La Cour de justice de l’Union européenne (CJUE) vient de rendre une décision majeure concernant la qualification des données pseudonymisées. Cette affaire marque un tournant dans l’interprétation de la notion de données personnelles au regard du RGPD.
Une analyse du point de vue du destinataire
La CJUE affirme que l’évaluation doit se faire du point de vue du destinataire des données.
Autrement dit, si celui-ci ne dispose d’aucun moyen raisonnable de ré-identification, les données pseudonymisées peuvent alors être considérées comme anonymes pour lui.
Cette approche, qualifiée de plus pragmatique, s’oppose à la lecture stricte défendue par l’EDPB (Comité européen de la protection des données) et l’EDPS (Contrôleur européen de la protection des données), selon laquelle la pseudonymisation ne fait jamais perdre à une donnée son caractère personnel.
Un rappel sur l’obligation de transparence
Malgré cette évolution, la CJUE a sanctionné le Single Resolution Board (SRB) pour manquement à la transparence :
les personnes concernées auraient dû être informées de la transmission de leurs données à Deloitte, même si ces données n’étaient pas considérées comme personnelles pour Deloitte.
Cette décision souligne l’importance de l’obligation d’information qui pèse sur les responsables de traitement, indépendamment de la qualification des données transmises.
Une décision qui change la donne
Pour la première fois, la pseudonymisation pourrait être reconnue comme une technique d’anonymisation dans certains cas, lorsque les moyens de ré-identification sont jugés non raisonnables.
Le débat se déplace désormais vers la définition concrète de ces “moyens raisonnables” de ré-identification, qui sera déterminante pour l’avenir de la pratique.
Un tournant pour la protection des données en Europe
Cette décision constitue un tournant important pour la protection des données personnelles en Europe.
Elle aura des conséquences directes sur :
- la manière dont les entreprises mettent en œuvre la pseudonymisation et l’anonymisation,
- l’évaluation de la conformité au RGPD,
- les garanties attendues en matière de transparence.
Cette décision de la CJUE ouvre une nouvelle voie d’interprétation et invite les acteurs à repenser leurs pratiques de gestion et de sécurisation des données, entre exigences de conformité et pragmatisme opérationnel.
