LA CJUE TRANCHE : L’EXPRESSION DE VOTRE PENSÉE EST, PAR NATURE, UNE DONNÉE À CARACTÈRE PERSONNEL — ET VOUS AVIEZ LE DROIT DE LE SAVOIR AVANT DE LA PARTAGER. LA PSEUDONYMISATION NE BLANCHIT PAS TOUT.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I. CONTEXTE INSTITUTIONNEL ET CADRE RÉGLEMENTAIRE
L’affaire C-413/23 P prend sa source dans la résolution d’un établissement bancaire systémique — la Banco Popular Español SA — opérée le 7 juin 2017, en application du règlement (UE) n° 806/2014 du Parlement européen et du Conseil du 15 juillet 2014 établissant des règles et une procédure uniformes pour la résolution des établissements de crédit dans le cadre d’un Mécanisme de résolution unique et d’un Fonds de résolution bancaire unique (règlement MRU). Cette résolution a été approuvée le même jour par décision de la Commission européenne (Décision 2017/1246/UE).
La mesure de résolution a concrètement conduit à la dépréciation ou à la conversion des instruments de capital de la banque et à leur cession par transfert des actions. Elle a affecté directement et substantiellement l’ensemble des actionnaires et créanciers de Banco Popular, qui ont été exposés à des pertes considérables.
Le cadre normatif applicable au traitement des données à caractère personnel en cause est le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO 2018, L 295, p. 39). Ce texte est l’équivalent institutionnel du RGPD (règlement 2016/679), applicable aux organes et institutions de l’Union européenne — dont le CRU fait partie.
II. LES FAITS À L’ORIGINE DU LITIGE
A. LA PROCÉDURE DE RÉSOLUTION ET LA « VALORISATION 3 »
Le 6 août 2018, le CRU a publié, sur son site Internet, l’avis relatif à sa décision préliminaire sur la nécessité ou non d’accorder un dédommagement aux actionnaires et aux créanciers affectés par la résolution de Banco Popular, conformément à l’article 76, §1, sous e), du règlement MRU.
Afin d’être en mesure de prendre une décision finale sur ce point, le CRU a précisé qu’il convenait d’organiser une procédure permettant aux intéressés d’exercer leur droit d’être entendus. Conformément à l’article 20, §§ 16-18, du règlement n° 806/2014, il avait confié à Deloitte, en tant que personne indépendante au sens dudit article, le soin d’effectuer une valorisation de la différence de traitement — dite « valorisation 3 » — afin de déterminer si les actionnaires et les créanciers, ainsi affectés par la mesure de résolution, auraient bénéficié d’un meilleur traitement si l’établissement avait fait l’objet d’une procédure normale d’insolvabilité. Deloitte a transmis cette valorisation 3 au CRU le 14 juin 2018.
B. LA PROCÉDURE DU DROIT D’ÊTRE ENTENDU : PHASE D’INSCRIPTION ET PHASE DE CONSULTATION
Le CRU a organisé la procédure relative au droit d’être entendu en deux phases distinctes, aux traitements de données radicalement différents :
Phase d’inscription : les actionnaires et créanciers intéressés ont fourni des preuves de leur identité ainsi que la preuve de la propriété d’instruments de capital de Banco Popular dépréciés ou convertis et transférés. Ces données d’identification étaient « accessibles à un nombre limité de membres du personnel du CRU chargés du traitement de ces données afin de déterminer l’éligibilité des participants » (point 11 des conclusions de l’Avocat Général). Ces données n’étaient pas visibles par les membres du personnel du CRU chargés du traitement des commentaires reçus lors de la phase de consultation.
Phase de consultation : les actionnaires et créanciers dont l’éligibilité avait été vérifiée ont soumis leurs commentaires sur la décision préliminaire du CRU, à laquelle était annexée la valorisation 3. Lors de cette phase, les commentaires n’étaient identifiés que par référence à un « code alphanumrique » (identifiant unique universel à 33 chiffres, généré de manière aléatoire) « attribué à chaque commentaire soumis au moyen du formulaire » (point 11 des conclusions). Ce code avait été développé à des fins d’audit pour permettre au CRU de vérifier et éventuellement de démontrer a posteriori que chaque commentaire avait été traité et dûment pris en compte.
C. LA TRANSMISSION DES DONNÉES À DELOITTE
Après agrégation, filtrage automatique et catégorisation des commentaires, le CRU a transmis à Deloitte les commentaires relatifs à la valorisation 3 ainsi filtrés, catégorisés et agrégés. Ces commentaires portaient le code alphanumrique précité. Le CRU était le seul à pouvoir relier les commentaires aux données reçues lors de la phase d’inscription.
Un élément factuel crucial est établi par l’arrêt attaqué et non contesté en pourvoi : « Deloitte n’avait pas et n’a toujours pas accès à la base de données collectées lors de la phase d’inscription » (point 12 des conclusions). C’est sur la base de cet état de fait que le Tribunal avait conclu que les données reçues par Deloitte ne constituaient pas, de son point de vue, des données à caractère personnel.
III. LA DÉCISION DU CEPD ET LE RECOURS DU CRU DEVANT LE TRIBUNAL
A. LES RÉCLAMATIONS DES ACTIONNAIRES ET CRÉANCIERS
En 2019, plusieurs actionnaires et créanciers affectés — ci-après les « réclamants » — ont transmis au CEPD, au titre du règlement 2018/1725, cinq réclamations (affaires 2019-947, 2019-998, 2019-999, 2019-1000 et 2019-1122) au motif que la déclaration de confidentialité concernant le traitement des données à caractère personnel publiée par le CRU ne contenait pas de mention sur la transmission à Deloitte des données collectées au moyen du formulaire. Ils alléguaient une violation, par le CRU, de son obligation d’information prévue à l’article 15, §1, sous d), du règlement 2018/1725.
B. LA DÉCISION RÉVISÉE DU CEPD DU 24 NOVEMBRE 2020
Le CEPD a d’abord adopté une décision initiale le 24 juin 2020, annulée à la suite d’une demande de réexamen du CRU, puis remplacée par la décision révisée du 24 novembre 2020 (ci-après la « décision litigieuse »), dont les termes exacts sont les suivants :
« 1. Le CEPD estime que les données que le CRU a partagées avec Deloitte étaient des données pseudonymisées, à la fois parce que les commentaires de la phase de consultation étaient des données à caractère personnel et parce que le CRU partageait le code alphanumérique permettant de relier les réponses reçues lors de la phase d’inscription à celles de la phase de consultation, bien que les données fournies par les participants pour s’identifier lors de la phase d’inscription n’aient pas été communiquées à Deloitte.
2. Le CEPD estime que Deloitte était un destinataire de données à caractère personnel des réclamants au sens de l’article 3, point 13, du règlement 2018/1725. Le fait que Deloitte n’ait pas été mentionné dans la déclaration de confidentialité du CRU en tant que destinataire potentiel des données à caractère personnel collectées et traitées par le CRU, en sa qualité de responsable du traitement dans le cadre de la procédure relative au droit d’être entendu, constitue une violation de l’obligation d’information prévue à l’article 15, §1, sous d), du règlement 2018/1725.
3. À la lumière de toutes les mesures techniques et organisationnelles mises en place par le CRU pour atténuer les risques pour le droit des personnes à la protection des données dans le cadre de la procédure relative au droit d’être entendu, le CEPD décide de ne pas exercer son pouvoir d’adopter des mesures correctrices prévu à l’article 58, §2, du règlement 2018/1725.
4. Le CEPD néanmoins recommande au CRU de s’assurer que ses déclarations de confidentialité dans les futures procédures relatives au droit d’être entendu couvrent le traitement des données à caractère personnel tant lors de la phase d’inscription que lors de la phase de consultation et qu’elles incluent tous les destinataires potentiels des informations collectées, afin de respecter pleinement l’obligation d’informer les personnes concernées conformément à l’article 15 du règlement 2018/1725. »
C. LE RECOURS DU CRU DEVANT LE TRIBUNAL
Par requête déposée au greffe du Tribunal le 1er septembre 2020 et par un mémoire en adaptation déposé le 29 janvier 2021, le CRU a introduit un recours tendant à l’annulation de la décision litigieuse et à la déclaration d’illégalité de la décision initiale. Il a soulevé deux moyens à l’appui du premier chef de conclusions : le premier tiré de la violation de l’article 3, point 1, du règlement 2018/1725, au motif que les informations transmises à Deloitte ne constituaient pas des données à caractère personnel ; le second tiré d’une violation du droit à la bonne administration consacré à l’article 41 de la Charte des droits fondamentaux.
D. L’ARRÊT DU TRIBUNAL DU 26 AVRIL 2023 (T-557/20, EU:T:2023:219)
Le Tribunal a déclaré recevable le premier chef de conclusions et l’a accueilli, annulant la décision litigieuse sans examiner le second moyen. Il a rejeté pour défaut de compétence le second chef de conclusions tendant à la déclaration d’illégalité de la décision initiale.
Sur le fond, le Tribunal a considéré :
1., que le CEPD avait conclu que les informations transmises à Deloitte se rapportaient à une personne physique en se fondant sur une présomption, sans examiner ni le contenu, ni la finalité, ni l’effet des informations transmises à Deloitte — en violation de l’arrêt Nowak.
2., que pour apprécier si les informations transmises à Deloitte constituaient des données à caractère personnel, le CEPD aurait dû examiner si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires. Or, le CEPD s’était contenté d’examiner la possibilité de réidentification du point de vue du CRU et non de Deloitte. Partant, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une personne physique identifiable.
IV. LA PROCÉDURE EN POURVOI DEVANT LA COUR
A. DÉPÔT DU POURVOI ET INTERVENTIONS
Par acte déposé au greffe de la Cour le 5 juillet 2023, le CEPD a formé un pourvoi contre l’arrêt attaqué.
Par ordonnance du Président de la Cour du 29 novembre 2023 (ECLI:EU:C:2023:1036), le Comité européen de la protection des données a été admis à intervenir au soutien des conclusions du CEPD, au motif qu’il justifiait d’un intérêt direct et actuel à la solution du litige au regard de ses missions — notamment veiller à l’application cohérente du RGPD et, par voie de conséquence, du règlement 2018/1725, dont les dispositions doivent être interprétées de manière uniforme avec celles du RGPD.
Par décision du 20 octobre 2023, la Commission européenne a été admise à intervenir au soutien du CRU.
B. LES CONCLUSIONS DES PARTIES
Le CEPD, soutenu par le Comité européen de la protection des données, a conclu à l’annulation de l’arrêt attaqué, à ce que la Cour statue définitivement sur le litige, et à la condamnation du CRU aux dépens.
Le CRU, soutenu par la Commission européenne, a conclu au rejet du pourvoi ; à titre subsidiaire, à l’annulation de la décision litigieuse ; à titre encore plus subsidiaire, au renvoi de l’affaire devant le Tribunal ; et à la condamnation du CEPD aux dépens.
C. LES CONCLUSIONS DE L’AVOCAT GÉNÉRAL
L’Avocat général M. Dean Spielmann a présenté ses conclusions le 6 février 2025 (ECLI:EU:C:2025:59). Il a proposé à la Cour d’annuler l’arrêt attaqué et de renvoyer l’affaire devant le Tribunal pour qu’il statue sur le second moyen soulev devant lui, les dépens étant réservés.
L’Avocat Général Spielmann a développé une analyse en deux branches :
Sur la première branche du premier moyen (rattachement des informations à une personne physique) : il a conclu que les commentaires en cause se rattachaient nécessairement à leurs auteurs, en tant qu’expression de leur opinion subjective, et que l’arrêt du Tribunal était entaché d’une erreur de droit.
Sur la seconde branche du premier moyen (pseudonymisation et identifiabilité) : l’Avocat Général a adopté une position médiane, estimant qu’il y avait lieu de déterminer si la pseudonymisation était « suffisamment robuste » pour conclure que les réclamants n’étaient pas raisonnablement identifiables par Deloitte, tout en estimant — dans le cadre du grief relatif à l’obligation d’information — que cette question était finalement inopérante dès lors que le contrôle de l’obligation d’information devait s’opérer au moment de la collecte et du point de vue du responsable du traitement.
D. LE DISPOSITIF DE L’ARRÊT DU 4 SEPTEMBRE 2025
« 1. L’arrêt du Tribunal de l’Union européenne du 26 avril 2023, CRU/CEPD (T-557/20, EU:T:2023:219), est annulé.
2. L’affaire T-557/20 est renvoyée devant le Tribunal de l’Union européenne.
3. Les dépens sont réservés. »
La Cour a statué définitivement sur le premier moyen du recours (violation de l’article 3, point 1, du règlement 2018/1725), en le rejetant, mais a renvoyé l’affaire au Tribunal pour statuer sur le second moyen (violation du droit à la bonne administration), lequel implique des appréciations factuelles qui n’avaient pas été opérées par le Tribunal.
POINTS ESSENTIELS
L’arrêt C-413/23 P constitue une décision structurante du droit européen de la protection des données, dont les enseignements s’imposent, par voie d’interprétation uniforme (point 52 de l’arrêt, renvoyant aux arrêts OC c. Commission, C-479/22 P, et IAB Europe, C-604/22), à l’ensemble des responsables du traitement soumis au RGPD. Sur le fond, la Cour censure sur deux points l’arrêt du Tribunal du 26 avril 2023 (T-557/20) :
1. La Cour juge que les opinions et points de vue personnels constituent, par nature, des données à caractère personnel de leurs auteurs — « en tant qu’expression de la pensée d’une personne, [ils] sont nécessairement intimement liés à cette dernière » (point 58) —, de sorte que la constatation du seul critère du contenu, révélant que les commentaires litigieux exprimaient les points de vue des réclamants, suffisait à en établir le caractère personnel sans qu’il fût nécessaire d’examiner en outre leur finalité ou leurs effets, ainsi que l’indique l’emploi de la conjonction « ou » dans la jurisprudence Nowak (C-434/16) ;
2. Elle rejette à la fois la thèse maximaliste du CEPD (les données pseudonymisées seraient des données à caractère personnel en toute hypothèse, pour tout destinataire) et la thèse du Tribunal (le CEPD aurait dû apprécier l’identifiabilité du point de vue de Deloitte), en consacrant une approche médiane et circonstanciée : si le CRU, auteur de la pseudonymisation, conserve nécessairement le caractère personnel des données à son égard puisqu’il en détient les clés de réidentification (point 76), Deloitte peut en revanche, sous deux conditions cumulatives, ne pas être destinataire de données à caractère personnel — à savoir que les mesures techniques et organisationnelles l’empêchent effectivement « lors de tout traitement effectué sous son contrôle » de lever la pseudonymisation, et que ces mesures soient « de nature à empêcher [Deloitte] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments » (point 77) ;
3. Enfin, et c’est là la contribution opérationnellement la plus significative, la Cour consacre le principe selon lequel l’obligation d’information relative aux destinataires des données à caractère personnel (article 15, §1, sous d), du règlement 2018/1725 ; article 13, §1, sous e), RGPD) doit être appréciée au moment de la collecte et du point de vue du responsable du traitement, indépendamment du caractère personnel ou non des données du point de vue du destinataire après leur éventuelle pseudonymisation (point 111) — règle qui s’impose à tous les responsables du traitement et implique que toute déclaration de confidentialité recense, dès la collecte, les prestataires ou catégories de prestataires auxquels des données, même pseudonymisées, seront susceptibles d’être transmises ; l’affaire étant renvoyée devant le Tribunal pour qu’il statue sur le second moyen du CRU tiré de la violation du droit à la bonne administration (article 41 de la Charte), la portée définitive de l’arrêt demeure incomplète dans l’attente de la décision de renvoi.
| Problématique | Solution retenue par la Cour | Références |
|---|---|---|
| Opinions et points de vue personnels | Données à caractère personnel par nature, sans analyse de finalité/effet | §§ 56-60, Nowak C-434/16 |
| Pseudonymisation : thèse maximaliste | Rejetée — pas de données à caractère personnel en toute hypothèse pour tout destinataire | §§ 68-90 |
| Pseudonymisation : conditions pour le destinataire | Deux conditions cumulatives : impossibilité de lever la pseudonymisation + impossibilité de réidentification par recoupement | § 77 |
| CRU auteur de la pseudonymisation | Données à caractère personnel en toute hypothèse pour lui | § 76 |
| Obligation d’information (art. 15 §1 d) | Appréciée au moment de la collecte, du point de vue du responsable du traitement | §§ 111-112 |
| Conséquence de l’arrêt | Annulation T-557/20 + renvoi sur le second moyen (droit à la bonne administration) | §§ 117-121 |
30.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats