Des informations, même indirectement identifiantes, peuvent être qualifiées de données à caractère personnel, selon le RGPD[1]. Mais comment déterminer qu’une information identifie indirectement une personne physique ? Quels sont les critères à prendre en compte ? La Cour de Justice de l’Union Européenne a récemment apporté des nouveaux éclairages sur cette question[2].
Le litige : des informations non directement identifiantes figurant dans un article de presse
L’affaire concernait l’Office européen de lutte anti-fraude (OLAF), lequel a publié un communiqué de presse comportant notamment les informations suivantes : « une fraude complexe impliquant une scientifique grecque et son réseau de chercheurs internationaux a été découverte par les enquêteurs » ; « l’affaire porte sur une subvention d’un montant d’environ 1,1 million d’euros accordée par l’[ERCEA] à une université grecque. Ces fonds étaient destinés au financement d’un projet de recherche mené sous la responsabilité d’une jeune scientifique prometteuse, dont le père travaillait dans l’université en question. Le projet comportait un réseau de plus de 40 chercheurs du monde entier placé sous la direction de la scientifique grecque. ».
Un journaliste d’investigation allemand avait, par la suite, publié, sur le réseau social Twitter, un article en lien avec ce communiqué, dans lequel il identifiait la scientifique concernée en indiquant son nom et son prénom.
A l’occasion d’un litige opposant l’OLAF et la scientifique, la CJUE a été amenée à se prononcer[3] sur la caractérisation des informations figurant dans le communiqué de presse en tant que données à caractère personnel[4].
La position de la CJUE : des informations non directement identifiantes peuvent être qualifiées de données à caractère personnel, notamment par combinaison avec des informations provenant d’autres sources
Dans sa décision, la CJUE a rappelé et précisé sa jurisprudence[5] relativement à la notion d’identification indirecte d’une personne physique.
Pour la CJUE, il est « inhérent à la notion d’identification indirecte » d’une personne physique que des informations supplémentaires doivent être combinées avec les données en cause aux fins de l’identification de la personne concernée.
Aussi, la CJUE a indiqué que « le fait que ces informations supplémentaires relèvent d’une autre personne ou source que celle du responsable du traitement des données en cause n’exclut aucunement (…) le caractère identifiable d’une personne ». Pour autant, selon la CJUE, « la circonstance qu’un journaliste d’investigation a, comme en l’occurrence, diffusé l’identité d’une personne visée par un communiqué de presse ne saurait permettre, à elle seule, de conclure que les informations figurant dans ce communiqué doivent nécessairement être qualifiées de données à caractère personnel ».
Par ailleurs, la CJUE a jugé que le droit de l’UE « ne pose aucune condition quant aux personnes susceptibles d’identifier la personne à laquelle une information est liée ».
En l’espèce, la Cour a relevé que le communiqué de presse litigieux contenait des informations relatives au genre de la personne concernée, à sa nationalité, à l’activité de son père, au montant de la subvention du projet scientifique et à la localisation géographique de l’entité accueillant le projet scientifique. Ces données prises ensemble « comportent des informations de nature à permettre l’identification de la personne visée dans le communiqué notamment par des personnes travaillant dans le même domaine scientifique et connaissant son parcours professionnel ».
Aussi, selon la Cour, « un communiqué de presse visant des comportements prétendument illégaux, tels que des actes de fraude ou de corruption, est susceptible de susciter un intérêt certain auprès du public et d’amener ses lecteurs, notamment des journalistes, à effectuer des recherches sur la personne visée par le communiqué ». Or, la Cour a relevé que l’ERCEA, organisme ayant octroyé la subvention, décrit sur son site internet les 70 projets qu’elle finance, et que les publications comportent des « éléments clés permettant à l’internaute de trouver les informations souhaitées, comme le nom du responsable du projet, le nom de l’institution d’accueil ou encore le montant du financement ».
« Dans un tel contexte, l’effort consistant à procéder à de telles recherches sur un site Internet, en parcourant la description de quelques 70 projets financés figurant sur ce site, combinées avec d’autres recherches sur Internet permettant vraisemblablement d’obtenir le nom et d’autres identifiants de la personne visée par le communiqué de presse litigieux, n’apparaît aucunement démesuré, de sorte que le risque d’identification de la requérante par les journalistes ou d’autres personnes ne connaissant pas son parcours professionnel » n’est pas « insignifiant », a estimé la CJUE.
Les informations contenues dans le communiqué de presse litigieux relèvent ainsi, selon la Cour, de la notion de « données à caractère personnel ».
Cette jurisprudence illustre, à nouveau, le caractère particulièrement large de la notion de données à caractère personnel. En effet, celle-ci peut s’appliquer à des informations qui ne semblent pas, à l’évidence, identifiantes, mais qui peuvent être considérées comme telles par la combinaison et l’analyse d’autres informations (i) quand bien même ces autres informations figurent dans d’autres sources que la source des informations premières, et (ii) en tenant compte du risque d’identification par le public susceptible d’être intéressé par lesdites informations.
Source : ici
[1] Article 4 du RGPD.
[2] CJUE, 7 mars 2024 (affaire C-479/22 P).
[3] Dans cette affaire, la CJUE est intervenue comme second degré de juridiction à la suite d’un recours contre un arrêt du Tribunal de l’Union européenne.
[4] A noter que si le litige portait sur l’application et l’interprétation du Règlement 2018/1725 sur la protection des données personnelles par les institutions, organes et organismes de l’Union concernant la définition de données à caractère personnel, cette définition étant substantiellement identique à celle prévue dans le RGPD, ce que la CJUE a rappelé dans l’arrêt commenté, la solution est parfaitement transposable à la définition de données à caractère personnel prévue par le RGPD.
[5] En particulier, CJUE, 19 octobre 2016 (affaire C-582/14).
