LA CJUE TRANCHE : L’EXPRESSION DE VOTRE PENSÉE EST, PAR NATURE, UNE DONNÉE À CARACTÈRE PERSONNEL — ET VOUS AVIEZ LE DROIT DE LE SAVOIR AVANT DE LA PARTAGER. LA PSEUDONYMISATION NE BLANCHIT PAS TOUT.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I. PRÉSENTATION GÉNÉRALE ET PORTÉE DE L’AFFAIRE
L’arrêt rendu par la Cour de justice de l’Union européenne (première chambre) le 4 septembre 2025 dans l’affaire C-413/23 P constitue une décision de premier rang dans l’architecture du droit européen de la protection des données. Il s’inscrit dans la continuité directe d’une jurisprudence dont les jalons essentiels ont été posés par les arrêts Breyer (C-582/14, ECLI:EU:C:2016:779), Nowak (C-434/16, ECLI:EU:C:2017:994), OC c. Commission (C-479/22 P, ECLI:EU:C:2024:215) et IAB Europe (C-604/22, ECLI:EU:C:2024:214). Par cet arrêt, la Cour annule l’arrêt du Tribunal du 26 avril 2023 (T-557/20, EU:T:2023:219), lequel avait annulé la décision révisée du Contrôleur européen de la protection des données (CEPD) du 24 novembre 2020, constatant que le Conseil de résolution unique (CRU) avait méconnu son obligation d’information prévue par l’article 15, §1, sous d), du règlement (UE) 2018/1725.
Sur le plan dogmatique, cet arrêt apporte trois contributions majeures au droit de la protection des données personnelles : 1., une clarification décisive du critère de rattachement de l’information à une personne physique, notamment s’agissant des opinions et points de vue personnels ; 2., une précision fondamentale sur le statut juridique des données pseudonymisées au regard de la qualification de « données à caractère personnel » — question sur laquelle subsistait une controverse doctrinale profonde ; 3., et c’est la contribution peut-être la plus significative du point de vue pratique, la détermination de la perspective pertinente pour apprécier l’identifiabilité de la personne concernée dans le cadre de l’obligation d’information du responsable du traitement, avec la consécration du principe selon lequel l’appréciation doit se placer au moment de la collecte et du point de vue du responsable du traitement.
L’affaire est remarquable à plusieurs égards. Elle mobilise des questions de droit situées à l’intersection du droit de la protection des données personnelles et du droit prudentiel bancaire — plus précisément, la résolution des établissements de crédit dans le cadre du Mécanisme de résolution unique (MRU). Elle oppose deux autorités de l’Union européenne — le CEPD d’une part, le CRU d’autre part — et a conduit à l’admission en intervention du Comité européen de la protection des données (CEPD-comité) au soutien du CEPD, et de la Commission européenne au soutien du CRU. Ce prisme institutionnel confère à cette affaire une dimension systémique que son seul objet — le transfert de commentaires pseudonymisés d’une procédure administrative à une société d’audit — pourrait laisser sous-estimer.
II. LA QUESTION DU RATTACHEMENT DES OPINIONS ET POINTS DE VUE À LEUR AUTEUR : ERREUR DU TRIBUNAL ET RECTIFICATION PAR LA COUR
A. LE RAISONNEMENT DU TRIBUNAL CENSURÉ PAR LA COUR
L’une des deux branches du premier moyen du pourvoi du CEPD portait sur la condition, prévue à l’article 3, point 1, du règlement 2018/1725, selon laquelle l’information doit « se rapporter » à une personne physique. Le Tribunal avait jugé, aux points 60 à 74 de l’arrêt attaqué, que le CEPD s’était fondé sur une présomption inadmissible en qualifiant d’emblée les commentaires transmis à Deloitte de données personnelles, au motif qu’ils refléteraient les « opinions ou points de vue » de leurs auteurs — sans procéder à l’examen du contenu, de la finalité et des effets exigé selon lui par l’arrêt Nowak.
La Cour censure cette analyse en termes particulièrement fermes. Elle rappelle d’abord sa jurisprudence constante : « une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne déterminée » (point 55, renvoyant aux arrêts Nowak, point 35 ; OC c. Commission, point 45 ; IAB Europe, point 37). Elle souligne ensuite que l’emploi de la conjonction « ou » entre les trois critères — contenu, finalité, effet — implique qu’il suffit que l’un quelconque de ces critères soit satisfait, de sorte qu’un examen portant sur le contenu d’une information ne doit pas nécessairement être complété par une analyse de la finalité et des effets.
B. LA NATURE PARTICULIÈRE DES OPINIONS ET POINTS DE VUE PERSONNELS
Le cœur du raisonnement de la Cour réside dans la proposition suivante, formulée au point 58 de l’arrêt :
« Cette appréciation du Tribunal méconnaît la nature particulière des opinions ou des points de vue personnels qui, en tant qu’expression de la pensée d’une personne, sont nécessairement intimement liés à cette dernière. »
Cette formulation est d’une grande portée théorique. La Cour consacre ici une présomption de rattachement inhérente aux opinions et aux points de vue personnels à leurs auteurs — présomption que l’Avocat général Spielmann avait identifiée en ces termes dans ses conclusions : « sauf preuve contraire, les commentaires en cause en l’espèce, dès lors qu’ils émanaient des réclamants et montraient leur logique et leur raisonnement, reflétant ainsi l’expression de leur opinion subjective, concernaient nécessairement lesdits réclamants » (point 33 des conclusions).
Il importe de mesurer la distinction opérée ici par rapport à l’arrêt Nowak. Dans cette affaire, la Cour avait examiné si les annotations d’un examinateur sur une copie d’examen se rapportaient au candidat, en recourant aux critères du contenu, de la finalité et des effets. Mais ainsi que l’Avocat général l’avait pertinemment relevé (point 32 des conclusions), dans Nowak, « sagissant plus particulièrement des annotations de l’examinateur, qui reflètent son avis ou son appréciation, si la Cour a examiné le contenu, la finalité et l’effet des informations contenues dans la copie pour conclure que ces appréciations se rapportaient au candidat, elle ne s’est pas livrée à un tel examen pour considérer qu’elles constituaient des informations concernant l’examinateur qui en était l’auteur ». La Cour distingue ainsi selon qu’il s’agit d’apprécier si une information se rapporte à la personne qui en est l’objet (analyse tripartite nécessaire) ou à la personne qui en est l’auteur (présomption de rattachement).
C. IMPLICATIONS PRATIQUES
Cette clarification a des implications considérables pour les opérations de collecte et de traitement de données comportant des éléments subjectifs : enquêtes de satisfaction, formulaires de réclamation, commentaires lors de procédures administratives, correspondances exprimant une position personnelle, etc. Dans tous ces contextes, la condition de rattachement à une personne physique sera réputée satisfaite dès lors qu’il est établi que l’information exprime le point de vue ou l’opinion de son auteur, sans qu’il soit nécessaire de procéder à un examen complémentaire portant sur la finalité ou les effets.
III. LES DONNÉES PSEUDONYMISÉES : NI PERSONNELLES EN TOUTE HYPOTHÈSE NI ANONYMES — LA THÈSE MÉDIANE DE LA COUR
A. LE DÉBAT DOCTRINAL ET INSTITUTIONNEL
La deuxième branche du premier moyen du pourvoi soulevait une question qui divise doctrine et praticiens depuis l’entrée en vigueur du RGPD et du règlement 2018/1725 : les données pseudonymisées constituent-elles, en toute hypothèse et pour tout destinataire, des données à caractère personnel ?
Deux positions s’affrontaient devant la Cour :
Position du CEPD et du Comité européen de la protection des données : les données pseudonymisées restent des données à caractère personnel au seul motif que les personnes concernées demeurent identifiables — les informations permettant leur identification continuant d’exister. Admettre le contraire reviendrait à confondre pseudonymisation et anonymisation, permettant ainsi au responsable du traitement de soustraire indûment les données du champ d’application du règlement.
Position du CRU et de la Commission : si les données pseudonymisées restent des données à caractère personnel pour le responsable du traitement qui les a pseudonymisées, la question doit être examinée du point de vue du destinataire. Si ce dernier n’est pas en mesure d’identifier les personnes concernées au moyen des données reçues, celles-ci ne constituent pas pour lui des données à caractère personnel.
B. LA SOLUTION MÉDIANE DE LA COUR : UNE ANALYSE CIRCONSTANCIÉE
La Cour adopte une solution intermédiaire rigoureuse. Elle confirme d’abord que le Tribunal a jugé à bon droit « que des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel » (point 68). Ce faisant, elle écarte la thèse maximale du CEPD.
Son raisonnement s’appuie sur plusieurs piliers :
Premier pilier — la pseudonymisation n’est pas un élément de la définition des données à caractère personnel (point 70) : « en vertu du règlement 2018/1725, la pseudonymisation ne constitue pas un élément de la définition des “données à caractère personnel” mais se réfère à la mise en place de mesures techniques et organisationnelles visant à réduire le risque d’une mise en corrélation d’un ensemble de données avec l’identité des personnes concernées. » La pseudonymisation est ainsi une mesure de protection, non un critère définitoire.
Deuxième pilier — l’existence d’informations supplémentaires ne suffit pas à elle seule (point 72) : « l’existence même de telles informations s’oppose à ce que des données ayant fait l’objet d’une pseudonymisation puissent, en toute hypothèse, être considérées comme étant des données anonymes, exclues du champ d’application du règlement 2018/1725 » — mais elle n’implique pas non plus que ces données soient, pour tout destinataire, des données à caractère personnel.
Troisième pilier — la condition effective de l’iridentifiabilité (points 74-76) : Pour le responsable du traitement ayant procédé à la pseudonymisation — ici le CRU — qui dispose des informations supplémentaires d’identification, les données conservent leur caractère personnel. Mais « pour autant que les mesures techniques et organisationnelles requises pour une pseudonymisation au sens du règlement 2018/1725 soient effectivement mises en place et qu’elles soient de nature à prévenir une attribution des données en cause à la personne concernée, de telle manière que celle-ci n’est pas ou n’est plus identifiable, la pseudonymisation peut avoir une incidence sur le caractère personnel de ces données » (point 75 de l’arrêt attaqué, repris au point 74 de l’arrêt).
Deloitte : la Cour précise (point 76) que les mesures peuvent avoir pour effet que, pour cette société, « ces commentaires ne présentent pas un caractère personnel » — à deux conditions cumulatives : d’une part, que Deloitte ne soit pas en mesure de lever ces mesures lors de tout traitement des commentaires effectué sous son contrôle ; d’autre part, que lesdites mesures soient effectivement de nature à empêcher Deloitte d’attribuer ces mêmes commentaires aux personnes concernées « également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments ».
C. RAPPEL DES ENSEIGNEMENTS JURISPRUDENTIELS ANTÉRIEURS
La Cour prend soin de synthétiser l’acquis jurisprudentiel en matière d’identifiabilité (points 82-86) :
—-Arrêt Breyer (C-582/14) : des données en soi impersonnelles se rattachent à une personne identifiable lorsque le responsable du traitement dispose de voies légales pour obtenir des informations supplémentaires auprès d’autrui.
—-Arrêt OC c. Commission (C-479/22 P) : un moyen n’est pas susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée « lorsque le risque d’une identification paraît en réalité insignifiant, en ce que l’identification de cette personne est interdite par la loi ou irréalisable en pratique » ; s’agissant d’un communiqué de presse, la Cour n’a pas jugé suffisante la seule détention par l’organisme de l’Union de l’ensemble des informations permettant d’identifier la personne, mais a examiné si les indications du communiqué permettaient raisonnablement au public concerné d’identifier cette personne.
—-Arrêt IAB Europe (C-604/22) : des données en soi impersonnelles peuvent acquérir un caractère personnel lorsque le responsable du traitement les met à disposition d’autres personnes disposant de moyens raisonnablement susceptibles de permettre l’identification.
IV. LA PERSPECTIVE PERTINENTE POUR L’OBLIGATION D’INFORMATION : LE POINT DE VUE DU RESPONSABLE DU TRAITEMENT AU MOMENT DE LA COLLECTE
A. L’ERREUR DE DROIT DU TRIBUNAL
Le troisième volet de l’arrêt est sans doute le plus directement opérationnel pour les praticiens. Le Tribunal avait jugé, aux points 97, 98, 100, 101 et 103 à 105 de l’arrêt attaqué, que le CEPD aurait dû examiner si les commentaires transmis à Deloitte constituaient, du point de vue de ce dernier, des données à caractère personnel pour apprécier si le CRU avait respecté son obligation d’information au titre de l’article 15, §1, sous d), du règlement 2018/1725.
La Cour censure cette analyse au motif qu’elle procède d’une confusion entre la perspective pertinente pour qualifier des données de « personnelles » en général et celle retenue pour apprécier le respect de l’obligation d’information du responsable du traitement.
B. LA CONSÉCRATION DU PRINCIPE : COLLECTE COMME MOMENT DE RÉFÉRENCE, RESPONSABLE DU TRAITEMENT COMME PERSPECTIVE DE RÉFÉRENCE
La Cour rappelle en premier lieu que « la perspective pertinente pour apprécier le caractère identifiable de la personne concernée dépend essentiellement des circonstances caractérisant le traitement des données dans chaque cas particulier » (point 103, reprenant la jurisprudence Breyer, OC c. Commission et IAB Europe).
Elle énonce ensuite la règle spécifique applicable à l’obligation d’information :
« Ladite obligation d’information : la Cour rappelle que cette obligation s’inscrit dans la relation juridique existant entre la personne concernée et le responsable du traitement et, de ce fait, elle a pour objet les informations en lien avec cette personne telles qu’elles ont été transmises à ce responsable, donc avant tout éventuel transfert à un tiers. » (point 108)
Et d’en déduire :
« le caractère identifiable de la personne concernée doit être apprécié au moment de la collecte des données et du point de vue du responsable du traitement. Ainsi, l’obligation d’information incombant au CRU s’appliquait en amont du transfert des commentaires en cause et indépendamment de leur caractère personnel ou non, du point de vue de Deloitte, après leur éventuelle pseudonymisation. » (point 111)
Ce faisant, la Cour fixe deux paramètres distincts pour la détermination de la perspective pertinente dans le cadre de l’obligation d’information : le moment (la collecte) et le point de vue (le responsable du traitement).
C. LA RATIO LEGIS : GARANTIE DU CONSENTEMENT ÉCLAIRÉ
La Cour justifie ce choix par la fonction même de l’obligation d’information : « lorsque la collecte de telles données est, comme en l’occurrence, fondée sur le consentement de la personne concernée, la validité de celui-ci dépend, entre autres, du point de savoir si celle-ci a, au préalable, obtenu les informations au regard de toutes les circonstances entourant le traitement des données en question auxquelles elle avait droit » (point 109). L’obligation d’information, en tant que corollaire du consentement éclairé, « garantit, notamment, que ces données ne sont pas collectées contre sa volonté par le responsable de traitement, voire transférées contre son gré à des tiers » (point 110).
La Cour ajoute que la thèse du CRU — qui proposait de contrôler le respect de l’obligation d’information au moment du transfert, en se plaçant du point de vue de Deloitte — « aurait pour conséquence de reporter ce contrôle dans le temps » et « méconnaît également l’objet de l’obligation d’information, qui est intrinsèquement liée à la relation entre le responsable du traitement et la personne concernée » (point 114, reprenant les conclusions de l’Avocat général, point 77).
V. LA PORTÉE DE L’ARRÊT AU REGARD DES JURISPRUDENCES ANTÉRIEURES ET POSTÉRIEURES
A. CONTEXTUALISATION DANS LA LIGNÉE JURISPRUDENTIELLE
L’arrêt C-413/23 P s’inscrit dans une série cohérente de décisions qui ont progressivement précisé les contours de la notion de données à caractère personnel et les conditions de mise en œuvre des obligations qui s’y attachent :
—-C-434/16, Nowak (2017) : consécration de la large définition de la donnée à caractère personnel, incluant les informations subjectives sous forme d’avis ou d’appréciations ; établissement du critère contenu/finalité/effet.
—-C-582/14, Breyer (2016) : adoption d’une approche relative de l’identifiabilité, fondée sur les moyens raisonnablement susceptibles d’être mis en œuvre pour identifier la personne concernée.
—-C-479/22 P, OC c. Commission (2024) : confirmation que la seule détention par le responsable du traitement des informations d’identification ne suffit pas à conclure à l’identifiabilité — il faut encore que les données en cause permettent raisonnablement d’identifier la personne au regard du public concerné.
—-C-604/22, IAB Europe (2024) : extension du caractère personnel à des données en soi impersonnelles dès lors qu’elles sont mises à disposition de tiers disposant de moyens raisonnables d’identification.
Par rapport à ces précédents, l’apport de l’arrêt C-413/23 P est triple : il précise le régime des opinions et points de vue personnels (première branche) ; il confirme et affine la thèse relative de l’identifiabilité en contexte de pseudonymisation (deuxième branche) ; il fixe le cadre spécifique applicable à l’obligation d’information en ancrant l’analyse au moment de la collecte et du point de vue du responsable du traitement (troisième branche).
B. PERSPECTIVES ET INCIDENCES SUR LES AFFAIRES ULTÉRIEURES
L’arrêt aura une incidence directe sur plusieurs types de litiges susceptibles de se présenter devant les juridictions nationales et européennes :
—-Les contentieux portant sur la licéité de la transmission de données pseudonymisées à des tiers (sous-traitants, auditeurs, prestataires de services) dans lesquels la question de savoir si les données reçues par le tiers constituent des données à caractère personnel sera désormais traitée selon le cadre analytique à deux conditions cumulatives posé par la Cour.
—-Les litiges relatifs à la validité des déclarations de confidentialité et des informations relatives aux destinataires de données, qui ne pourront plus être validées a posteriori en se fondant sur le caractère prétendument anonyme des données du point de vue du destinataire.
—-Les procédures administratives et juridictionnelles conduites par des organismes de l’Union dans le cadre desquelles des données sont collectées auprès de personnes dans le cadre d’une procédure de consultation, puis transmises à des tiers dans un format pseudonymisé.
L’articulation avec l’arrêt C-526/24, s’il devait intervenir sur une problématique similaire, devra prendre en compte les enseignements de l’arrêt C-413/23 P comme référence désormais consolidée sur la question de la pseudonymisation.
VI. BILAN CRITIQUE : FORCES ET LIMITES DE L’ARRÊT
A. LES FORCES
L’arrêt présente plusieurs mérites indéniables. Il clarifie une controverse théorique majeure sur le statut des données pseudonymisées avec une formulation précise qui ne laisse guère de place à l’ambiguïté. Il ancre l’obligation d’information dans une logique cohérente avec sa finalité — protéger la liberté de consentement de la personne concernée avant tout transfert. Il maintient une conception large et effective de la notion de données à caractère personnel, en refusant d’admettre que la pseudonymisation équivaut à l’anonymisation. Il consacre enfin une solution qui renforce la sécurité juridique des personnes concernées : le responsable du traitement ne peut plus, en pseudonymisant les données avant de les transmettre à un tiers, se soustraire à son obligation d’information préalable.
B. LES LIMITES ET QUESTIONS OUVERTES
L’arrêt laisse toutefois ouvertes plusieurs questions pratiques importantes. 1., la Cour renvoie l’affaire au Tribunal pour statuer sur le second moyen du recours, tiré d’une violation du droit à la bonne administration — ce qui signifie que la procédure reste pendante et que le régime complet applicable n’est pas encore entièrement stabilisé. 2., si la Cour précise que les données pseudonymisées peuvent ne pas constituer des données à caractère personnel pour le destinataire selon les circonstances, elle ne fournit pas de critères précis permettant de déterminer quand les mesures techniques et organisationnelles sont « effectivement de nature à empêcher » l’attribution — renvoyant à une appréciation factuelle qui sera source de contentieux. 3., la question de la charge de la preuve en cas de contestation de la robustesse de la pseudonymisation — que l’Avocat général avait abordée à titre subsidiaire (points 84-96 des conclusions) — n’est pas tranchée par la Cour, qui l’a estimée sans objet au regard des solutions retenues sur le premier moyen.
POINTS ESSENTIELS
L’arrêt C-413/23 P constitue une décision structurante du droit européen de la protection des données, dont les enseignements s’imposent, par voie d’interprétation uniforme (point 52 de l’arrêt, renvoyant aux arrêts OC c. Commission, C-479/22 P, et IAB Europe, C-604/22), à l’ensemble des responsables du traitement soumis au RGPD. Sur le fond, la Cour censure sur deux points l’arrêt du Tribunal du 26 avril 2023 (T-557/20) :
1. La Cour juge que les opinions et points de vue personnels constituent, par nature, des données à caractère personnel de leurs auteurs — « en tant qu’expression de la pensée d’une personne, [ils] sont nécessairement intimement liés à cette dernière » (point 58) —, de sorte que la constatation du seul critère du contenu, révélant que les commentaires litigieux exprimaient les points de vue des réclamants, suffisait à en établir le caractère personnel sans qu’il fût nécessaire d’examiner en outre leur finalité ou leurs effets, ainsi que l’indique l’emploi de la conjonction « ou » dans la jurisprudence Nowak (C-434/16) ;
2. Elle rejette à la fois la thèse maximaliste du CEPD (les données pseudonymisées seraient des données à caractère personnel en toute hypothèse, pour tout destinataire) et la thèse du Tribunal (le CEPD aurait dû apprécier l’identifiabilité du point de vue de Deloitte), en consacrant une approche médiane et circonstanciée : si le CRU, auteur de la pseudonymisation, conserve nécessairement le caractère personnel des données à son égard puisqu’il en détient les clés de réidentification (point 76), Deloitte peut en revanche, sous deux conditions cumulatives, ne pas être destinataire de données à caractère personnel — à savoir que les mesures techniques et organisationnelles l’empêchent effectivement « lors de tout traitement effectué sous son contrôle » de lever la pseudonymisation, et que ces mesures soient « de nature à empêcher [Deloitte] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments » (point 77) ;
3. Enfin, et c’est là la contribution opérationnellement la plus significative, la Cour consacre le principe selon lequel l’obligation d’information relative aux destinataires des données à caractère personnel (article 15, §1, sous d), du règlement 2018/1725 ; article 13, §1, sous e), RGPD) doit être appréciée au moment de la collecte et du point de vue du responsable du traitement, indépendamment du caractère personnel ou non des données du point de vue du destinataire après leur éventuelle pseudonymisation (point 111) — règle qui s’impose à tous les responsables du traitement et implique que toute déclaration de confidentialité recense, dès la collecte, les prestataires ou catégories de prestataires auxquels des données, même pseudonymisées, seront susceptibles d’être transmises ; l’affaire étant renvoyée devant le Tribunal pour qu’il statue sur le second moyen du CRU tiré de la violation du droit à la bonne administration (article 41 de la Charte), la portée définitive de l’arrêt demeure incomplète dans l’attente de la décision de renvoi.
| Problématique | Solution retenue par la Cour | Références |
|---|---|---|
| Opinions et points de vue personnels | Données à caractère personnel par nature, sans analyse de finalité/effet | §§ 56-60, Nowak C-434/16 |
| Pseudonymisation : thèse maximaliste | Rejetée — pas de données à caractère personnel en toute hypothèse pour tout destinataire | §§ 68-90 |
| Pseudonymisation : conditions pour le destinataire | Deux conditions cumulatives : impossibilité de lever la pseudonymisation + impossibilité de réidentification par recoupement | § 77 |
| CRU auteur de la pseudonymisation | Données à caractère personnel en toute hypothèse pour lui | § 76 |
| Obligation d’information (art. 15 §1 d) | Appréciée au moment de la collecte, du point de vue du responsable du traitement | §§ 111-112 |
| Conséquence de l’arrêt | Annulation T-557/20 + renvoi sur le second moyen (droit à la bonne administration) | §§ 117-121 |
30.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats