Le Tribunal de l’Union Européenne (TUE) a annulé une décision du CEPD qui recommandait au Conseil de Résolution Unique (CRU) de modifier sa « déclaration de confidentialité ».
Le Conseil de Résolution Unique (CRU) est un organe de l’Union Européenne ayant notamment pour rôle de minimiser les conséquences d’une faillite d’une banque sur l’économie réelle.
A l’occasion de la faillite d’une banque espagnole, le CRU a lancé une consultation sur son site internet afin de déterminer s’il fallait, ou non, accorder un dédommagement aux actionnaires et créanciers de la banque qui s’est retrouvée insolvable.
Pour cela, les créanciers et actionnaires éligibles étaient invités à émettre des « commentaires », par la voie d’un formulaire, sur le site du CRU.
Pour procéder à l’examen des milliers de commentaires reçus, le CRU a fait appel au cabinet Deloitte : dans les faits, les commentaires transmis à Deloitte portaient un code alphanumérique unique. Au moyen de ce code, seul le CRU était en mesure de relier le commentaire à la personne l’ayant déposé.
Certaines personnes ayant déposé des commentaires ont appris que les données collectées par CRU avaient été transmises à des tiers et ont déposé une plainte devant le CEPD.
Ce dernier a estimé que les données partagées avec Deloitte (i) « étaient des données à caractère personnel » et (ii) que « Deloitte était un destinataire » non mentionné dans la déclaration de confidentialité. En conséquence, bien que n’adoptant pas de sanction à l’encontre du CRU, le CEPD a recommandé à ce dernier de modifier sa « déclaration de confidentialité ».
Le CRU a saisi le TUE aux fins d’annuler la décision du CEPD en considérant que « les informations transmises à Deloitte ne constituent pas des données à caractère personnel ».
Selon le TUE, une « information constitue une donnée à caractère personnel […] si deux conditions cumulatives sont réunies, à savoir, d’une part, que cette information » se rapporte » à une personne physique et, d’autre part, que cette personne soit » identifiée ou identifiable « ». Le TUE a successivement analysé ces deux conditions.
I. L’information se rapporte à une personne physique
Le TUE s’est, dans un premier temps, penché sur la première condition. Selon lui, « s’il ne saurait être exclu que des points de vue personnels ou des opinions constituent des données à caractère personnel […] une telle conclusion ne peut être fondée sur une présomption […] mais doit s’appuyer sur l’examen visant à déterminer si, par son contenu, sa finalité ou son effet, un point de vue est lié à une personne déterminée ».
Constatant que le CEPD n’avait « examiné ni le contenu, ni la finalité, ni l’effet des informations transmises à Deloitte » et avait présumé que « toute opinion personnelle constituait une donnée à caractère personnel », le TUE a considéré qu’à « défaut d’avoir procédé à un tel examen, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations » se rapportant » à une personne physique ».
II. La personne est identifiée ou identifiable
Le TUE s’est, dans un second temps, penché sur la « question de savoir si les informations transmises à Deloitte se rapportaient à une personne physique » identifiée ou identifiable « ».
Le TUE a d’abord rappelé que « les informations transmises à Deloitte ne concernaient pas des personnes » identifiées « ».
En ce qui concerne le caractère « identifiable », le CRU, d’un côté, considérait que les données communiquées à Deloitte étaient « anonymes » « dans la mesure où le CRU n’aurait pas partagé avec Deloitte les informations permettant de réidentifier les auteurs des commentaires ». Inversement, le CEPD soutenait « que le fait que Deloitte n’ait pas eu accès aux informations détenues par le CRU [n’avait] pas pour conséquence que les données » pseudonymisées » soient devenues des données anonymisées ».
Pour répondre à cette problématique, le TUE a rappelé que pour « déterminer si les informations transmises à Deloitte constituaient des données à caractère personnel […] il convient de se placer du point de vue de ce dernier ».
Or, en présumant que les données transmises à Deloitte étaient des données à caractère personnel sur le seul fait que « le CRU détenait les informations supplémentaires permettant de réidentifier les auteurs des commentaires », le CEPD ne s’est pas placé du point de vue de Deloitte.
Plus encore, le TUE a considéré qu’à défaut « pour le CEPD d’avoir recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une » personne physique identifiable » ».
Compte tenu de ce qui précède, le TUE a annulé la décision du CEPD.
Source : CJUE 26 avril 2023 n° T-557/20, Conseil de résolution uniquement contre contrôleur européen de la protection des données