Quand la pseudonymisation change de visage

Dans une décision très attendue du 4 septembre 2025[1] (Affaire C-413/23 P), la Cour de justice de l’Union européenne a apporté une précision inédite sur la notion de données dites « pseudonymisées ».

L’affaire trouve son origine dans une procédure engagée par le Conseil de résolution unique (CRU) à l’encontre de la banque espagnole Banco Popular Español. Dans le cadre de cette procédure, le CRU a transmis à un tiers, la société Deloitte, des commentaires rédigés par des actionnaires, sous une forme pseudonymisée. Saisi de la question, le Contrôleur européen de la protection des données (CEPD) a considéré que Deloitte aurait dû être mentionné comme destinataire des données, estimant que la pseudonymisation ne faisait pas perdre à ces informations leur caractère personnel.

Il y a lieu de rappeler que Règlement européen de protection des données personnelles[2] (RGPD) définit les données à caractère personnel comme toutes informations permettant d’identifier, directement ou indirectement, une personne physique. La pseudonymisation consiste à transformer ces données aux fins que celles-ci ne puissent plus être attribuées à une personne physique sans informations supplémentaires. Contrairement à l’anonymisation, qui supprime toute possibilité d’identification, la pseudonymisation ne fait qu’atténuer le caractère identifiant des données, sans l’effacer totalement.

Restait en l’espèce à déterminer si l’existence d’une clé de réidentification, même lorsqu’elle demeure exclusivement entre les mains du responsable initial, emporte le maintien de la qualification de donnée à caractère personnel pour l’ensemble des acteurs d’une même chaîne de traitement.

Jusqu’alors, la doctrine, les autorités de protection et le CEPD avaient retenu une approche absolue : toute donnée pseudonymisée restait une donnée personnelle, indépendamment du contexte et des moyens disponibles pour le destinataire. Le CRU et la Commission Européenne, en revanche, soutenaient une approche relative : la qualification devait dépendre des moyens effectivement accessibles au destinataire. Si celui-ci ne dispose pas de moyens réalistes de réidentification, les données pseudonymisées ne devraient pas être considérées comme personnelles à son égard.

Dans cette décision, la CJUE a retenu une solution intermédiaire et a affirmé que, pour le responsable du traitement qui conserve la clé de réidentification, la donnée pseudonymisée demeure pleinement une donnée à caractère personnel. En revanche, pour un destinataire qui ne dispose pas de moyens raisonnablement susceptibles d’être utilisés afin de réidentifier les personnes concernées, les mêmes informations cessent d’être qualifiées de données à caractère personnel au sens du RGPD.

En d’autres termes, la CJUE a estimé que les données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour tout acteur d’une chaine de traitement, des données à caractère personnel au sens du RGPD.

En outre, la CJUE a précisé que l’appréciation du caractère identifiable devait être réalisée au moment de la collecte et du point de vue du responsable du traitement, en tenant compte d’un ensemble de circonstances concrètes, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement.

Cette clarification entraîne des conséquences pratiques notables. Le responsable de traitement initial demeure tenu d’informer les personnes concernées des destinataires des données dès la collecte, même si, pour ces destinataires, les informations ne permettent pas une réidentification. Cette exigence confirme que la charge principale de la conformité pèse ainsi sur celui qui détient la clé de réidentification et conserve la faculté de relier les données pseudonymisées à des individus identifiables. En revanche, un destinataire qui ne peut matériellement ou juridiquement procéder à une réidentification n’est pas astreint aux mêmes obligations, notamment celle d’informer directement les personnes concernées.

Il conviendra dès lors d’être particulièrement vigilant sur la détermination des rôles de chacun des acteurs d’une chaîne de traitement ainsi que sur leurs capacités, en présence de données pseudonymisées, de réidentification des personnes concernées. En toute hypothèse, en cas de transmission à des tiers desdites données, il conviendra de garantir contractuellement et techniquement l’impossibilité pour les tiers destinataires de réidentifier les personnes concernées.

En définitive, cette décision marque un tournant dans l’approche européenne de la pseudonymisation. Celle-ci n’apparaît plus uniquement comme une mesure de sécurité, mais comme un mécanisme susceptible, selon le contexte, de transformer des données personnelles en données non personnelles pour certains acteurs d’une même chaine de traitement. Cette lecture contextuelle consacre une évolution vers un droit plus pragmatique, qui recentre la responsabilité sur les acteurs effectivement en mesure de réidentifier les personnes concernées, tout en offrant des perspectives nouvelles aux destinataires des données ne disposant pas d’une clé de réidentification et susceptibles ainsi de procéder à des traitement ultérieurs (traitement analytiques, statistiques, etc.) sans se soumettre au RGPD.

---

[1]https://curia.europa.eu/juris/document/document.jsf?text=&docid=303863&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=17325908

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).