Une donnée anonymisée pour l’un peut rester personnelle pour l’autre. C’est, en substance, ce que vient d’affirmer la Cour de justice de l’Union européenne dans un arrêt du 4 septembre 2025 qui rebat les cartes en matière de protection des données. Pour les entreprises qui partagent ou transfèrent des données pseudonymisées, les conséquences sont concrètes et immédiates.
1. Pseudonymisation : ni anonymisation, ni protection absolue
Tout commence avec la résolution de la Banco Popular Español, une banque espagnole placée en procédure de résolution à partir de 2017. Dans ce cadre, le Conseil de résolution unique (CRU) — l’autorité européenne chargée de gérer les faillites bancaires — avait mis en place un dispositif permettant aux actionnaires et créanciers de soumettre leurs observations. Pour protéger l’identité des participants, leurs commentaires étaient transmis au cabinet d’audit Deloitte, chargé de les évaluer, sous une forme pseudonymisée : chaque auteur était remplacé par un code alphanumérique aléatoire de 33 caractères. La clé permettant de relier ce code à une identité réelle restait exclusivement entre les mains du CRU.
Le Contrôleur européen de la protection des données (CEPD) a estimé que le CRU aurait dû informer les participants de cette transmission, même pseudonymisée. Le CRU a contesté cette décision devant les juridictions européennes, donnant lieu à l’arrêt commenté.
La Cour rappelle un principe fondamental : la pseudonymisation n’est pas l’anonymisation. Tant que le responsable du traitement conserve la table de correspondance permettant de retrouver l’identité des personnes, les données restent des données personnelles à son égard, quand bien même le destinataire ne dispose pas de cette clé.
2. Une donnée peut être personnelle pour l’un et ne pas l’être pour l’autre
C’est la grande nouveauté de cet arrêt : la Cour reconnaît explicitement qu’une même donnée peut simultanément être une donnée personnelle pour le responsable du traitement et ne pas l’être pour le destinataire qui en reçoit une version pseudonymisée, sans moyen raisonnable d’identifier les personnes concernées.
Cette approche, dite « relative » ou « contextuelle », tranche avec une conception jusqu’alors plus absolue : une donnée était personnelle ou elle ne l’était pas, indépendamment de qui la détenait. Désormais, la qualification dépend des moyens concrets dont dispose chaque acteur pour relier une information à une personne physique.
Cette évolution s’inscrit dans la continuité d’un précédent arrêt dit « Breyer » de 2016, dans lequel la Cour avait déjà jugé qu’une adresse IP pouvait constituer une donnée personnelle pour un opérateur capable d’en retracer l’origine, mais pas nécessairement pour un tiers sans accès à ces informations.
3. L’obligation d’informer les personnes concernées reste entière
Pour autant, cette souplesse dans la qualification des données n’allège en rien les obligations du responsable du traitement. Et c’est là que la décision prend toute sa portée pratique.
La Cour est très claire : l’obligation d’informer les personnes concernées doit être respectée au moment de la collecte des données, du point de vue du responsable du traitement. Peu importe que le destinataire soit ou non capable d’identifier les personnes : si les données sont personnelles pour celui qui les transmet, il doit en informer les personnes concernées.
Concrètement, cela signifie que :
- Les politiques de confidentialité doivent mentionner tous les destinataires de données pseudonymisées, même ceux qui ne peuvent pas les réidentifier.
- Les notices d’information (mentions légales, formulaires de collecte) doivent couvrir l’ensemble des flux de données, y compris ceux jugés à faible risque.
- Le fait de « bien pseudonymiser » les données avant de les partager ne dispense pas de l’obligation de transparence envers les personnes concernées.
En pratique, cette position conduit à élargir le périmètre des informations à communiquer aux personnes dont les données sont traitées, et à revoir les processus internes de cartographie des traitements.
4. Intelligence artificielle et transferts internationaux : les prochains chantiers
L’arrêt ouvre également deux chantiers majeurs pour les années à venir.
Le premier concerne le développement de l’intelligence artificielle. Les systèmes d’IA nécessitent des volumes importants de données pour s’entraîner. La pseudonymisation est souvent utilisée comme outil pour permettre cet usage tout en limitant les risques pour la vie privée. La Commission européenne, dans son projet dit « Digital Omnibus » présenté en novembre 2025, propose d’aller plus loin : une donnée pseudonymisée ne serait pas considérée comme personnelle pour une organisation qui ne dispose pas des moyens de réidentifier les personnes. Cette clarification vise à sécuriser les projets d’IA et à réduire les coûts de conformité, tout en maintenant un niveau de protection élevé là où le risque est réel.
Le second concerne les transferts de données hors de l’Union européenne. Le RGPD impose des garanties strictes lorsque des données personnelles sont envoyées dans un pays tiers (clauses contractuelles types, règles d’entreprise contraignantes…). Mais si les données transmises ne sont plus « personnelles » du point de vue du destinataire situé hors UE, faut-il encore appliquer ces garanties ? La question reste ouverte — l’arrêt ne la tranche pas directement — mais elle est posée. Une interprétation raisonnable suggère que si l’importateur est dans l’impossibilité d’identifier les personnes concernées, le risque d’atteinte à leurs droits est réduit à néant, ce qui pourrait justifier un allègement des formalités. Cette piste devra toutefois être confirmée par les autorités de protection des données ou par de nouvelles décisions de justice.
***
Vous avez des questions sur la pseudonymisation de vos données, vos obligations d’information ou l’encadrement de vos transferts internationaux ? Les avocats du cabinet Deshoulieres Avocats vous accompagnent dans la mise en conformité de vos traitements avec le RGPD. Vous pouvez dès à présent demander un devis gratuit ici.
