La CJUE clarifie les limites entre données pseudonymisées et données personnelles
La Cour de justice de l’Union européenne (CJUE) a récemment rendu une décision notable en la matière (affaire C-413/23 P – EDPS c/ Single Resolution Board, 4 septembre 2025), précisant que les données pseudonymisées ne constituent pas toujours des données personnelles.
Une nuance essentielle, notamment pour les acteurs du numérique et de l’intelligence artificielle, qui manipulent quotidiennement des volumes massifs de données.
Pseudonymisation : quand les données sortent (ou non) du champ du RGPD
Selon la CJUE, la qualification de donnée personnelle dépend du contexte et des moyens « raisonnablement susceptibles » d’être utilisés pour identifier une personne.
Autrement dit, si une entité reçoit un jeu de données pseudonymisées sans détenir les clés ou les informations permettant d’identifier à nouveau les individus, ces données pourront être considérées comme non personnelles pour cette dernière.
Cette précision est capitale : elle ouvre la voie à des possibilités nouvelles en matière d’usages et de transferts de données – par exemple pour entraîner des modèles d’IA ou pour l’établissement de statistiques – tout en rappelant que l’évaluation doit se faire au cas par cas, et toujours de manière respectueuse du RGPD.
À l’origine : un litige entre le SRB, Deloitte et l’EDPS
L’affaire trouve son origine dans une procédure du Single Resolution Board (SRB), organe européen chargé de la résolution des banques en difficulté. Le SRB avait recueilli les opinions d’actionnaires et créanciers concernés, puis transmis ces contributions au cabinet de conseil Deloitte, non sans avoir pris préalablement soin de « pseudonymiser » lesdites données en remplaçant les noms par des codes alphanumériques.
Saisi de plusieurs plaintes, le Contrôleur européen de la protection des données (EDPS) avait reproché au SRB de ne pas avoir informé les participants de ce partage de données pseudonymisées, en violation du Règlement (UE) 2018/1725, équivalent du RGPD pour les institutions européennes.
Le SRB estimait, au contraire, que les informations transmises étaient « anonymisées » et échappaient donc à ladite réglementation…
Le raisonnement de la CJUE : la relativité de la notion de donnée personnelle
Dans son arrêt, la CJUE confirme que la définition de la donnée personnelle au titre du Règlement 2018/1725 est identique à celle du RGPD.
Surtout, elle précise que la pseudonymisation de données peut, dans certains cas, empêcher toute identification des personnes concernées par des tiers. Ainsi, les données initiales ne demeurent pas nécessairement personnelles pour tous et en toutes circonstances.
Concrètement, si seul le responsable de traitement initial (ici, le SRB) détient la clé de correspondance entre les données et les personnes qu’elles concernent, un destinataire externe (comme Deloitte) pourrait être considéré comme n’ayant accès qu’à des données non personnelles – à condition toutefois qu’il ne puisse pas les recouper avec d’autres informations permettant de “lever” la pseudonymisation… !
Une obligation d’information qui reste à la charge du responsable de traitement
La CJUE ne manque néanmoins pas de rappeler un principe fondamental : le responsable de traitement doit informer les personnes concernées, au moment de la collecte, des destinataires ou des catégories de destinataires de leurs données (article 13 du RGPD).
Cette obligation s’apprécie du point de vue du responsable au moment de la collecte, et non pas du destinataire. Ainsi, quand bien même le tiers destinataire ne pourrait pas réidentifier seul les personnes concernées, le responsable initial devra systématiquement définir et préciser la transmission envisagée dans ses politiques de confidentialité.
En pratique : quelles conséquences pour les organisations ?
- Données pseudonymisées ≠ données personnelles (dans tous les cas) : La CJUE confirme que la pseudonymisation peut, dans certains contextes, faire sortir les données du champ du RGPD. Cependant, la barre reste haute : les entreprises doivent évaluer rigoureusement les « moyens raisonnablement susceptibles » d’entraîner une réidentification.
- Transparence renforcée : Les organismes qui partagent des données, même pseudonymisées, doivent prévoir une mention d’information afin d’indiquer clairement aux personnes dont les données personnelles sont traitées, les destinataires ou catégories de destinataires de ces dernières.
- Évaluations au cas par cas : Pour d’autres obligations (évaluation d’intérêt légitime, analyse d’impact, etc.), il faudra examiner si, du point de vue du destinataire, les données peuvent encore être considérées comme personnelles.
Conclusion
La CJUE offre ainsi une clarification bienvenue notamment pour les acteurs du numérique : la pseudonymisation n’anonymise pas automatiquement les données, mais elle peut les faire sortir – au moins partiellement – du champ de la protection des données selon le contexte et les moyens techniques disponibles.
Une décision équilibrée qui, sans freiner l’innovation, réaffirme la nécessité de transparence et de responsabilité dans le traitement des données personnelles.