Données pseudonymisées : précisions du Tribunal de l’Union européenne
Par arrêt du 26 avril 2023, le Tribunal de l’Union européenne a établi que lorsqu’un destinataire des données ne dispose pas d’informations complémentaires lui permettant de ré-identifier les personnes concernées, les données peuvent être considérées comme rendues “anonymes”.
En l’espèce, le Conseil de résolution unique (CRU) a adopté un dispositif de résolution à l’encontre d’une banque privée espagnole. Dans ce cadre, le CRU a invité les créanciers et les actionnaires de la banque à faire part de leur intérêt à exercer leur droit d’être entendu afin d’obtenir un dédommagement. Le CRU a pour cela utilisé un formulaire électronique leur permettant d’exprimer leur point de vue. Ce questionnaire a été partagé avec un prestataire (Deloitte) en remplaçant le nom de chaque répondant par un code.
Le 19, 26 et 28 octobre 2019, les actionnaires et créanciers ayant répondu au formulaire ont saisi le Comité européen de la protection des données (CEPD) de cinq réclamations en invoquant le fait que le CRU ne les avait pas informés que les données collectées au moyen des réponses au formulaire seraient transmises à des tiers, en l’occurrence la société de conseil Deloitte. De ce fait, le CRU aurait violé l’article 15 paragraphe 3 du RGPD.
Le CEPD a rendu une décision initiale dans laquelle il considérait que le CRU avait violé l’article 15 règlement 2018/1725, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, en ce qu’il n’avait pas informé les réclamants que leurs données pourraient être transmises à Deloitte.
Le CEDP a ensuite rendu une décision révisée dans laquelle il a estimé que les données partagées par le CRU avec Deloitte étaient des données personnelles pseudonymisées, étant précisé que :
- la pseudonymisation est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données à une personne physique identifiée sans information supplémentaire.
- A l’inverse d’une donnée anonymisée qui est une donnée dont le traitement a rendu impossible toute identification de la personne, une donnée pseudonymisée demeure une donnée personnelle.
Selon le CEPD, les données en question auraient été seulement pseudonymisées dans la mesure où le CRU partageait le code alphanumérique permettant de relier les réponses reçues lors de la phase d’inscriptions à celles reçues lors de la phase de consultation et que ces réponses contenaient le point de vue personnel des réclamant et constituaient de ce fait des informations les concernant.
Le CRU saisit le Tribunal de l’Union européenne en annulation de la décision du CEPD en contestant le fait que les informations transmises à Deloitte sont des données personnelles au sens de l’article 3.1 du règlement 2018/1725.
En ce sens, le CRU a fait valoir que les commentaires reçus lors de la phase de consultation ne se rapportaient pas à des personnes spécifiques. Il a fait également valoir que Deloitte n’avait pas reçu les informations permettant de réidentifier les personnes visées par les données pseudonymisées.
Par une délibération du 26 avril 2023, le Tribunal de l’Union européenne a d’abord examiné si les informations transmises à Deloitte « se rapportaient » à une personne physique au sens de l’article 3.1.
Le Tribunal rappelle à ce titre la jurisprudence Nowak du 20 décembre 2017 selon laquelle une information est liée à une personne physique lorsque, en raison de son contenu ou de son effet, elle est liée à une personne déterminée.
Or, dans sa décision, le CEPD n’a pas examiné le contenu ou la finalité des informations transmises à Deloitte. Sans un tel examen, le Comité ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une personne physique au sens de l’article 3.1 du règlement 2018/1725.
Le Tribunal a ensuite examiné si les informations transmises à Deloitte se rapportaient à une personne physique “identifiée ou identifiable”.
Le Tribunal a souligné d’abord qu’est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement.
A ce titre le considérant 16 du règlement 2018/1725 suggère que pour qu’une donnée soit qualifiée de “donnée personnelle”, il n’est pas requis que toutes les informations permettant d’identifier la personne concernée soient réunies entre les mains d’une seule personne.
Il relève qu’en l’espèce, Deloitte ne disposait que du code alphanumérique figurant sur les informations transmises et n’avait pas accès aux données d’identification reçues lors de la phase d’inscription permettant de relier les participants à leurs commentaires grâce au code alphanumérique. Il appartenait ainsi au CEPD de déterminer si le destinataire des données avait la possibilité de réidentifier les personnes concernées. Or, le Tribunal a conclu que le Comité avait relevé que les personnes concernées pouvaient être réidentifiées par le CRU, mais le Comité le ne s’était pas placé du point de vue de Deloitte.
Le Tribunal en conclu que le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une personne physique et identifiable et donc des données personnelles.
La décision du CEPD a ainsi été annulée.
Pour en savoir plus :