Données pseudonymisées : précisions du Tribunal de l’Union européenne

Par arrêt du 26 avril 2023, le Tribunal de l’Union européenne a établi que lorsqu’un destinataire des données ne dispose pas d’informations complémentaires lui permettant de ré-identifier les personnes concernées, les données peuvent être considérées comme rendues “anonymes”.

En l’espèce, le Conseil de résolution unique (CRU) a adopté un dispositif de résolution à l’encontre d’une banque privée espagnole. Dans ce cadre, le CRU a invité les créanciers et les actionnaires de la banque à faire part de leur intérêt à exercer leur droit d’être entendu afin d’obtenir un dédommagement. Le CRU a pour cela utilisé un formulaire électronique leur permettant d’exprimer leur point de vue. Ce questionnaire a été partagé avec un prestataire (Deloitte) en remplaçant le nom de chaque répondant par un code.

Le 19, 26 et 28 octobre 2019, les actionnaires et créanciers ayant répondu au formulaire ont saisi le Comité européen de la protection des données (CEPD) de cinq réclamations en invoquant le fait que le CRU ne les avait pas informés que les données collectées au moyen des réponses au formulaire seraient transmises à des tiers, en l’occurrence la société de conseil Deloitte. De ce fait, le CRU aurait violé l’article 15 paragraphe 3 du RGPD.

Le CEPD a rendu une décision initiale dans laquelle il considérait que le CRU avait violé l’article 15 règlement 2018/1725, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, en ce qu’il n’avait pas informé les réclamants que leurs données pourraient être transmises à Deloitte.

Le CEDP a ensuite rendu une décision révisée dans laquelle il a estimé que les données partagées par le CRU avec Deloitte étaient des données personnelles pseudonymisées, étant précisé que :

la pseudonymisation est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données à une personne physique identifiée sans information supplémentaire.
A l’inverse d’une donnée anonymisée qui est une donnée dont le traitement a rendu impossible toute identification de la personne, une donnée pseudonymisée demeure une donnée personnelle.

Selon le CEPD, les données en question auraient été seulement pseudonymisées dans la mesure où le CRU partageait le code alphanumérique permettant de relier les réponses reçues lors de la phase d’inscriptions à celles reçues lors de la phase de consultation et que ces réponses contenaient le point de vue personnel des réclamant et constituaient de ce fait des informations les concernant.

Le CRU saisit le Tribunal de l’Union européenne en annulation de la décision du CEPD en contestant le fait que les informations transmises à Deloitte sont des données personnelles au sens de l’article 3.1 du règlement 2018/1725.

En ce sens, le CRU a fait valoir que les commentaires reçus lors de la phase de consultation ne se rapportaient pas à des personnes spécifiques. Il a fait également valoir que Deloitte n’avait pas reçu les informations permettant de réidentifier les personnes visées par les données pseudonymisées.

Par une délibération du 26 avril 2023, le Tribunal de l’Union européenne a d’abord examiné si les informations transmises à Deloitte « se rapportaient » à une personne physique au sens de l’article 3.1.

Le Tribunal rappelle à ce titre la jurisprudence Nowak du 20 décembre 2017 selon laquelle une information est liée à une personne physique lorsque, en raison de son contenu ou de son effet, elle est liée à une personne déterminée.

Or, dans sa décision, le CEPD n’a pas examiné le contenu ou la finalité des informations transmises à Deloitte. Sans un tel examen, le Comité ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une personne physique au sens de l’article 3.1 du règlement 2018/1725.

Le Tribunal a ensuite examiné si les informations transmises à Deloitte se rapportaient à une personne physique “identifiée ou identifiable”.

Le Tribunal a souligné d’abord qu’est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement.

A ce titre le considérant 16 du règlement 2018/1725 suggère que pour qu’une donnée soit qualifiée de “donnée personnelle”, il n’est pas requis que toutes les informations permettant d’identifier la personne concernée soient réunies entre les mains d’une seule personne.

Il relève qu’en l’espèce, Deloitte ne disposait que du code alphanumérique figurant sur les informations transmises et n’avait pas accès aux données d’identification reçues lors de la phase d’inscription permettant de relier les participants à leurs commentaires grâce au code alphanumérique. Il appartenait ainsi au CEPD de déterminer si le destinataire des données avait la possibilité de réidentifier les personnes concernées. Or, le Tribunal a conclu que le Comité avait relevé que les personnes concernées pouvaient être réidentifiées par le CRU, mais le Comité le ne s’était pas placé du point de vue de Deloitte.

Le Tribunal en conclu que le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une personne physique et identifiable et donc des données personnelles.

La décision du CEPD a ainsi été annulée.

Pour en savoir plus :

– La décision du Tribunal en date du 26 avril 2023

Associé

L'équipe

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».

Données pseudonymisées : précisions du Tribunal de l’Union européenne

L'ÉQUIPE

LucileHerpoux

ElodieCourbo

Benjamin Mourot

LucasDallongeville

Christophe Fichet

Juliette Goutorbe

AdrienMorisse

VictoriaLafite

GuylaineLombard

Elise Dufour

Lucile
Herpoux

Elodie
Courbo

Benjamin
Mourot

Lucas
Dallongeville

Christophe
Fichet

Juliette
Goutorbe

Adrien
Morisse

Victoria
Lafite

Guylaine
Lombard

Elise
Dufour