Le caractère personnel d’une donnée dépend-t-il du détenteur de la donnée ? 

C’est sur cette question que le tribunal de la Cour de Justice de l’Union Européenne a dû se prononcer. Dans un arrêt du 26 avril 2023, le tribunal de l’UE a précisé la définition simple mais imprécise de la notion de données à caractère personnel.

Les faits : défaut d’information lors d’un transfert de données

Le Contrôleur Européen de la Protection des Données (CEPD), chargé de garantir la conformité des institutions européennes en matière de protection des données à caractère personnel, a récemment accusé le CRU, le conseil de résolution unique, de ne pas avoir informé les individus concernés de la communication de leurs données  personnelles au cabinet Deloitte.

Le Conseil de résolution unique (CRU) est une institution clé de l’Union bancaire européenne, créée en réponse à la crise financière de 2008. Son rôle principal est de garantir la stabilité et la résilience du système bancaire dans la zone euro.

Le cabinet Deloitte a été investi par le CRU d’analyser des commentaires d’actionnaires d’une banque espagnole. Ces commentaires furent pseudonymisés un code alphanumérique a été attribué à chaque commentaire),  puis transférés au cabinet Deloitte.

Le CRU n’a pas informé les personnes concernées de ce transfert, estimant que les commentaires ayant été pseudonymisés,  ils n’étaient plus considérés comme des données à caractère personnel. 

Cependant, selon certains actionnaires, le commentaire était une donnée personnelle, car il exprimait un point de vue certain et précis d’une personne physique pouvant être potentiellement identifiée. De facto, n’ayant pas été informés, ils décident de porter plainte, poussant ainsi le CEPD à s’exprimer sur la question. 

La question centrale était de savoir si le CRU avait réellement communiqué des données à caractère personnel à Deloitte, étant donné que seules des réponses à des questionnaires avec des codes alphanumériques étaient mises à disposition. 

L’avis du tribunal : confirmation de jurisprudence antérieure

Finalement, une donnée peut être considérée comme personnelle dans les mains d’un acteur et non personnelle dans celles d’un autre. 

Le tribunal s’est appuyé sur l’arrêt Breyer de la CJUE (19 octobre 2016, C-582/14) pour affirmer que le CEPD aurait dû vérifier si les réponses se rapportaient à des « personnes identifiables », en s’assurant de vérifier si Deloitte disposait de « moyens légaux et réalisables en pratique » pour identifier les personnes concernées.

En fin de compte, tout dépendait de la possibilité pour Deloitte d’obtenir, auprès du CRU, la correspondance entre les codes attribués aux réponses et l’identité des répondants. En l’espèce, l’obtention de cette correspondance n’était pas possible.

Le tribunal a également reproché au CEPD de ne pas avoir vérifié si les réponses transmises à Deloitte étaient liées aux personnes concernées, car si la liaison peut être constatée, il s’agit ainsi de données personnelles. 

Le CEPD aurait dû s’assurer que ces données étaient effectivement des données à caractère personnel, en tenant compte de leur contenu, de la finalité de leur utilisation et de l’impact que leur traitement pouvait avoir sur les personnes concernées.  

Cet article pourrait également vous intéresser : Data Privacy Framework : le nouveau Privacy Shield ?

Conséquences de cet arrêt

Cette décision met en avant l’une des limites de la notion de données personnelles: il existe des données potentiellement anonymes, à la frontière des données anonymisées (processus irréversible) et des données pseudonymisées (processus réversible). 

En concédant que des données seulement pseudonymisées peuvent échapper au prisme du RGPD, les processus d’anonymisation des données, déjà largement rejetés par les entreprises car trop coûteux et irréversibles, ne semblent pas pouvoir prospérer. 

Lien de l’arrêt cité : https://curia.europa.eu/juris/document/document.jsf;jsessionid=9C78FE92F8CA958D9B75F60C0ADF11D3?text=&docid=272910&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=764110 

FAQ : La CJUE ajoute un nouvel élément à la définition de données à caractère personnel

Est-ce que la pseudonymisation est un processus suffisant pour être conforme au RGPD ?

Oui ! En théorie. Si un organisme met en place des mesures de sécurité techniques et organisationnelles suffisantes, la pseudonymisation peut constituer une garantie de sécurité suffisante pour le traitement de données personnelles. Attention cependant, dans le cas de traitement de données sensibles ou hautement personnelles, l’anonymisation reste recommandée car plus sécurisée ! 

C’est quoi le processus de pseudonymisation ?

La pseudonymisation est un procédé technique permettant de supprimer la possibilité d’identification d’une personne concernée temporairement. C’est en effet un processus réversible : une donnée pseudonymisée peut redevenir personnelle dès que le pseudonyme attribué est remplacé par la donnée personnelle originelle, le pseudonyme et la donnée personnelle co-existent sur des fichiers différents. 

C’est quoi le processus d’anonymisation ?

L’anonymisation est un procédé technique permettant de supprimer toute possibilité d’identification de la personne concernée par les données personnelles. C’est un processus irréversible : une donnée anonymisée ne peut pas redevenir personnelle, elle est définitivement supprimée.

Quel apport de cet arrêt sur la définition d’une donnée personnelle ?

Une donnée personnelle, c’est tout élément permettant d’identifier une personne physique. Cet arrêt confirme, conformément à la jurisprudence européenne antérieure, qu’une donnée peut ne plus être personnelle si les moyens légaux et techniques pour permettre l’identification ne permettent pas la ré-identification.