La Cour de Justice de l’Union Européenne (CJUE) s’est récemment prononcée sur la qualification des données pseudonymisées lorsqu’elle sont transmises à un tiers. Une jurisprudence qui n’est pas sans incidence sur vos pratiques….
Le contexte : des données pseudonymisées transmises à un tiers
Le CRU, organe de l’Union européenne, avait collecté des commentaires de personnes physiques sur son site internet, puis les avait transmis au Cabinet Deloitte pour analyse. Ces commentaires transmis à Deloitte portaient un code alphanumérique unique. Au moyen de ce code, seul le CRU était en mesure de relier le commentaire à la personne l’ayant déposé.
Des personnes concernées ont déposé plainte devant le CEPD (autorité de contrôle dont dépend le CRU), considérant qu’ils n’ont pas été informés par le CRU de la transmission de leurs données personnelles au Cabinet Deloitte.
Le litige : la qualification des données pseudonymisées transmises à un tiers et les obligations d’information associées pesant sur le responsable de traitement
Le CEPD a estimé que les données transmises au Cabinet Deloitte (1) « étaient des données à caractère personnel » et (2) que « Deloitte était un destinataire » non mentionné dans la « déclaration de confidentialité » du CRU, (3) lequel a ainsi manqué à son obligation d’information à l’égard des personnes concernées[1].
Le Tribunal de l’UE, saisi d’un recours, a annulé la décision du CEPD. Le TUE a effectivement jugé que, pour apprécier si le CRU avait respecté son obligation d’information, le CEDP aurait dû examiner si les commentaires transmis au Cabinet Deloitte constituent des données personnelles du point de vue du Cabinet Deloitte. Or, selon le TUE, « les informations transmises à Deloitte ne constituent pas des données à caractère personnel ».
Le CRU a porté l’affaire devant la CJUE.
La solution : la qualification des données transmises à un tiers examinée au niveau dudit tiers versus l’obligation d’information appréciée au niveau du responsable de traitement au moment de la collecte
Rejoignant la position du TUE, la CJUE a jugé que les données pseudonymisées ne doivent pas être qualifiées de données personnelles « pour toute personne ». En effet, pour la CJUE, selon le contexte, la pseudonymisation peut conduire certaines personnes « autres que le responsable de traitement » à ne pas pouvoir identifier la personne concernée. Pour pouvoir apprécier le caractère identifiable ou non de la personne concernée du point de vue du destinataire, la CJUE rappelle qu’il convient notamment de prendre en compte les « moyens raisonnablement susceptibles d’être utilisés » pour identifier la personne physique, à savoir « des facteurs objectifs comme le coût de l’identification, le temps consacré à celle-ci (…) ».
Toutefois, s’écartant sur ce point de la décision du TUE, la CJUE a considéré que, s’agissant de l’obligation d’information pesant sur le responsable de traitement[2], le caractère identifiable de la personne doit être apprécié au moment de la collecte des données, « telles qu’elles ont été transmises à ce responsable, et donc avant tout éventuel transfert à un tiers ». En l’espèce, l’obligation d’information du CRU s’apprécie « en amont du transfert des commentaires en cause et indépendamment de leur caractère personnel ou non du point de vue de Deloitte après leur éventuelle pseudonymisation ». En suivant le raisonnement de la CJUE, si ces données sont bien personnelles pour le CRU au moment de leur collecte, alors il doit informer les personnes concernées de ce que le Cabinet Deloitte est un destinataire des données, quand bien même il s’agirait alors de données anonymisées.
Que peut-on en retenir ?
Des données pseudonymisées transmises à un tiers peuvent devenir des données non personnelles (et donc des données anonymisées) du point de vue de ce tiers, à partir du moment où ce tiers ne dispose pas de moyens raisonnables pour identifier la personne concernée.
Le responsable de traitement qui a collecté des données personnelles doit informer la personne concernée de leur transfert à un tiers et ce indépendamment du point de savoir si, in fine, ces données seront, après leur transfert, toujours des données personnelles pour ce tiers.
Ces règles doivent être prises en compte dans l’évaluation de la conformité de traitements de données pseudonymisées et de projets pouvant impliquer ou interroger sur le recours à la pseudonymisation.
Source : CJUE 4 septembre 2025 (C-413/23)
[1] Article 15 du Règlement 2018/1725 concernant le traitement des données à caractère personnel par les institutions, organes et organismes de l’Union correspondant à l’article 13 du RGPD pour les autres traitements.
[2] Article 15 du Règlement 2018/1725 concernant le traitement des données à caractère personnel par les institutions, organes et organismes de l’Union correspondant à l’article 13 du RGPD pour les autres traitements.