L’arrêt du Tribunal de l’Union européenne du 26 avril 2023[1], en optant pour une approche subjective de la pseudonymisation des données, tend à restreindre de façon très importante l’application du droit de la protection des données à caractère personnel.
Pourtant, comme nous allons le voir, il n’est pas encore certain qu’il faille donner à cette décision les atours d’une révolution.
I – L’approche subjective de la pseudonymisation par le Tribunal
La décision du Tribunal concerne une affaire opposant le Conseil de résolution unique (CRU) au Contrôleur européen de la protection des données (CEPD).
Le CRU avait mis en place en 2018 une procédure permettant à des actionnaires de Banco Popular d’être entendus à la suite d’une procédure d’insolvabilité les ayant potentiellement lésés.
Ce droit d’être entendu a été mis en œuvre en suivant deux étapes : une phase d’inscription tout d’abord, au cours de laquelle les actionnaires pouvaient faire part de leur intérêt à participer. Après vérification par le CRU de la qualité d’actionnaires des personnes inscrites, s’ouvrait une phase de consultation offrant la possibilité aux actionnaires de commenter la décision de valorisation litigieuse.
Une fois les commentaires collectés, le CRU les a analysés et a demandé à Deloitte, en qualité d’évaluateur indépendant, d’évaluer les commentaires pertinents relatifs à la valorisation litigieuse.
Seuls les commentaires ont été transmis à Deloitte, accompagnés pour chacun d’eux d’un code alphanumérique. Ce code permettait au CRU de relier les commentaires aux données identifiantes reçues lors de la phase d’inscription. Deloitte de son côté n’avait pas accès à la base de données collectées lors de la phase d’inscription.
En 2019, cinq réclamations sont portées devant le CEPD en raison de l’absence d’information des actionnaires ayant répondu au questionnaire concernant la transmission de leurs commentaires par le CRU à Deloitte notamment.
Pour sa défense, le CRU a fait valoir devant le CEPD que les données communiquées à Deloitte ne seraient pas des données à caractère personnel et partant que la règlementation relative à la protection des données à caractère personnel ne s’appliquait pas.
Cette argumentation n’est pas suivie par le CEPD pour lequel « les données que le CRU a partagées avec Deloitte étaient des données à caractère personnel »[2] car le CRU partageait le code alphanumérique permettant de relier les réponses reçues lors de la phase d’inscription aux commentaires reçus lors de la phase de consultation, bien que les données fournies par les participants pour s’identifier lors de la phase d’inscription n’aient pas été communiquées à Deloitte. Deloitte répondait donc bien à la qualification de destinataire dont l’identité aurait dû être communiquée aux personnes intéressées.
C’est cette décision du CEPD qui est attaquée par le CRU devant le TUE.
Le point majeur de la discussion devant le Tribunal concerne la définition des données à caractère personnel.
Le Tribunal rappelle tout d’abord, conformément à la définition que l’on retrouve tant à l’article 4 du Règlement Général sur la Protection des Données[3] (RGPD) qu’à l’article 3 du Règlement 2018/1725[4], qu’une information constitue une donnée à caractère personnel, notamment, si deux conditions cumulatives sont réunies, à savoir :
- que cette information « se rapporte » à une personne physique et,
- que cette personne soit « identifiée ou identifiable ».
La discussion porte tout d’abord sur les commentaires en tant que tels transmis par le CRU à Deloitte.
Pour le CRU, ces commentaires ne sont pas des données à caractère personnel, ces informations étant « factuelles et juridiques » et « indépendantes des personnes ou des qualités personnelles des réclamants et sans rapport avec leur vie privée »[5]. Pour le CEPD à l’inverse, ces commentaires relèvent de la catégorie des données à caractère personnel, car les réponses des personnes concernées « contenaient et reflétaient leur point de vue personnel »[6].
Le Tribunal s’appuie sur l’appréciation de la Cour, notamment au sein de l’arrêt Nowak[7] pour indiquer que pour qualifier un point de vue de donnée à caractère personnel il convient de s’appuyer « sur l’examen visant à déterminer si, par son contenu, sa finalité ou son effet, un point de vue est lié à une personne déterminée »[8].
Au regard de ces éléments, le Tribunal reproche au CEPD de n’avoir examiné « ni le contenu, ni la finalité, ni l’effet des informations transmises à Deloitte ». Partant, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations « se rapportant » à une personne physique.
Le second point discuté concerne la question de savoir si les commentaires transmis à Deloitte par le CRU se rapportent à une personne physique « identifiée ou identifiable ».
Pour le CRU, la communication du code alphanumérique à Deloitte n’a pas conduit à transmettre des données seulement pseudonymisées mais bien anonymisées dans la mesure où le CRU n’a pas partagé avec Deloitte les informations permettant de réidentifier les auteurs des commentaires. Deloitte n’aurait pas eu de moyens légaux d’accéder aux informations supplémentaires d’identification et il n’y aurait donc pas de possibilité raisonnable de combinaison des informations permettant à Deloitte de donner une identité aux codes alphanumériques transmis. Le risque de réidentification étant insignifiant, les informations transmises à Deloitte ne relèvent pas de la catégorie des données à caractère personnel.
A l’inverse, le CEPD soutient qu’à partir du moment où un tiers détient la correspondance entre un code et une identité, les données sont « indirectement » identifiantes et doivent être considérées comme pseudonymisées et non anonymisées. Le CEPD complète sa réponse en précisant que le règlement 2018/1725 n’opérait pas de distinction entre les organismes qui conservaient les données pseudonymisées et ceux qui détenaient les informations supplémentaires et que le fait qu’il s’agissait d’entités différentes n’avait pas pour effet de rendre anonymes les données pour l’entité non détentrice des informations supplémentaires.
Pour se positionner sur ce point, le Tribunal s’appuie sur l’arrêt Breyer de la CJUE, du 19 octobre 2016 concernant la question de savoir si une adresse IP dynamique pouvait être qualifiée de données à caractère personnel pour un site internet alors que seuls l’accès à des informations détenues par le fournisseur d’accès à Internet (FAI) pouvait lui permettre d’identifier à qui appartenait l’adresse IP[9]. Conformément au considérant 26 de la directive, la Cour précise que le fait que les informations permettant l’identification soient détenues par des personnes différentes n’empêche pas la qualification de données à caractère personnel. Néanmoins, la Cour estime qu’une analyse est nécessaire afin de déterminer si la possibilité de combiner l’information détenue avec les informations supplémentaires détenues par un tiers constitue un « moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée ». Tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant.
Dans l’arrêt Nowak, la Cour avait conclu à la qualification de données à caractère personnel car un site internet dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires détenues par le FAI.
A la lumière de cette décision de la Cour, le Tribunal précise que « pour déterminer si les informations transmises à Deloitte constituaient des données à caractère personnel, il convient de se placer du point de vue de ce dernier pour déterminer si les informations qui lui ont été transmises se rapportent à des « personnes identifiables »[10].
Le Tribunal considère que le CEPD aurait donc dû examiner si les commentaires transmis à Deloitte constituaient, à l’égard de celui-ci, des données à caractère personnel, et pour cela si la réidentification était raisonnablement possible. N’ayant pas recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à « une personne physique identifiable ».
La décision du CEPD est donc annulée.
II – Constats et interrogations
Le point qui fera l’objet ici d’un commentaire est le second point de l’analyse du TUE relatif au caractère identifié ou identifiable des personnes dont Deloitte disposait des commentaires.
Si l’analyse du TUE concernant ce point devait perdurer, son impact sur le droit de la protection des données serait fondamental. En effet, cette approche étend la notion de l’anonymisation et réduit d’autant celle de pseudonymisation. En prescrivant la réalisation d’une analyse du caractère identifiable des personnes concernées du côté du détenteur des informations, ces deux notions revêtent un caractère purement subjectif. Des données pourraient être pseudonymisées pour un responsable de traitement, mais anonymisées pour un destinataire dès lors que ce dernier ne détiendrait pas les informations permettant d’identifier les personnes concernées et ne disposerait pas « de moyens légaux et réalisables en pratique » d’accéder à ces informations. Si le caractère subjectif et donc fluctuant de ces notions devait être consacré, l’applicabilité du droit de la protection des données à caractère personnel en serait diminuée. En effet, à partir du moment où les données sont anonymisées, le cadre juridique visant à protéger les données à caractère personnel n’est plus applicable. Ainsi, par exemple, dans une relation où un responsable de traitement transmet des données pseudonymisées à un tiers, sans moyen pour ce tiers de réidentifier les personnes concernées, ces données deviendraient anonymisées pour ce tiers. Il n’y aurait plus de nécessité de qualifier ce destinataire au regard du RGPD. Ce tiers ne serait pas soumis à l’ensemble des obligations du RGPD pour les données transmises, notamment concernant leur sécurité. Ce raisonnement permettrait par ailleurs de contourner un bon nombre de difficultés concernant les transferts de données hors de l’UE dès lors que l’on peut prouver que ce destinataire hors UE ne dispose pas de moyens réalisables en pratique d’accéder aux informations identifiantes.
Pour autant, avant de crier à la révolution, plusieurs points méritent d’être relevés.
En premier lieu, le Tribunal reproche au CEPD de ne pas avoir appliqué le raisonnement développé par la CJUE dans son arrêt Breyer. Le Tribunal ne conclut pas pour autant que le raisonnement aurait nécessairement conduit à considérer que la réidentification n’était pas envisageable. Si l’on reprend les termes de l’arrêt Breyer, celui-ci précise que pour vérifier si l’identification de la personne est possible ou non, il convient de vérifier si l’identification concernée était interdite par la loi ou irréalisable en pratique, « par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant ». La Cour dans l’arrêt Breyer conclut d’ailleurs à la possibilité de réidentifier les adresses IP par le détenteur d’un site internet dès lors que celui-ci dispose d’un moyen légal de demander au fournisseur d’accès à internet les informations permettant d’identifier l’adresse IP.
A notre connaissance, aucune décision n’a encore été adoptée montrant que des données pseudonymisées pour une partie devraient être considérées comme anonymisées pour une autre. Au regard de la liste des critères indiqués ci-dessus le raisonnement ne doit pas s’arrêter uniquement à une possibilité légale, mais doit également prendre en considération des possibilités pratiques de simples échanges d’information entre partenaires à partir du moment où aucun texte n’empêche cet échange. Si l’analyse devait être confirmée, d’autres décisions seraient nécessaires pour évaluer à partir de quel stade on peut considérer n’avoir aucun moyen significatif de réidentifier les données.
En second lieu, le raisonnement suivi par le Tribunal prend appui sur un arrêt de la Cour datant de 2016, antérieur donc à l’entrée en application du RGPD et du Règlement 2018/1725. La Cour avait alors fait une application de la Directive 95/46[11] applicable à l’époque. Or, parmi les évolutions de ces Règlements par rapport à la Directive précitée, se trouve la définition du terme « pseudonymisation ». La pseudonymisation est « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». La définition n’indique pas que la pseudonymisation dépend de la possibilité pour le détenteur d’accéder aux informations. On pourrait regretter que la définition ne soit pas plus précise en consacrant explicitement l’interprétation de l’arrêt Breyer ou en y mettant fin. Néanmoins, cette définition est à lire également à la lumière du considérant 26 du RGPD : « Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ». Le considérant 26 ne précise pas que la pseudonymisation dépend de la possibilité d’accéder à ces informations supplémentaires.
La création de la pseudonymisation n’a pour seul intérêt que de pouvoir être opposée à l’anonymisation. C’est tout le sens que l’on peut trouver au considérant 26 lorsqu’il précise que des données pseudonymisées « devraient être considérées comme des informations concernant une personne physique identifiable ». Quitte à appliquer l’arrêt Breyer, on peut regretter que le Tribunal n’ait fait aucune allusion à l’article 4 ni au considérant 26 du RGPD (considérant 16 du Règlement 2018/1725) ne serait-ce que pour indiquer que, selon lui, cela ne change rien à l’analyse qui précédait l’adoption des Règlements.
Ces différents éléments laissent à penser que la CJUE, saisie d’un cas identique, pourrait appliquer un raisonnement différent en consacrant le caractère objectif de la notion de pseudonymisation telle qu’elle semble ressortir du considérant 26 du RGPD. Dans un arrêt récent du 2 mars 2023, la CJUE évoque d’ailleurs la pseudonymisation en ces termes : « (…) il convient de préciser qu’il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable, auxquelles s’appliquent les principes relatifs à la protection des données »[12]. Cet arrêt qui répondait à deux questions préjudicielles traitait notamment la question de la transmission par le juge à un tiers de document contenant des données à caractère personnel dans le cadre d’une procédure judiciaire. Au point 57 précité, la Cour n’évoque pas la possibilité que la pseudonymisation dépende de l’accès aux informations identifiantes par le détenteur des données et ne fait aucunement référence à l’arrêt Breyer.
En troisième et dernier lieu, si l’interprétation de l’arrêt Breyer devait prospérer et survivre au RGPD c’est une partie importante de l’effet utile de ce Règlement qui serait mise à mal. Pour rappel, c’est l’évolution rapide des technologies qui a rendu nécessaire l’adoption de ce texte. Comme l’indique le considérant 7, les technologies « requièrent un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles (…). La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques ».
La sécurité juridique et pratique des données est l’enjeu central du RGPD. Or, des données simplement pseudonymisées peuvent par des moyens détournés permettre une réidentification de la personne concernée. Prendre en compte uniquement les moyens offerts au détenteur des données pour réaliser cette réidentification revient à affaiblir la sécurité des données. En effet, si le détenteur n’a pas les moyens de procéder à une réidentification, il peut en aller différemment pour un pirate informatique qui détiendrait les informations ou d’autres informations permettant cette réidentification.
C’est pour préserver l’effet utile de ce texte que la notion de pseudonymisation y a été consacrée et qu’à notre sens celle-ci ne peut être qu’objective et en aucun cas subjective si l’on souhaite que la protection des données soient conservée. Il reviendra à la CJUE, saisie d’une telle question, de consacrer ou non cette interprétation du considérant 26 du RGPD et de considérer ainsi que des données pseudonymisées pour un détenteur conservent leur caractère pseudonymisé pour un autre détenteur même si ce dernier n’a aucun moyen d’accéder aux informations permettant la réidentification des données à caractère personnel.
Hubert de Segonzac, Avocat associé et DPO externe
[1] TUE, 26 avril 2023, T-557/20, Conseil de Résolution Unique c/ Contrôleur européen de la protection des données.
[2] Pt. 83.
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[4] Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (Texte présentant de l’intérêt pour l’EEE.)
[5] Pt. 60.
[6] Pt. 61.
[7] CJUE, 20/12/2017, Nowak, C-434/16.
[8] Pt. 73.
[9] CJUE, 19/10/2016, Breyer, C-582/14.
[10] Pt. 97.
[11] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[12] CJUE, 02/03/2023, Norra, C-268/21, pt. 57