LA CJUE TRANCHE : L’EXPRESSION DE VOTRE PENSÉE EST, PAR NATURE, UNE DONNÉE À CARACTÈRE PERSONNEL — ET VOUS AVIEZ LE DROIT DE LE SAVOIR AVANT DE LA PARTAGER. LA PSEUDONYMISATION NE BLANCHIT PAS TOUT.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
Ce que la Cour a décidé — et pourquoi cela vous concerne
L’arrêt CEPD/CRU du 4 septembre 2025 (C-413/23 P) répond à deux questions fondamentales pour toute organisation qui collecte des données personnelles puis les transmet à des tiers sous forme pseudonymisée : les opinions personnelles d’une personne sont-elles des données à caractère personnel sans autre examen de leur contenu ? Et du point de vue de qui faut-il apprécier si l’obligation d’information s’applique — celui du destinataire ou celui du responsable du traitement collecteur ?
La Cour de justice répond avec netteté : oui, les opinions personnelles sont intrinsèquement des données à caractère personnel, et non, la perspective du destinataire ne saurait faire disparaître l’obligation d’information qui pèse sur le responsable du traitement dès le moment de la collecte.
II.
Les faits : des commentaires pseudonymisés transmis à un auditeur externe
À la suite de la résolution de Banco Popular Español (2017), le Conseil de résolution unique (CRU) a organisé une procédure de consultation permettant aux anciens actionnaires et créanciers de soumettre des commentaires sur la décision préliminaire d’indemnisation. Le CRU a ensuite transmis certains de ces commentaires à Deloitte, valorisateur indépendant, après les avoir pseudonymisés. Les personnes concernées n’avaient pas été informées de ce transfert. Le Contrôleur européen de la protection des données (CEPD) a constaté une violation de l’obligation d’information du règlement 2018/1725. Le Tribunal a partiellement annulé cette décision, imposant notamment que le CEPD vérifie si les commentaires constituaient des données personnelles du point de vue de Deloitte. Le CEPD a formé un pourvoi.
III.
La nature des opinions personnelles : un lien intrinsèque excluant tout examen de contenu
La Cour juge que le Tribunal a commis une première erreur de droit en exigeant que le CEPD examine le contenu, la finalité ou les effets des commentaires pour conclure qu’ils se « rapportaient » à leurs auteurs. Une opinion ou un point de vue personnel est, par essence, l’expression de la pensée d’une personne — il lui est nécessairement intimement lié. Dès lors que les commentaires exprimaient les opinions personnelles de leurs auteurs, leur qualification de données à caractère personnel s’imposait sans examen supplémentaire de leur contenu. Cette solution couvre toutes les formes d’expression personnelle dans le cadre de procédures administratives, judiciaires ou contractuelles.
IV.
Pseudonymisation : une protection relative et non absolue
Sur la deuxième question, la Cour confirme la position du Tribunal : des données pseudonymisées ne constituent pas, en toute hypothèse et pour toute personne, des données à caractère personnel. L’appréciation du caractère identifiable dépend des circonstances de chaque traitement et des moyens raisonnablement disponibles pour l’acteur concerné. Si Deloitte ne disposait pas des informations permettant d’identifier les auteurs et ne pouvait raisonnablement se les procurer, les données reçues n’avaient pas, pour lui, le caractère de données personnelles. Ce principe de relativité contextuelle confirme la jurisprudence Breyer et interdit toute approche absolutiste — dans un sens comme dans l’autre.
V.
La perspective pertinente pour l’obligation d’information : le responsable du traitement, au moment de la collecte
C’est la précision la plus structurante de l’arrêt. La Cour censure le Tribunal pour avoir jugé que l’obligation d’information devait être appréciée du point de vue de Deloitte après la pseudonymisation. L’obligation d’information s’inscrit dans la relation juridique entre la personne concernée et le responsable du traitement, et porte sur les informations en lien avec la personne telles qu’elles ont été transmises au responsable — donc avant tout transfert à un tiers. En conséquence, le caractère identifiable doit être apprécié au moment de la collecte et du point de vue du responsable du traitement. Le CRU connaissait l’identité des auteurs des commentaires au moment de la collecte ; son obligation d’information s’appliquait donc pleinement, indépendamment de la pseudonymisation ultérieure.
VI.
ALERTES PRATIQUES
DIRECTION GÉNÉRALE / DIRECTION JURIDIQUE
Toute organisation qui collecte des données personnelles dans le cadre de procédures consultatives, de réclamations ou de formulaires d’expression, puis les transmet à des prestataires ou sous-traitants sous forme pseudonymisée, doit informer les personnes concernées avant ce transfert. L’obligation d’information ne disparaît pas parce que les données sont pseudonymisées côté destinataire : elle s’évalue du point de vue du collecteur, au moment de la collecte. Les mentions d’information et les avis de confidentialité doivent donc systématiquement anticiper et mentionner les transmissions à des prestataires externes, même pseudonymisées.
DIRECTION DES RESSOURCES HUMAINES
Les consultations de salariés dans le cadre de procédures internes (évaluations, enquêtes de satisfaction, procédures disciplinaires), dont les résultats sont transmis à des prestataires RH ou à des cabinets de conseil, relèvent du même régime. Les opinions exprimées par les salariés constituent des données à caractère personnel intrinsèquement liées à leurs auteurs. L’information préalable sur la transmission à des tiers est obligatoire, indépendamment de toute pseudonymisation.
POINTS ESSENTIELS
L’arrêt C-413/23 P constitue une décision structurante du droit européen de la protection des données, dont les enseignements s’imposent, par voie d’interprétation uniforme (point 52 de l’arrêt, renvoyant aux arrêts OC c. Commission, C-479/22 P, et IAB Europe, C-604/22), à l’ensemble des responsables du traitement soumis au RGPD. Sur le fond, la Cour censure sur deux points l’arrêt du Tribunal du 26 avril 2023 (T-557/20) :
1. La Cour juge que les opinions et points de vue personnels constituent, par nature, des données à caractère personnel de leurs auteurs — « en tant qu’expression de la pensée d’une personne, [ils] sont nécessairement intimement liés à cette dernière » (point 58) —, de sorte que la constatation du seul critère du contenu, révélant que les commentaires litigieux exprimaient les points de vue des réclamants, suffisait à en établir le caractère personnel sans qu’il fût nécessaire d’examiner en outre leur finalité ou leurs effets, ainsi que l’indique l’emploi de la conjonction « ou » dans la jurisprudence Nowak (C-434/16) ;
2. Elle rejette à la fois la thèse maximaliste du CEPD (les données pseudonymisées seraient des données à caractère personnel en toute hypothèse, pour tout destinataire) et la thèse du Tribunal (le CEPD aurait dû apprécier l’identifiabilité du point de vue de Deloitte), en consacrant une approche médiane et circonstanciée : si le CRU, auteur de la pseudonymisation, conserve nécessairement le caractère personnel des données à son égard puisqu’il en détient les clés de réidentification (point 76), Deloitte peut en revanche, sous deux conditions cumulatives, ne pas être destinataire de données à caractère personnel — à savoir que les mesures techniques et organisationnelles l’empêchent effectivement « lors de tout traitement effectué sous son contrôle » de lever la pseudonymisation, et que ces mesures soient « de nature à empêcher [Deloitte] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments » (point 77) ;
3. Enfin, et c’est là la contribution opérationnellement la plus significative, la Cour consacre le principe selon lequel l’obligation d’information relative aux destinataires des données à caractère personnel (article 15, §1, sous d), du règlement 2018/1725 ; article 13, §1, sous e), RGPD) doit être appréciée au moment de la collecte et du point de vue du responsable du traitement, indépendamment du caractère personnel ou non des données du point de vue du destinataire après leur éventuelle pseudonymisation (point 111) — règle qui s’impose à tous les responsables du traitement et implique que toute déclaration de confidentialité recense, dès la collecte, les prestataires ou catégories de prestataires auxquels des données, même pseudonymisées, seront susceptibles d’être transmises ; l’affaire étant renvoyée devant le Tribunal pour qu’il statue sur le second moyen du CRU tiré de la violation du droit à la bonne administration (article 41 de la Charte), la portée définitive de l’arrêt demeure incomplète dans l’attente de la décision de renvoi.
| Problématique | Solution retenue par la Cour | Références |
|---|---|---|
| Opinions et points de vue personnels | Données à caractère personnel par nature, sans analyse de finalité/effet | §§ 56-60, Nowak C-434/16 |
| Pseudonymisation : thèse maximaliste | Rejetée — pas de données à caractère personnel en toute hypothèse pour tout destinataire | §§ 68-90 |
| Pseudonymisation : conditions pour le destinataire | Deux conditions cumulatives : impossibilité de lever la pseudonymisation + impossibilité de réidentification par recoupement | § 77 |
| CRU auteur de la pseudonymisation | Données à caractère personnel en toute hypothèse pour lui | § 76 |
| Obligation d’information (art. 15 §1 d) | Appréciée au moment de la collecte, du point de vue du responsable du traitement | §§ 111-112 |
| Conséquence de l’arrêt | Annulation T-557/20 + renvoi sur le second moyen (droit à la bonne administration) | §§ 117-121 |
30.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats