LA CJUE TRANCHE : L’EXPRESSION DE VOTRE PENSÉE EST, PAR NATURE, UNE DONNÉE À CARACTÈRE PERSONNEL — ET VOUS AVIEZ LE DROIT DE LE SAVOIR AVANT DE LA PARTAGER. LA PSEUDONYMISATION NE BLANCHIT PAS TOUT.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I. TABLEAU RÉCAPITULATIF DE LA JURISPRUDENCE CITÉE DANS L’ARRÊT ET LES CONCLUSIONS
| # | Référence | ECLI | Objet | Cité dans l’arrêt (§§) | Cité dans les conclusions Avocat Général (§§) | Extrait pertinent |
|---|---|---|---|---|---|---|
| 1 | C-434/16, Nowak** | EU:C:2017:994 | Définition large de la donnée à caractère personnel — informations objectives et subjectives ; test contenu/finalité/effet | 52, 54, 55, 56, 59, 60, 120 | 29, 30, 32, 33, 40, 49 | **« une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne déterminée » |
| 2 | C-582/14, Breyer** | EU:C:2016:779 | Identifiabilité relative — adresse IP dynamique ; voies légales d’accès aux informations supplémentaires | 82, 84, 85, 86 | 53, 54, 57, 63, 70 | **« des données en soi impersonnelles, collectées et conservées par le responsable du traitement se rattachaient tout de même à une personne identifiable, dès lors que le responsable du traitement disposait de voies légales pour obtenir auprès d’autrui des informations supplémentaires permettant d’identifier cette personne » |
| 3 | C-479/22 P, OC c. Commission** | EU:C:2024:215 | Identifiabilité relative — communiqué de presse ; risque d’identification insignifiant ; point de vue du public concerné | 52, 55, 73, 82, 83, 84, 86 | 63, 65, 66 | « un moyen n’est pas susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée lorsque le risque d’une identification paraît en réalité insignifiant » ; **« elle n’a pas examiné si les indications figurant dans ledit communiqué permettaient raisonnablement au public concerné d’identifier cette personne » |
| 4 | C-604/22, IAB Europe** | EU:C:2024:214 | Données en soi impersonnelles devenant personnelles par mise à disposition de tiers ; interprétation uniforme règlement 2018/1725 / RGPD | 52, 55, 73, 82, 85, 86 | 63, 65 | **« des données tant en soi impersonnelles peuvent acquérir un caractère personnel, lorsque le responsable du traitement les met à disposition d’autres personnes disposant de moyens raisonnablement susceptibles de permettre l’identification de la personne concernée » |
| 5 | C-487/21, Österreichische Datenschutzbehörde et CRIF** | EU:C:2023:369 | Données à caractère personnel — informations objectives et subjectives concernant la personne en cause | 54 | 29 | **« des informations, objectives ou subjectives, sous forme d’avis ou d’appréciations, pourraient constituer des données à caractère personnel, à condition que celles-ci concernent la personne en cause » |
| 6 | C-319/22, Gesamtverband Autoteile-Handel (Accès aux informations sur les véhicules)** | EU:C:2023:837 | Données en soi impersonnelles acquérant un caractère personnel par mise à disposition de tiers | 86 | (non cité) | **« des données tant en soi impersonnelles peuvent acquérir un caractère personnel, lorsque le responsable du traitement les met à disposition d’autres personnes disposant de moyens raisonnablement susceptibles de permettre l’identification de la personne concernée » |
| 7 | T-557/20, CRU c. CEPD (arrêt attaqué) | EU:T:2023:219 | Annulation de la décision révisée du CEPD du 24 novembre 2020 — pseudonymisation et identifiabilité du point de vue du destinataire | 1, 17, 56, 57, 60, 75, 77, 83, 97-105, 115 | 1, 15, 17-19 | Cf. texte intégral de l’arrêt attaqué : erreur de droit sur la présomption concernant le rattachement des commentaires ; obligation d’examiner l’identifiabilité du point de vue de Deloitte |
II. ANALYSES DÉTAILLÉES DES DÉCISIONS CLÉS
A. C-434/16, NOWAK (20 DÉCEMBRE 2017, EU:C:2017:994)
Contexte factuel : M. Nowak, candidat à un examen professionnel organisé par l’organisme irlandais d’encadrement des experts-comptables (ACCA), avait exercé son droit d’accès aux données à caractère personnel le concernant en demandant à obtenir une copie de son script d’examen ainsi que les annotations de l’examinateur. L’ACCA avait refusé, considérant que ces documents ne constituaient pas des données à caractère personnel.
Renvoi préjudiciel : La High Court (Irlande) avait posé des questions à la Cour sur la notion de « données à caractère personnel » au sens de la directive 95/46/CE.
Apport jurisprudentiel : La Cour a d’abord rappelé la définition extensive de la donnée à caractère personnel, couvrant toute information « tant objective que subjective, sous forme d’avis ou d’appréciations, à condition cependant que celles-ci concernent la personne en cause » (points 34-35). Elle a jugé que les réponses d’un candidat à un examen et les annotations de l’examinateur constituent des données à caractère personnel, les premières se rapportant au candidat par leur contenu (réponses reflétant ses connaissances), leur finalité (évaluation de ses compétences) et leurs effets (impact sur son parcours professionnel), les secondes au candidat en tant que sujet de l’évaluation.
Utilisation dans C-413/23 P (§§ 52, 54, 55, 56, 59, 60, 120) : La Cour de justice s’appuie sur Nowak pour rappeler que l’examen du contenu, de la finalité ou des effets est alternatif (conjonction « ou ») et non cumulatif. Elle en déduit que l’examen du seul contenu des commentaires — constatant qu’ils expriment les opinions et points de vue personnels de leurs auteurs — suffisait pour conclure au rattachement à une personne physique.
B. C-582/14, BREYER (19 OCTOBRE 2016, EU:C:2016:779)
Contexte factuel : M. Breyer, citoyen allemand, avait consulté des sites Internet de services fédéraux allemands qui avaient enregistré son adresse IP dynamique. Ces adresses étaient, en elles-mêmes, insuffisantes pour identifier M. Breyer — seul le fournisseur d’accès à Internet (FAI) disposait de l’information permettant d’établir le lien entre l’adresse IP et l’abonné. La question était de savoir si l’adresse IP dynamique constituait une donnée à caractère personnel du point de vue du prestataire de services en ligne.
Apport jurisprudentiel : La Cour a posé le principe de l’identifiabilité relative : les données en soi impersonnelles se rattachent à une personne identifiable, même si le responsable du traitement ne dispose pas directement des informations permettant l’identification, dès lors qu’il dispose de voies légales pour les obtenir auprès d’un tiers (points 44, 47 et 48). La Cour a par ailleurs précisé que les moyens permettant l’identification ne sont pas raisonnablement susceptibles d’être mis en œuvre lorsque l’identification est « interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré » (point 46).
Utilisation dans C-413/23 P (§§ 82, 84, 85, 86) : La Cour rappelle les enseignements de Breyer pour illustrer la jurisprudence relative à l’appréciation contextuelle de l’identifiabilité et à la notion de moyens raisonnablement susceptibles d’être mis en œuvre pour identifier la personne concernée. Elle établit le parallèle avec la situation du CRU, qui — contrairement à Deloitte — dispose des informations d’identification.
C. C-479/22 P, OC C. COMMISSION (7 MARS 2024, EU:C:2024:215)
Contexte factuel : Un agent de la Commission européenne avait fait l’objet d’un communiqué de presse publié sur le site de la Commission comportant des informations relatives à une procédure disciplinaire le concernant, sans le désigner nommément. La question était de savoir si ces informations constituaient des données à caractère personnel, et si la Commission avait méconnu le règlement 45/2001 en les publiant.
Apport jurisprudentiel : La Cour a confirmé que l’appréciation de l’identifiabilité ne saurait se limiter à la constatation que le responsable du traitement dispose de l’ensemble des informations permettant d’identifier la personne concernée. Il faut encore examiner si les informations publiées permettaient raisonnablement au public concerné d’identifier cette personne — notamment « au moyen d’une combinaison de ces indications avec des informations disponibles sur Internet » (points 52-64). Elle a également précisé que l’identification doit être regardée comme irréalisable en pratique lorsqu’elle « impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre » (point 51).
Utilisation dans C-413/23 P (§§ 52, 55, 73, 82, 83, 84, 86) : La Cour s’appuie sur cet arrêt pour établir le principe d’uniformité d’interprétation entre le règlement 2018/1725 et le RGPD, et pour rappeler les critères de l’identifiabilité relative dans le cadre de l’appréciation des mesures de pseudonymisation.
D. C-604/22, IAB EUROPE (7 MARS 2024, EU:C:2024:214)
Contexte factuel : IAB Europe, association du secteur de la publicité numérique, avait élaboré le Transparency and Consent Framework (TCF), qui génère un signal de préférences de consentement des utilisateurs sous forme d’une chaîne encodée (TC String). La question était notamment de savoir si cette TC String constituait une donnée à caractère personnel.
Apport jurisprudentiel : La Cour a jugé que des données en soi impersonnelles peuvent acquérir un caractère personnel lorsqu’elles sont « mises à disposition d’autres personnes disposant de moyens raisonnablement susceptibles de permettre l’identification de la personne concernée » (points 43 et 48). Dans ce contexte, les données présentent un caractère personnel « tant pour ces personnes que, indirectement, pour le responsable du traitement ». La Cour a également confirmé l’interprétation uniforme des notions clés entre le règlement 2018/1725 et le RGPD (point 33).
Utilisation dans C-413/23 P (§§ 52, 55, 73, 82, 85, 86) : La Cour complète avec cet arrêt la synthèse jurisprudentielle sur l’identifiabilité relative, et établit que la mise à disposition de données à des tiers peut faire acquérir à des données en soi impersonnelles un caractère personnel — ce qui constitue le pendant symétrique du cas d’espèce, où il s’agit de déterminer si la pseudonymisation peut, à l’inverse, faire perdre à des données leur caractère personnel du point de vue du destinataire.
E. C-487/21, ÖSTERREICHISCHE DATENSCHUTZBEHÖRDE ET CRIF (4 MAI 2023, EU:C:2023:369)
Contexte factuel : Une demande de décision préjudicielle relative à l’étendue du droit d’accès prévu à l’article 15 du RGPD, notamment sur la question de savoir si des informations subjectives peuvent constituer des données à caractère personnel.
Apport jurisprudentiel : La Cour a rappelé que des informations « objectives ou subjectives, sous forme d’avis ou d’appréciations » constituent des données à caractère personnel « à condition que celles-ci concernent la personne en cause » (points 23 et 24).
Utilisation dans C-413/23 P (§ 54) : Cité conjointement avec Nowak pour confirmer que la qualification de donnée à caractère personnel s’étend aux informations subjectives.
F. C-319/22, GESAMTVERBAND AUTOTEILE-HANDEL (9 NOVEMBRE 2023, EU:C:2023:837)
Contexte factuel : Affaire relative à l’accès aux informations sur les véhicules dans le cadre du RGPD, portant notamment sur la qualification de données à caractère personnel d’informations liées à des véhicules.
Apport jurisprudentiel : Confirmation du principe selon lequel des données en soi impersonnelles peuvent acquérir un caractère personnel par mise à disposition de tiers disposant de moyens d’identification (points 46 et 49).
Utilisation dans C-413/23 P (§ 86) : Cité pour compléter la synthèse des arrêts Breyer et IAB Europe sur la question de l’identifiabilité par mise à disposition à des tiers.
POINTS ESSENTIELS
L’arrêt C-413/23 P constitue une décision structurante du droit européen de la protection des données, dont les enseignements s’imposent, par voie d’interprétation uniforme (point 52 de l’arrêt, renvoyant aux arrêts OC c. Commission, C-479/22 P, et IAB Europe, C-604/22), à l’ensemble des responsables du traitement soumis au RGPD. Sur le fond, la Cour censure sur deux points l’arrêt du Tribunal du 26 avril 2023 (T-557/20) :
1. La Cour juge que les opinions et points de vue personnels constituent, par nature, des données à caractère personnel de leurs auteurs — « en tant qu’expression de la pensée d’une personne, [ils] sont nécessairement intimement liés à cette dernière » (point 58) —, de sorte que la constatation du seul critère du contenu, révélant que les commentaires litigieux exprimaient les points de vue des réclamants, suffisait à en établir le caractère personnel sans qu’il fût nécessaire d’examiner en outre leur finalité ou leurs effets, ainsi que l’indique l’emploi de la conjonction « ou » dans la jurisprudence Nowak (C-434/16) ;
2. Elle rejette à la fois la thèse maximaliste du CEPD (les données pseudonymisées seraient des données à caractère personnel en toute hypothèse, pour tout destinataire) et la thèse du Tribunal (le CEPD aurait dû apprécier l’identifiabilité du point de vue de Deloitte), en consacrant une approche médiane et circonstanciée : si le CRU, auteur de la pseudonymisation, conserve nécessairement le caractère personnel des données à son égard puisqu’il en détient les clés de réidentification (point 76), Deloitte peut en revanche, sous deux conditions cumulatives, ne pas être destinataire de données à caractère personnel — à savoir que les mesures techniques et organisationnelles l’empêchent effectivement « lors de tout traitement effectué sous son contrôle » de lever la pseudonymisation, et que ces mesures soient « de nature à empêcher [Deloitte] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments » (point 77) ;
3. Enfin, et c’est là la contribution opérationnellement la plus significative, la Cour consacre le principe selon lequel l’obligation d’information relative aux destinataires des données à caractère personnel (article 15, §1, sous d), du règlement 2018/1725 ; article 13, §1, sous e), RGPD) doit être appréciée au moment de la collecte et du point de vue du responsable du traitement, indépendamment du caractère personnel ou non des données du point de vue du destinataire après leur éventuelle pseudonymisation (point 111) — règle qui s’impose à tous les responsables du traitement et implique que toute déclaration de confidentialité recense, dès la collecte, les prestataires ou catégories de prestataires auxquels des données, même pseudonymisées, seront susceptibles d’être transmises ; l’affaire étant renvoyée devant le Tribunal pour qu’il statue sur le second moyen du CRU tiré de la violation du droit à la bonne administration (article 41 de la Charte), la portée définitive de l’arrêt demeure incomplète dans l’attente de la décision de renvoi.
| Problématique | Solution retenue par la Cour | Références |
|---|---|---|
| Opinions et points de vue personnels | Données à caractère personnel par nature, sans analyse de finalité/effet | §§ 56-60, Nowak C-434/16 |
| Pseudonymisation : thèse maximaliste | Rejetée — pas de données à caractère personnel en toute hypothèse pour tout destinataire | §§ 68-90 |
| Pseudonymisation : conditions pour le destinataire | Deux conditions cumulatives : impossibilité de lever la pseudonymisation + impossibilité de réidentification par recoupement | § 77 |
| CRU auteur de la pseudonymisation | Données à caractère personnel en toute hypothèse pour lui | § 76 |
| Obligation d’information (art. 15 §1 d) | Appréciée au moment de la collecte, du point de vue du responsable du traitement | §§ 111-112 |
| Conséquence de l’arrêt | Annulation T-557/20 + renvoi sur le second moyen (droit à la bonne administration) | §§ 117-121 |
30.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats