchiffrement, ne seraient pas des données à caractère personnel pour ce dernier, et donc que l’obligation d’information n’aurait pas à s’appliquer.
V.
Le pourvoi du CEPD : les trois erreurs de droit reprochées au Tribunal
Le CEPD a formé un pourvoi devant la Cour de justice, soutenu par le Contrôleur européen de la protection des données, dans lequel il reprochait au Tribunal trois erreurs de droit distinctes, qui constituent autant de questions juridiques fondamentales pour l’application du droit de la protection des données aux institutions de l’Union.
Première erreur alléguée. Le CEPD contestait l’exigence posée par le Tribunal selon laquelle le CEPD aurait dû examiner le contenu, la finalité ou les effets des commentaires pour conclure qu’ils se rapportaient à leurs auteurs. Selon le CEPD, cette exigence méconnaissait la nature particulière des opinions ou points de vue personnels, qui sont intrinsèquement liés à la personne qui les exprime et constituent donc, par nature, des données à caractère personnel sans qu’il soit nécessaire d’examiner leur contenu ou leurs effets.
Deuxième erreur alléguée. Le CEPD estimait que la pseudonymisation des commentaires avant leur transfert à Deloitte ne saurait, en toutes circonstances et pour toute personne, faire obstacle à leur qualification de données à caractère personnel. Cette position s’appuyait sur la jurisprudence de la Cour relative à l’appréciation du caractère identifiable de la personne concernée, fondée sur les moyens raisonnablement susceptibles d’être utilisés pour identifier cette personne.
Troisième erreur alléguée. Le CEPD soutenait que le Tribunal avait commis une erreur de droit en jugeant que l’obligation d’information du CRU devait être appréciée du point de vue de Deloitte après la pseudonymisation, et non du point de vue du CRU lui-même au moment de la collecte des données.
VI.
La première branche du pourvoi : la nature des opinions personnelles comme données à caractère personnel
Sur le premier chef d’erreur, la Cour de justice a estimé que le Tribunal avait effectivement méconnu la nature particulière des opinions et points de vue personnels. La Cour a rappelé que la notion de « données à caractère personnel » au sens du règlement 2018/1725 — dont le contenu est analogue à celui du RGPD sur ce point — vise toute information se rapportant à une personne physique identifiée ou identifiable.
Or, une opinion ou un point de vue personnel, en tant qu’expression de la pensée d’une personne, entretient par définition un lien direct et intrinsèque avec son auteur. Il est, par essence, intimement lié à la personne qui l’exprime. Dans ces conditions, dès lors qu’il est constant que les commentaires en cause exprimaient les opinions ou points de vue personnels de leurs auteurs, la conclusion selon laquelle ces informations se rapportaient à ces derniers s’imposait sans qu’il soit nécessaire d’examiner davantage le contenu, la finalité ou les effets desdits commentaires. Le Tribunal avait donc imposé une exigence supplémentaire que le droit applicable ne commande pas.
VII.
La deuxième branche : la pseudonymisation, une protection relative et contextuelle
Sur la deuxième question — le statut des données pseudonymisées au regard du règlement 2018/1725 — la Cour a adopté une position nuancée qui confirme la décision du Tribunal, tout en la précisant dans ses fondements. La Cour a retenu que des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel.
Cette approche s’inscrit dans la continuité de la jurisprudence Breyer (C-582/14, EU:C:2016:779), qui avait posé le principe d’une appréciation in concreto et contextuelle du caractère identifiable d’une personne. L’identification suppose l’existence de moyens raisonnablement susceptibles d’être utilisés, en tenant compte des coûts et du temps nécessaires, des technologies disponibles et des développements prévisibles. Ainsi, si une personne — ici Deloitte — ne dispose ni des informations permettant d’identifier les auteurs des commentaires ni de la possibilité raisonnable de se les procurer, les données pseudonymisées transmises n’ont pas, pour elle, le caractère de données à caractère personnel.
La Cour a pris soin de rappeler que l’appréciation du caractère identifiable dépend des circonstances caractérisant le traitement dans chaque cas particulier — formule qui renvoie à une évaluation individualisée devant être conduite pour chaque traitement considéré, et non à une règle abstraite et générale favorable ou défavorable à la pseudonymisation.
VIII.
La troisième branche : la perspective pertinente pour l’obligation d’information
C’est sur le troisième chef d’erreur que l’arrêt apporte la contribution jurisprudentielle la plus structurante. La Cour a jugé que le Tribunal avait commis une erreur de droit en considérant que le CEPD aurait dû apprécier si les commentaires transmis à Deloitte constituaient des données à caractère personnel du point de vue de Deloitte, pour déterminer si le CRU avait respecté son obligation d’information.
La Cour a rappelé que l’obligation d’information s’inscrit dans la relation juridique existant entre la personne concernée et le responsable du traitement, et que cette obligation a pour objet les informations en lien avec la personne concernée telles qu’elles ont été transmises au responsable du traitement — donc avant tout éventuel transfert à un tiers. Dès lors, le caractère identifiable de la personne concernée doit être apprécié au moment de la collecte des données et du point de vue du responsable du traitement.
En l’espèce, cela signifiait que c’est bien du point de vue du CRU, au moment où il avait collecté les commentaires auprès des actionnaires et créanciers, que devait être appréciée la question de savoir si ces commentaires constituaient des données à caractère personnel, et donc si l’obligation d’information s’appliquait. Or, au moment de leur collecte, le CRU disposait de toutes les informations permettant d’identifier les auteurs — les commentaires n’étaient pas pseudonymisés dans la relation CRU/réclamants, mais uniquement dans la communication ultérieure à Deloitte. L’obligation d’information du CRU s’appliquait donc en amont du transfert et indépendamment du caractère personnel ou non des données du point de vue de Deloitte après leur éventuelle pseudonymisation.
IX.
La résolution du pourvoi : annulation de l’arrêt du Tribunal et renvoi
À l’issue de cette analyse, la Cour a annulé l’arrêt du Tribunal et lui a renvoyé l’affaire pour qu’il statue à nouveau en tenant compte des principes dégagés par la Cour. La solution retenue produit ainsi un double effet : d’une part, elle invalide les deux motifs d’erreur de droit constatés (sur la nature des opinions personnelles et sur la perspective pertinente pour l’obligation d’information) ; d’autre part, elle maintient la position du Tribunal sur la relativité du caractère personnel des données pseudonymisées.
Le renvoi au Tribunal implique que ce dernier devra réexaminer le litige à la lumière du principe selon lequel l’obligation d’information du CRU devait être appréciée du point de vue du CRU au moment de la collecte, et non du point de vue de Deloitte après la pseudonymisation. Il appartient désormais au Tribunal de tirer les conséquences de ces principes sur l’appréciation concrète du respect de l’obligation d’information par le CRU dans les circonstances de l’espèce.
X.
Les références jurisprudentielles mobilisées
L’arrêt s’appuie sur un corpus jurisprudentiel cohérent relatif à la notion de données à caractère personnel et au régime de la pseudonymisation. Les principales références sont les suivantes :
-
CJUE, 19 octobre 2016, Breyer, C-582/14, EU:C:2016:779 : arrêt fondateur sur l’appréciation in concreto du caractère identifiable d’une personne à partir de données telles qu’une adresse IP dynamique, posant le critère des « moyens raisonnablement susceptibles d’être utilisés » pour l’identification.
-
Règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union — disposition miroir du RGPD pour les institutions de l’Union.
-
Arrêt du Tribunal du 26 avril 2023, CRU/CEPD, T-557/20 : arrêt de première instance partiellement annulé par le présent pourvoi.
L’arrêt CEPD/CRU s’inscrit dans la continuité des arrêts de la Cour sur l’interprétation extensive de la notion de données à caractère personnel, en refusant de réduire cette notion à une appréciation fondée sur le seul contenu des informations, et en rappelant que la perspective pertinente dépend de la position du responsable du traitement dans la chaîne de traitement considérée.
XI.
Portée doctrinale : une clarification structurante de la notion de données à caractère personnel et de l’obligation d’information
L’arrêt CEPD/CRU apporte trois précisions doctrinales d’importance.
En premier lieu, il consacre le principe selon lequel les opinions et points de vue personnels constituent, par nature, des données à caractère personnel, sans qu’il soit nécessaire d’analyser leur contenu, leur finalité ou leurs effets pour établir ce lien. Ce principe a une portée générale qui dépasse le seul contexte des procédures de résolution bancaire : toute expression de pensée, d’opinion ou de jugement d’une personne dans le cadre d’une procédure administrative, contentieuse ou contractuelle constitue une donnée à caractère personnel dès lors qu’elle peut être rattachée à son auteur.
En second lieu, l’arrêt confirme et systématise le principe de relativité du caractère personnel des données pseudonymisées : une même information peut constituer une donnée à caractère personnel pour le responsable du traitement qui dispose de la clé d’identification et ne pas l’être pour un tiers destinataire qui en est dépourvu. Cette relativité est contextuelle et doit être appréciée au cas par cas, en fonction des moyens raisonnablement disponibles pour chaque acteur concerné.
En troisième lieu, et c’est là la contribution la plus originale de l’arrêt, la Cour détermine avec précision la perspective temporelle et subjective pertinente pour apprécier le respect de l’obligation d’information : c’est le point de vue du responsable du traitement au moment de la collecte qui est déterminant, et non celui du destinataire ultérieur des données après leur éventuelle pseudonymisation. Ce « point de vue originel » du responsable du traitement constitue le référentiel permanent de l’obligation d’information, indépendant des transformations que les données subissent dans la chaîne de transmission.
POINTS ESSENTIELS
L’arrêt C-413/23 P constitue une décision structurante du droit européen de la protection des données, dont les enseignements s’imposent, par voie d’interprétation uniforme (point 52 de l’arrêt, renvoyant aux arrêts OC c. Commission, C-479/22 P, et IAB Europe, C-604/22), à l’ensemble des responsables du traitement soumis au RGPD. Sur le fond, la Cour censure sur deux points l’arrêt du Tribunal du 26 avril 2023 (T-557/20) :
1. La Cour juge que les opinions et points de vue personnels constituent, par nature, des données à caractère personnel de leurs auteurs — « en tant qu’expression de la pensée d’une personne, [ils] sont nécessairement intimement liés à cette dernière » (point 58) —, de sorte que la constatation du seul critère du contenu, révélant que les commentaires litigieux exprimaient les points de vue des réclamants, suffisait à en établir le caractère personnel sans qu’il fût nécessaire d’examiner en outre leur finalité ou leurs effets, ainsi que l’indique l’emploi de la conjonction « ou » dans la jurisprudence Nowak (C-434/16) ;
2. Elle rejette à la fois la thèse maximaliste du CEPD (les données pseudonymisées seraient des données à caractère personnel en toute hypothèse, pour tout destinataire) et la thèse du Tribunal (le CEPD aurait dû apprécier l’identifiabilité du point de vue de Deloitte), en consacrant une approche médiane et circonstanciée : si le CRU, auteur de la pseudonymisation, conserve nécessairement le caractère personnel des données à son égard puisqu’il en détient les clés de réidentification (point 76), Deloitte peut en revanche, sous deux conditions cumulatives, ne pas être destinataire de données à caractère personnel — à savoir que les mesures techniques et organisationnelles l’empêchent effectivement « lors de tout traitement effectué sous son contrôle » de lever la pseudonymisation, et que ces mesures soient « de nature à empêcher [Deloitte] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments » (point 77) ;
3. Enfin, et c’est là la contribution opérationnellement la plus significative, la Cour consacre le principe selon lequel l’obligation d’information relative aux destinataires des données à caractère personnel (article 15, §1, sous d), du règlement 2018/1725 ; article 13, §1, sous e), RGPD) doit être appréciée au moment de la collecte et du point de vue du responsable du traitement, indépendamment du caractère personnel ou non des données du point de vue du destinataire après leur éventuelle pseudonymisation (point 111) — règle qui s’impose à tous les responsables du traitement et implique que toute déclaration de confidentialité recense, dès la collecte, les prestataires ou catégories de prestataires auxquels des données, même pseudonymisées, seront susceptibles d’être transmises ; l’affaire étant renvoyée devant le Tribunal pour qu’il statue sur le second moyen du CRU tiré de la violation du droit à la bonne administration (article 41 de la Charte), la portée définitive de l’arrêt demeure incomplète dans l’attente de la décision de renvoi.
| Problématique | Solution retenue par la Cour | Références |
|---|---|---|
| Opinions et points de vue personnels | Données à caractère personnel par nature, sans analyse de finalité/effet | §§ 56-60, Nowak C-434/16 |
| Pseudonymisation : thèse maximaliste | Rejetée — pas de données à caractère personnel en toute hypothèse pour tout destinataire | §§ 68-90 |
| Pseudonymisation : conditions pour le destinataire | Deux conditions cumulatives : impossibilité de lever la pseudonymisation + impossibilité de réidentification par recoupement | § 77 |
| CRU auteur de la pseudonymisation | Données à caractère personnel en toute hypothèse pour lui | § 76 |
| Obligation d’information (art. 15 §1 d) | Appréciée au moment de la collecte, du point de vue du responsable du traitement | §§ 111-112 |
| Conséquence de l’arrêt | Annulation T-557/20 + renvoi sur le second moyen (droit à la bonne administration) | §§ 117-121 |
30.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats