Pseudonymisation : un levier juridique sous conditions

La décision rendue par la Cour de justice de l’Union européenne le 4 septembre 2025 dans l’affaire opposant le CEPD au CRU (Affaire C-413/23 P) marque une évolution importante dans la manière dont les données pseudonymisées doivent être appréhendées au regard du RGPD. Si le contexte de l’affaire est très spécifique, les enseignements tirés par la CJUE ont une portée beaucoup plus large. Ils concernent directement les entreprises qui partagent des données pseudonymisées avec des partenaires externes, notamment dans le cadre d’activités de marketing, d’analytique ou d’entraînement de modèles d’intelligence artificielle.

Le litige trouve son origine dans la procédure de résolution menée par l’autorité de résolution de l’Union bancaire européenne, le Conseil de résolution unique (CRU ou SRB), qui avait mis en place un mécanisme de consultation des actionnaires et créanciers. Ces derniers pouvaient soumettre des commentaires, lesquels ont ensuite été pseudonymisés (suppression des identifiants directs et attribution d’un code alphanumérique) puis transmis à Deloitte pour analyse. Le CRU n’avait pas informé les personnes concernées de cette transmission, estimant que les données ainsi partagées n’étaient plus des données à caractère personnel. Le Contrôleur européen de la protection des données (CEPD ou EDPS) a toutefois considéré que cette transmission violait les règles de transparence prévues par le Règlement 2018/1725, applicable aux institutions européennes. Le Tribunal de l’UE, dans un arrêt de 2023, avait donné raison au CRU en considérant que les données, du point de vue de Deloitte, n’étaient plus personnelles, faute de moyen d’identification.

La CJUE annule cette décision et en tire plusieurs principes à portée générale, bien au-delà du seul secteur public.

Bien que l’arrêt porte sur le règlement 2018/1725, applicable aux institutions de l’Union, la Cour souligne que la définition de donnée à caractère personnel qu’il contient est, en substance, identique à celle du RGPD. Elle précise qu’une interprétation uniforme de ces textes est nécessaire pour garantir la cohérence du droit de l’Union. Les enseignements de cette décision s’appliquent donc pleinement aux acteurs privés soumis au RGPD.

Une même donnée, des qualifications différentes

D’abord, la Cour rappelle que la notion de donnée à caractère personnel ne dépend pas uniquement de la capacité du destinataire à identifier une personne, mais aussi du lien intrinsèque entre l’information et la personne concernée. Autrement dit, une opinion, même pseudonymisée, peut toujours « concerner » son auteur, dans la mesure où elle reflète ses convictions, son vécu ou son positionnement. La Cour précise qu’il n’est pas nécessaire de démontrer que l’information produit un effet sur la personne concernée pour qu’elle soit qualifiée de donnée personnelle.

Ensuite, la CJUE confirme que la qualification d’une donnée comme personnelle doit être analysée contextuellement. Pour le CRU, qui conservait les moyens de ré-identification, les données restaient manifestement des données personnelles. Pour Deloitte, qui n’avait pas accès à ces moyens, les données pouvaient, sous conditions, ne pas relever du champ du RGPD. Autrement dit, une même donnée peut être personnelle pour l’un, mais non personnelle pour l’autre, selon les moyens raisonnablement accessibles. Ce test relatif n’est pas nouveau (cf. affaire Breyer), mais il est ici précisé dans un contexte de partage de données pseudonymisées entre acteurs indépendants.

Enfin, et c’est le point décisif dans l’analyse de la CJUE, le fait que le destinataire ne puisse pas ré-identifier les personnes ne dispense pas le responsable initial de respecter les obligations de transparence prévues par les textes. En l’espèce, le CRU aurait dû informer les participants que leurs commentaires, même pseudonymisés, seraient transmis à un tiers pour analyse. Cette obligation découle directement du fait que le CRU restait en possession de la clé de correspondance.

Cette décision laisse néanmoins ouvertes certaines questions importantes, notamment concernant le rôle exact du destinataire des données et l’incidence de la base légale retenue par le responsable initial.

Des zones grises à clarifier : rôle du destinataire et base légale

D’une part, bien que la décision ne tranche pas la question, le rôle exact du destinataire des données (responsable autonome ou sous-traitant) pourrait avoir une incidence pratique importante. Dans l’affaire CRU, Deloitte agissait en tant que prestataire indépendant, chargé d’analyser les réponses dans le cadre d’une mission d’évaluation. La Cour insiste sur le fait que l’évaluation de la qualification de la donnée dépend du point de vue du destinataire et de ses capacités raisonnables d’identification. Or, cette approche contextuelle ne peut pas être appliquée de la même manière lorsqu’il s’agit d’un sous-traitant. En effet, un sous-traitant agit pour le compte du responsable de traitement, selon ses instructions documentées, et sous son autorité. Il n’est pas autonome dans la détermination des finalités ou des moyens du traitement. Sur le plan juridique, il est donc considéré comme une extension du responsable. Cela signifie que, même sans accès direct aux moyens de ré-identification, le sous-traitant reste soumis à l’ensemble des obligations applicables au traitement de données personnelles, dès lors que le responsable, lui, est en mesure d’identifier les personnes concernées. En pratique, cela implique qu’un accord de sous-traitance reste nécessaire, et que l’ensemble des garanties imposées par le RGPD s’appliquent, sous réserve d’éventuelles adaptations liées au faible niveau de risque résultant de la pseudonymisation.

D’autre part, la décision soulève également la question de l’incidence de la base légale retenue par le responsable au moment du partage des données pseudonymisées. Dans l’affaire CRU, les commentaires provenaient de participants à une consultation publique, et le CRU s’était appuyé sur leur consentement pour traiter les données. La CJUE lui reproche principalement de ne pas avoir informé les personnes concernées de la transmission de leurs données, même pseudonymisées, à un tiers.

Mais qu’en serait-il si le traitement reposait sur une autre base légale, comme l’intérêt légitime ? En principe, l’obligation d’information s’applique quelle que soit la base invoquée. Pourtant, dans un cas où les données sont transmises à un tiers incapable d’identifier les personnes concernées, la portée concrète de cette information peut interroger. Faut-il vraiment informer les personnes d’un traitement opéré par un acteur qui ne les connaît pas, ne peut pas les reconnaître, et n’est pas en mesure d’agir sur elles individuellement ? Et que penser de l’exercice des droits dans ce contexte ?

La Cour ne tranche pas ces points. Par précaution, il faut considérer que l’obligation de transparence reste pleinement applicable, y compris lorsque les données sont pseudonymisées. Cette approche se justifie d’autant plus que, du point de vue du responsable, les données restent personnelles, et que c’est à lui que revient la charge de justifier la licéité du traitement et de garantir les droits des personnes. En revanche, la manière dont l’information est formulée et structurée pourrait évoluer, pour mieux refléter la faible exposition au risque du côté du destinataire, dans une logique de transparence proportionnée. Dans un tel cas, on pourrait envisager de mentionner uniquement les catégories de destinataires dans les notices d’information, sans nécessairement entrer dans le détail des entités concernées. 

D’autres interrogations pratiques restent également ouvertes. Par exemple, que se passe-t-il si les données pseudonymisées sont transférées hors de l’Union européenne ? Le RGPD impose des garanties spécifiques pour les transferts de données à caractère personnel vers des pays tiers. Si le destinataire étranger n’a pas accès aux moyens de ré-identification, peut-on considérer qu’il ne reçoit pas, en pratique, de données personnelles ? Et faut-il, dans ce cas, appliquer les règles relatives aux transferts internationaux ? 

Au-delà du raisonnement juridique, cette décision a des conséquences pratiques importantes pour les entreprises. Dans de nombreux secteurs, elle invite à reconsidérer les stratégies de gouvernance des données, à ajuster les cadres contractuels et à adapter les pratiques opérationnelles en fonction du rôle joué par chaque acteur et du niveau d’identifiabilité effectif.

Repenser la gouvernance et les contrats à l’aune du risque effectif

Dans le marketing digital, elle ouvre la voie à un usage plus souple de certains jeux de données lorsqu’ils ont été pseudonymisés de manière robuste. Par exemple, un acteur recevant des segments d’audience pseudonymisés (sans identifiants directs ni clés de ré-identification) pourrait, sous conditions, sortir du champ d’application du RGPD, à condition d’agir comme responsable autonome et de ne jamais tenter d’enrichir les données pour retrouver l’identité des personnes.

Dans le domaine de l’intelligence artificielle, la décision peut faciliter l’entraînement de modèles à partir de données pseudonymisées dès lors que le prestataire n’est pas en mesure de ré-identifier les individus. Cela suppose une gouvernance technique rigoureuse et des clauses contractuelles explicites encadrant notamment les usages autorisés, les engagements de non-réidentification et la répartition des responsabilités.

Pour les prestataires SaaS, la décision permet d’ajuster les obligations contractuelles en fonction du niveau d’identifiabilité effectif. Si le prestataire agit en tant que sous-traitant, un accord de sous-traitance reste nécessaire. Mais certaines garanties pourront être calibrées de manière plus proportionnée si les données reçues sont pseudonymisées de façon robuste.

Dans tous les cas, les entreprises ont tout intérêt à cartographier les flux de données pseudonymisées, à documenter leur analyse du risque d’identification, et à ajuster leur documentation RGPD et leurs contrats en conséquence. La pseudonymisation ne doit pas être perçue uniquement comme une mesure de sécurité : bien appliquée, elle devient un véritable levier de flexibilité juridique à condition de rester maîtrisée.

Cet arrêt intervient dans un contexte de transformation du droit européen des données. Il s’inscrit dans la logique du Data Act (applicable à compter du 12 septembre 2025), qui renforce les obligations de portabilité et de sécurité dans les services cloud. Il complète aussi les dernières recommandations de la CNIL sur l’utilisation de l’intérêt légitime pour l’entraînement des IA. Surtout, il donne aux entreprises des leviers pour ajuster leur niveau d’engagement juridique en fonction de leur capacité réelle à identifier ou non les personnes concernées.

Pour les prestataires SaaS, les plateformes techniques, les équipes IA ou les services marketing, cette décision constitue une opportunité de relecture stratégique. À condition d’être bien comprise et bien appliquée, elle permet d’aligner les obligations RGPD avec les réalités opérationnelles, sans renoncer à la protection des personnes.

Pour toute question ou accompagnement, vous pouvez nous contacter à cchance@squairlaw.com.  

Caroline Chancé, avocate associée chez Squair

Cette analyse prolonge un premier article publié par Jeannie Mongouachon et Juliette Lobstein sur les conclusions de l’avocat général (à retrouver ici).

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
10 septembre 2025
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité