Le 4 septembre 2025, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt (affaire C-413/23 P) apportant des précisions importantes sur la protection des données. Au cœur des débats : la frontière entre la pseudonymisation et l’anonymisation. Pour les professionnels du RGPD (Réglement Général sur la Protection des Données), mais aussi pour les organismes habitués des transferts et partages d’informations, cette clarification aura des impacts concrets sur la manière dont les données sont traitées et transférées.
Pourquoi cet arrêt est-il important ?
Depuis l’entrée en application du RGPD, la distinction entre données pseudonymisées et données anonymisées est un sujet de discussion et d’interprétation entre les organismes. L’enjeu est de taille, car de cette qualification dépend l’application (ou non) de l’ensemble du règlement. Se confrontent alors parfois idéologie et pragmatisme, que l’on rencontre par ailleurs dans cette affaire : une donnée pseudonyme n’est pas anonyme, et ne sort donc pas du champ d’application du RGPD, néanmoins cette donnée pseudonyme ne répond parfois pas à la définition de donnée à caractère personnel présente à l’article 4 du RGPD, notamment lorsque le destinataire des informations ne dispose pas de moyen pour obtenir la donnée dans son état initial.
Petit rappel : pseudonymisation et anonymisation
Pour bien comprendre, rappelons rapidement la différence fondamentale :
L’anonymisation est un traitement irréversible qui supprime tout lien entre la donnée et une personne physique. La donnée est transformée de manière à ce que les informations finalement conservées ne soient plus suffisantes pour identifier une personne, directement ou par le biais d’autres informations. Une fois anonymisées, les données sortent du champ d’application du RGPD.
La pseudonymisation remplace les données directement identifiantes par un pseudonyme (un code, un alias…). Le processus est réversible : une « clé de correspondance » permet de ré-identifier la personne. Les données pseudonymisées restent donc des données à caractère personnel et sont soumises au RGPD.
L’enjeu de la qualification : tout le RGPD en dépend
Qualifier une donnée de « personnelle » ou « anonyme » n’est pas exercice simple, et n’est pas dénoué de sens. C’est le déclencheur de toutes les obligations du RGPD :
Droits des personnes (accès, rectification, suppression…).
Obligations du responsable de traitement (tenue d’un registre, analyses d’impact, notifications de violation…).
Règles sur les transferts de données hors UE.
Permettre une interprétation plus souple de l’anonymisation pourrait alléger les contraintes pour certains traitements, notamment dans la recherche ou l’analyse statistique, mais porte le risque que des organismes sécurisent peu ou moins bien les données personnelles qu’ils traitent. À l’inverse, une approche trop stricte risquerait de freiner l’innovation, la recherche médicale, etc. L’équilibre à trouver est donc délicat.
Résumé de l’affaire : des données pseudonymisées, et un transfert
Pour comprendre cet arrêt, il faut revenir aux faits.
Le contexte : un transfert contenant des commentaires d’actionnaires
Sans entrer dans le détail de la décision, une agence européenne (le Conseil de Résolution Unique, ou « CRU ») a transmis des informations concernant des actionnaires et créanciers d’une banque espagnole à un cabinet de conseil connu (Deloitte).
Pour permettre ce transfert tout en assurant la sécurité des données, et surtout pour respecter la vie privée des actionnaires, des informations partagées, notamment des commentaires, ont été pseudonymisés. Concrètement, un code alphanumérique à 8 chiffres a été associé à chaque commentaire, et permettait au CRU de savoir à quel actionnaire ou créancier correspondait un commentaire, sans pour autant que le cabinet ne soit en capacité d’identifier les personnes à partir de ces seules informations.
La plainte et la décision du CEPD
Plusieurs actionnaires ont cependant déposé une plainte auprès du Contrôleur européen de la protection des données (CEPD). Le CEPD a conclu que le CRU avait manqué à son obligation de transparence, car il aurait dû les informer du transfert de leurs données à un destinataire tiers.
Les trois points à retenir de la décision de la CJUE
La nature d’une donnée est relative (personnelle pour l’un, anonyme pour l’autre)
Il s’agit de l’apport le plus significatif de la décision. La CJUE adopte une approche « relative » de la notion de donnée personnelle. Elle affirme que le caractère personnel d’une information doit être évalué du point de vue de la personne qui la détient.
Dans cette affaire, il a été décidé que :
Pour le CRU, les données restaient personnelles, car il détenait la clé de ré-identification des actionnaires et créanciers.
Pour Deloitte, qui a reçu les données codées sans la clé, ces informations ne sont pas considérées comme des données personnelles, car Deloitte n’a aucun moyen raisonnable de remonter jusqu’à l’identité des personnes (donc aucun moyen de les « identifier », l’un des critères fondamentaux de la définition de « donnée à caractère personnel »).
En d’autres termes, une même donnée peut simultanément être une donnée personnelle pour une entité et une donnée anonyme pour une autre. Le contexte et les moyens à disposition du détenteur sont donc déterminants.
Une pseudonymisation « forte » peut valoir anonymisation pour le destinataire
Cet arrêt consacre l’idée qu’un transfert de données pseudonymisées peut être considéré comme un transfert de données anonymes, mais à une condition stricte : que le destinataire ne dispose pas des moyens raisonnablement susceptibles d’être mis en œuvre pour ré-identifier les personnes.
Cela signifie qu’une simple pseudonymisation ne suffit pas. Il faut s’assurer que la clé de correspondance est conservée en toute sécurité par l’émetteur et que le destinataire n’a ni les moyens techniques, ni les moyens légaux d’y accéder ou de reconstituer l’identité par d’autres biais. C’est cette « étanchéité » entre les données et la clé qui fait basculer la qualification du côté du destinataire.
La transparence reste un principe fondamental pour le responsable de traitement
Bien qu’elle affirme qu’une donnée pseudonyme pour un organisme émetteur peut être considérée comme anonyme par le destinataire, et donc sortir du champ d’application du RGPD pour les opérations que le destinataire met en oeuvre, la CJUE est cependant claire sur ce point : le responsable de traitement initial (le CRU) avait bel et bien l’obligation d’informer les personnes concernées de ce transfert.
Pourquoi ? Parce que du point de vue du CRU, il s’agissait bien d’un traitement de données personnelles. L’obligation de transparence du RGPD s’appliquait donc toujours pleinement. Le fait que les données deviennent anonymes « en aval » ne dispense pas le responsable de traitement de ses obligations « en amont ».
_____________________________________
Vous avez des questions sur la protection des données personnelles au sein de votre organisme ? Contactez-nous pour découvrir comment nous accompagnons entreprises et administrations dans leur démarche de conformité.