LA CJUE TRANCHE : L’EXPRESSION DE VOTRE PENSÉE EST, PAR NATURE, UNE DONNÉE À CARACTÈRE PERSONNEL — ET VOUS AVIEZ LE DROIT DE LE SAVOIR AVANT DE LA PARTAGER. LA PSEUDONYMISATION NE BLANCHIT PAS TOUT.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I. AVERTISSEMENT LIMINAIRE
L’arrêt C-413/23 P, rendu dans un contexte institutionnel spécifique (institutions et organes de l’Union soumis au règlement 2018/1725), produit des effets directs sur tous les responsables du traitement soumis au RGPD, en vertu du principe d’interprétation uniforme expressément consacré au point 52 de l’arrêt. Les conseils qui suivent s’adressent aux responsables du traitement privés et publics opérant sous le RGPD, ainsi qu’aux personnes concernées dont les données font l’objet de traitements impliquant des commentaires, des formulaires, des avis ou des données pseudonymisées.
II. CONSEILS AUX RESPONSABLES DU TRAITEMENT
A. ALERTE — RÉVISION IMMÉDIATE DES DÉCLARATIONS DE CONFIDENTIALITÉ ET REGISTRES DES TRAITEMENTS
La règle posée par la Cour au point 111 de l’arrêt est d’une clarté absolue : l’obligation d’information relative aux destinataires des données à caractère personnel doit être satisfaite au moment de la collecte et du point de vue du responsable du traitement, indépendamment de la forme sous laquelle les données seront ultérieurement transmises à des tiers.
En pratique, cette règle impose une révision systématique des politiques de confidentialité existantes pour s’assurer qu’elles mentionnent l’ensemble des destinataires ou catégories de destinataires auxquels les données collectées sont susceptibles d’être communiquées, y compris sous forme pseudonymisée. Le point 112 de l’arrêt est explicite :
« l’obligation d’information incombant au CRU s’appliquait en amont du transfert des commentaires en cause et indépendamment de leur caractère personnel ou non, du point de vue de Deloitte, après leur éventuelle pseudonymisation. »
Actions immédiates à conduire :
1. Audit des notices d’information (privacy notices). Identifier tous les flux de données impliquant des prestataires, sous-traitants, auditeurs, cabinets de conseil ou experts indépendants qui reçoivent des données — même pseudonymisées — dans le cadre de missions d’analyse, d’évaluation ou d’audit. Ces destinataires doivent être explicitement mentionnés dans la déclaration de confidentialité au moment de la collecte.
2. Mise à jour du registre des activités de traitement (article 30 RGPD). Le registre doit recenser, pour chaque traitement, les destinataires effectifs ou potentiels des données, y compris les prestataires recevant des données sous forme pseudonymisée. L’arrêt interdit de ne mentionner comme destinataires que les personnes recevant des données en clair.
3. Révision des formulaires de collecte. Lorsque la collecte est fondée sur le consentement, la validité de celui-ci dépend de la complétude de l’information fournie au moment de la collecte. Un consentement recueilli sans mention des destinataires de données pseudonymisées est susceptible d’être contesté. La Cour rappelle (point 109) que « la validité [du consentement] dépend, entre autres, du point de savoir si [la personne concernée] a, au préalable, obtenu les informations au regard de toutes les circonstances entourant le traitement des données en question ».
B. ALERTE — QUALIFICATION DES COMMENTAIRES, AVIS ET CONTRIBUTIONS DE PARTIES PRENANTES
L’arrêt C-413/23 P établit que les opinions et points de vue personnels exprimés dans un document constituent, par nature, des données à caractère personnel de leur auteur, sans qu’il soit nécessaire de procéder à un examen complémentaire portant sur la finalité ou les effets de ces informations (point 58).
Cette règle affecte directement de nombreux traitements courants dans la vie des organisations :
Enquêtes de satisfaction et sondages internes. Les réponses d’un collaborateur à un questionnaire de satisfaction, même si elles ne le désignent pas nommément, constituent des données à caractère personnel dès lors qu’elles expriment ses opinions et que l’organisation dispose des informations permettant de les lui attribuer. Le responsable du traitement ne peut se soustraire à l’obligation d’information en se prévalant du caractère « pseudonymisé » des réponses si les codes d’identification permettent une réidentification.
Procédures de consultation publique ou administrative. Les contributions soumises dans le cadre de procédures d’appel à commentaires, de consultations préalables ou de procédures de droit d’être entendu constituent des données à caractère personnel de leurs auteurs. Le responsable du traitement doit informer les participants, dès la collecte, de l’identité de tous les destinataires des contributions — y compris les experts ou consultants indépendants chargés de les évaluer.
Formulaires d’évaluation, de notation ou de réclamation. Tout document dans lequel une personne exprime son point de vue sur une décision, un produit, un service ou une personne physique constitue une donnée à caractère personnel de son auteur. Cette qualification s’impose indépendamment du support (papier, formulaire en ligne, messagerie) et de la longueur du commentaire.
C. PSEUDONYMISATION : NI BOUCLIER ABSOLU NI FACTEUR NEUTRE
L’arrêt pose des règles précises sur les conditions dans lesquelles une pseudonymisation peut faire perdre à des données leur caractère personnel du point de vue du destinataire — et donc, réduire les obligations de ce dernier. Ces conditions sont cumulatives et doivent être vérifiées avant tout transfert sous forme pseudonymisée.
Condition 1 — Impossibilité effective de lever les mesures de pseudonymisation (point 77). Le destinataire ne doit pas être en mesure de lever les mesures de pseudonymisation « lors de tout traitement desdits commentaires effectué sous son contrôle ». Cela signifie concrètement que :
—-le destinataire ne doit avoir aucun accès, direct ou indirect, aux informations de réidentification (fichiers de correspondance, clés de pseudonymisation) ;
—-aucun moyen contractuel ou technique ne doit lui permettre d’obtenir ces informations auprès du responsable du traitement ou d’un tiers.
Condition 2 — Impossibilité de réidentification par recoupement (point 77). Les mesures de pseudonymisation doivent être « de nature à empêcher [le destinataire] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments ». Cela impose d’évaluer si le destinataire dispose de bases de données ou de référentiels qui, croisés avec les données pseudonymisées reçues, permettraient une réidentification.
Recommandation opérationnelle. Avant tout transfert de données sous forme pseudonymisée à un tiers, le responsable du traitement doit conduire une analyse de risque de réidentification documentée, évaluant :
—-les capacités techniques du destinataire à procéder à une réidentification ;
—-l’existence de référentiels publics ou privés accessibles au destinataire ;
—-la robustesse des mesures de pseudonymisation face aux techniques actuelles (record linkage, inférence statistique).
Cette analyse doit être formalisée et conservée au titre de la démonstration de conformité (accountability, article 5, §2, RGPD).
D. GESTION CONTRACTUELLE DES DESTINATAIRES RECEVANT DES DONNÉES PSEUDONYMISÉES
L’arrêt permet de considérer que le destinataire qui ne peut effectivement pas réidentifier les personnes concernées n’est pas, pour lui, responsable du traitement de données à caractère personnel. Toutefois, il est imprudent de se fonder sur cette seule analyse sans mesures contractuelles complémentaires.
Recommandations contractuelles :
—-Inclure dans les contrats avec les prestataires recevant des données pseudonymisées une clause d’interdiction formelle de toute tentative de réidentification, directe ou par recoupement ;
—-Prévoir une obligation de notification au responsable du traitement en cas de découverte fortuite d’éléments permettant une réidentification ;
—-Intégrer une clause de retour ou de destruction des données pseudonymisées à l’issue de la mission.
E. AIPD : MISE À JOUR OBLIGATOIRE POUR LES TRAITEMENTS IMPLIQUANT LA PSEUDONYMISATION
Les analyses d’impact relatives à la protection des données (AIPD) existantes doivent être révisées pour intégrer les enseignements de l’arrêt :
—-Le risque lié à la non-mention des destinataires de données pseudonymisées dans la notice d’information doit être identifié comme un risque de non-conformité à l’obligation d’information (article 13, §1, sous e, RGPD) ;
—-Le risque de réidentification par le destinataire doit être évalué selon les deux conditions posées par la Cour au point 77 de l’arrêt et figurer parmi les risques résiduels de l’AIPD ;
—-Les mesures d’atténuation adoptées (clauses contractuelles, cloisonnement des systèmes, protocoles de pseudonymisation robustes) doivent être documentées.
III. CONSEILS AUX PERSONNES CONCERNÉES
A. COMPRENDRE VOS DROITS EN MATIÈRE D’INFORMATION SUR LES DESTINATAIRES
L’arrêt C-413/23 P conforte le droit des personnes concernées à être informées, dès la collecte de leurs données, des destinataires ou catégories de destinataires auxquels leurs données sont susceptibles d’être communiquées — y compris lorsque ces données sont transmises sous forme pseudonymisée.
Ainsi, si vous avez répondu à un questionnaire, formulaire de consultation, enquête ou procédure administrative et que vos réponses ont pu être transmises à des tiers (cabinets d’audit, experts indépendants, prestataires d’analyse), vous êtes en droit d’exiger du responsable du traitement :
—-La mention de l’ensemble des destinataires ou catégories de destinataires dans la déclaration de confidentialité qui vous a été communiquée lors de la collecte ;
—-En cas de défaut d’information sur ce point, le dépôt d’une réclamation auprès de l’autorité de contrôle compétente (en France, la CNIL).
B. EXERCER VOTRE DROIT D’ACCÈS EN PRÉSENCE DE DONNÉES PSEUDONYMISÉES
La Cour confirme que les données pseudonymisées restent des données à caractère personnel du point de vue du responsable du traitement qui a procédé à la pseudonymisation (point 76). Cela signifie que le responsable du traitement conserve l’ensemble de ses obligations à l’égard des personnes concernées, y compris l’obligation de répondre aux demandes d’exercice de droits (droit d’accès, droit de rectification, droit à l’effacement).
Si vous avez soumis des commentaires ou contributions dans le cadre d’une procédure et que ces éléments ont ensuite été pseudonymisés pour être transmis à un tiers, vous conservez votre droit d’accès à l’ensemble de vos données, y compris aux commentaires pseudonymisés, auprès du responsable du traitement qui dispose des informations permettant de vous identifier.
C. SIGNALER L’ABSENCE D’INFORMATION SUR LES DESTINATAIRES
Si vous avez constaté que la déclaration de confidentialité qui vous a été soumise lors de la collecte de vos données ne mentionnait pas les prestataires ou experts tiers auxquels vos données (ou des données pseudonymisées les concernant) ont été transmises, vous pouvez :
1. Adresser une demande d’information au responsable du traitement, en lui rappelant son obligation d’information au titre de l’article 13, §1, sous e), du RGPD (en France) ou de l’article 15, §1, sous d), du règlement 2018/1725 (pour les institutions de l’Union).
2. Déposer une réclamation auprès de l’autorité de contrôle compétente. L’arrêt valide expressément la compétence des autorités de contrôle pour constater une violation de l’obligation d’information en se plaçant du point de vue du responsable du traitement au moment de la collecte, sans qu’il soit nécessaire de démontrer que le tiers destinataire a effectivement traité vos données à caractère personnel.
3. Exercer un recours juridictionnel sur le fondement de l’article 79 du RGPD (recours contre un responsable du traitement) en cas de préjudice résultant du défaut d’information — notamment si ce défaut d’information a eu pour effet d’empêcher la personne concernée d’exercer son droit de retirer son consentement ou de s’opposer au traitement avant la transmission à des tiers.
D. ALERTES PRATIQUES POUR LES ACTIONNAIRES ET CRÉANCIERS EN PROCÉDURE ADMINISTRATIVE
L’affaire C-413/23 P concernait des actionnaires et créanciers ayant participé à une procédure de droit d’être entendu dans le cadre d’une résolution bancaire. L’enseignement vaut pour toute procédure administrative, judiciaire ou réglementaire au cours de laquelle des personnes physiques sont invitées à soumettre des observations ou contributions :
—-Lisez attentivement la déclaration de confidentialité qui vous est soumise au moment de votre inscription ou de votre participation. Vérifiez qu’elle mentionne explicitement les personnes ou entités susceptibles de recevoir vos données ou vos contributions.
—-En cas de doute, interrogez l’autorité ou l’organisme responsable sur les destinataires de vos contributions avant de les soumettre — l’arrêt garantit votre droit à cette information.
—-Conservez une copie de la déclaration de confidentialité qui vous a été soumise lors de votre participation, afin de pouvoir vérifier a posteriori la conformité de l’information fournie.
IV. POINTS DE VIGILANCE TRANSVERSAUX À DESTINATION DES DIRECTIONS GÉNÉRALES ET DPO
DIRECTION GÉNÉRALE
Les organisations qui utilisent des prestataires extérieurs (cabinets d’audit, experts indépendants, sociétés d’études, consultants) pour analyser les contributions, avis ou commentaires de leurs clients, salariés ou partenaires doivent revoir en priorité leur chaîne de sous-traitance à l’aune de l’arrêt C-413/23 P.
La question centrale est désormais la suivante : « Dans notre déclaration de confidentialité communiquée lors de la collecte, avons-nous mentionné l’ensemble des prestataires qui reçoivent des données — même pseudonymisées — issues des données collectées ? » Si la réponse est négative, une mise en conformité est urgente.
DIRECTION DES RESSOURCES HUMAINES
Les questionnaires de satisfaction des salariés, les enquêtes de climat social, les formulaires d’évaluation et les boîtes à idées génèrent des données qui constituent des opinions et points de vue personnels de leurs auteurs. L’arrêt C-413/23 P confirme que ces données sont des données à caractère personnel de leurs auteurs, sans qu’aucune analyse complémentaire ne soit nécessaire. Si ces données sont pseudonymisées avant d’être transmises à un prestataire extérieur (cabinet d’analyse RH, consultant en engagement), les obligations d’information s’appliquent dès la collecte, du point de vue de l’employeur — qui dispose des informations d’identification des salariés.
POINTS ESSENTIELS
L’arrêt C-413/23 P constitue une décision structurante du droit européen de la protection des données, dont les enseignements s’imposent, par voie d’interprétation uniforme (point 52 de l’arrêt, renvoyant aux arrêts OC c. Commission, C-479/22 P, et IAB Europe, C-604/22), à l’ensemble des responsables du traitement soumis au RGPD. Sur le fond, la Cour censure sur deux points l’arrêt du Tribunal du 26 avril 2023 (T-557/20) :
1. La Cour juge que les opinions et points de vue personnels constituent, par nature, des données à caractère personnel de leurs auteurs — « en tant qu’expression de la pensée d’une personne, [ils] sont nécessairement intimement liés à cette dernière » (point 58) —, de sorte que la constatation du seul critère du contenu, révélant que les commentaires litigieux exprimaient les points de vue des réclamants, suffisait à en établir le caractère personnel sans qu’il fût nécessaire d’examiner en outre leur finalité ou leurs effets, ainsi que l’indique l’emploi de la conjonction « ou » dans la jurisprudence Nowak (C-434/16) ;
2. Elle rejette à la fois la thèse maximaliste du CEPD (les données pseudonymisées seraient des données à caractère personnel en toute hypothèse, pour tout destinataire) et la thèse du Tribunal (le CEPD aurait dû apprécier l’identifiabilité du point de vue de Deloitte), en consacrant une approche médiane et circonstanciée : si le CRU, auteur de la pseudonymisation, conserve nécessairement le caractère personnel des données à son égard puisqu’il en détient les clés de réidentification (point 76), Deloitte peut en revanche, sous deux conditions cumulatives, ne pas être destinataire de données à caractère personnel — à savoir que les mesures techniques et organisationnelles l’empêchent effectivement « lors de tout traitement effectué sous son contrôle » de lever la pseudonymisation, et que ces mesures soient « de nature à empêcher [Deloitte] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments » (point 77) ;
3. Enfin, et c’est là la contribution opérationnellement la plus significative, la Cour consacre le principe selon lequel l’obligation d’information relative aux destinataires des données à caractère personnel (article 15, §1, sous d), du règlement 2018/1725 ; article 13, §1, sous e), RGPD) doit être appréciée au moment de la collecte et du point de vue du responsable du traitement, indépendamment du caractère personnel ou non des données du point de vue du destinataire après leur éventuelle pseudonymisation (point 111) — règle qui s’impose à tous les responsables du traitement et implique que toute déclaration de confidentialité recense, dès la collecte, les prestataires ou catégories de prestataires auxquels des données, même pseudonymisées, seront susceptibles d’être transmises ; l’affaire étant renvoyée devant le Tribunal pour qu’il statue sur le second moyen du CRU tiré de la violation du droit à la bonne administration (article 41 de la Charte), la portée définitive de l’arrêt demeure incomplète dans l’attente de la décision de renvoi.
| Problématique | Solution retenue par la Cour | Références |
|---|---|---|
| Opinions et points de vue personnels | Données à caractère personnel par nature, sans analyse de finalité/effet | §§ 56-60, Nowak C-434/16 |
| Pseudonymisation : thèse maximaliste | Rejetée — pas de données à caractère personnel en toute hypothèse pour tout destinataire | §§ 68-90 |
| Pseudonymisation : conditions pour le destinataire | Deux conditions cumulatives : impossibilité de lever la pseudonymisation + impossibilité de réidentification par recoupement | § 77 |
| CRU auteur de la pseudonymisation | Données à caractère personnel en toute hypothèse pour lui | § 76 |
| Obligation d’information (art. 15 §1 d) | Appréciée au moment de la collecte, du point de vue du responsable du traitement | §§ 111-112 |
| Conséquence de l’arrêt | Annulation T-557/20 + renvoi sur le second moyen (droit à la bonne administration) | §§ 117-121 |
30.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats