<= Revenir à la Lettre d'actualités juridiques
Droit des données
le 18/09/2025
David CONERARDYDavid CONERARDY

Pseudonymisation : quand la donnée change de nature selon celui qui la détient

Par un arrêt du 4 septembre 2025 (C-413/23 P, CEPD/CRU), la Cour de justice de l’Union européenne livre une décision appelée à marquer durablement le droit de la protection des données. Elle clarifie la qualification juridique des données pseudonymisées et l’étendue des obligations d’information des responsables de traitement au titre du règlement (UE) 2018/1725, en cohérence avec le RGPD.

Le contexte

L’affaire trouve son origine dans la résolution de Banco Popular Español par le Conseil de résolution unique (CRU). Les actionnaires et créanciers de la banque, invités à formuler des commentaires sur l’opération de résolution et sur l’éventuelle indemnisation, voyaient leurs données collectées par le CRU au moyen d’un formulaire en ligne. Pour l’analyse de ces commentaires, une partie a été transmise au cabinet Deloitte, désigné « tiers évaluateur », après pseudonymisation. Les plaignants reprochaient au CRU de ne pas les avoir informés de ce transfert.

Saisi, le Contrôleur européen de la protection des données (CEPD) a considéré que les données transmises restaient des données à caractère personnel et que Deloitte devait être mentionné comme destinataire. Le Tribunal de l’UE a annulé cette décision, estimant que la qualification devait s’apprécier du point de vue de Deloitte, qui n’avait pas la possibilité de ré-identifier. Le CEPD a formé pourvoi.

La solution de la Cour

La Cour annule l’arrêt du tribunal et pose plusieurs principes structurants :

  1. Une dissociation est possible. Pour le responsable qui collecte et pseudonymise les données (ici le CRU), celles-ci restent des données personnelles car il conserve la clé d’identification. Pour le destinataire (ici Deloitte), dépourvu de moyens raisonnables de ré-identifier, elles peuvent perdre leur caractère personnel. Autrement dit, la qualification peut varier selon l’acteur.
  2. L’obligation d’information pèse sur le responsable initial. Même si le destinataire ne peut pas ré-identifier, le responsable doit informer la personne concernée du transfert envisagé, conformément à l’article 15, §1, d) du règlement 2018/1725 (équivalent des articles 13 et 14 RGPD). Cette information doit être donnée au moment de la collecte, afin de permettre un consentement éclairé.
  3. Le destinataire non-ré-identifiant n’a pas d’obligation d’information. Lorsqu’un tiers reçoit des données pseudonymisées sans avoir de moyens raisonnablement mobilisables pour « repersonnaliser » celles-ci, il n’est pas tenu d’informer les personnes concernées, faute d’être en mesure de les identifier.

La portée de l’arrêt

L’apport est double. D’une part, la CJUE confirme que la pseudonymisation n’équivaut pas à une anonymisation : la donnée reste personnelle pour celui qui détient la clé ou peut la reconstituer. Mais elle admet que, dans certains cas, la donnée peut ne plus être « personnelle » pour un destinataire tiers. D’autre part, elle souligne que l’obligation d’information doit être envisagée exclusivement du point de vue du responsable collecteur et non du destinataire : ce qui compte est la relation initiale entre la personne concernée et le responsable qui collecte.

Au-delà du cas d’espèce, la décision intéresse directement toutes les situations de réutilisation de données pseudonymisées (statistiques, recherche, analyses de marché). Elle invite les responsables à :

  • qualifier distinctement les rôles et capacités de ré-identification de chaque acteur ;
  • maintenir une information complète et loyale des personnes dès la collecte, même en cas de transfert vers un tiers techniquement incapable de ré-identifier ;
  • sécuriser contractuellement et techniquement l’impossibilité de ré-identification côté destinataires.

En filigrane, la CJUE insiste sur le rôle structurant de l’information des personnes : condition de validité du consentement, elle constitue un levier central de confiance. L’arrêt ouvre cependant une brèche conceptuelle en reconnaissant que le caractère « personnel » d’une donnée peut dépendre de la position de l’acteur qui la détient — un pas supplémentaire vers une approche pragmatique et contextuelle de la notion de données à caractère personnel.