La Cour de justice de l’Union européenne, par un arrêt de sa première chambre rendu le 27 juin 2024 (aff. C-115/22 P), apporte des précisions majeures sur l’identification des données pseudonymisées.
Le litige trouve son origine dans la transmission à une société d’audit de commentaires formulés par des investisseurs lors de la résolution d’un établissement de crédit. L’autorité de contrôle avait sanctionné l’organisme de l’Union pour ne pas avoir mentionné ce destinataire dans la déclaration de confidentialité fournie lors de la collecte. Le Tribunal de l’Union européenne a toutefois annulé cette décision le 26 avril 2023 (aff. T-557/20), estimant que les données n’étaient pas personnelles pour le destinataire.
Saisie d’un pourvoi, la juridiction suprême doit déterminer si le caractère identifiable d’une personne physique s’apprécie selon la perspective du responsable du traitement ou celle du tiers. La Cour censure le raisonnement des premiers juges en affirmant que l’identifiabilité dépend de la capacité du responsable au moment de la collecte des informations en cause. La compréhension de cette décision suppose d’analyser la conception extensive des données personnelles ainsi que la primauté de la perspective du responsable du traitement.
I. L’appréhension large de la donnée par l’inclusion des opinions subjectives
A. La reconnaissance du caractère personnel des avis exprimés
La Cour rappelle que la notion de données à caractère personnel englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations. Elle souligne que les opinions personnelles constituent une « expression de la pensée d’une personne » et demeurent ainsi « nécessairement intimement liées à cette dernière ». L’examen du seul contenu de l’information suffit alors à établir qu’elle se rapporte à une personne physique identifiée ou identifiable sans analyse complémentaire. La juridiction rejette ainsi toute interprétation restrictive qui exclurait les points de vue personnels du champ de protection des libertés et des droits individuels fondamentaux.
B. La persistance de la qualification malgré le recours à la pseudonymisation
Le recours à des mesures techniques visant à masquer l’identité des auteurs ne modifie pas la nature juridique des informations traitées par l’organisme de l’Union. Pour le responsable disposant des informations supplémentaires permettant de lever l’anonymat, les commentaires « conservent, en dépit de la pseudonymisation, leur caractère personnel ». La pseudonymisation n’est qu’une mesure de sécurité destinée à réduire les risques sans pour autant soustraire les données au régime de protection légale. Une telle distinction demeure cruciale pour éviter que des données identifiables ne soient indûment traitées comme des informations anonymes par le responsable initial.
L’établissement de la nature personnelle des informations transmises commande alors de définir les modalités de contrôle du respect des obligations de transparence par le responsable.
II. Le centrage du contrôle de la transparence sur le responsable du traitement
A. La détermination de l’identifiabilité au moment de la collecte
L’arrêt précise que l’obligation de fournir des informations sur les destinataires potentiels s’inscrit exclusivement dans la relation juridique unissant le responsable à la personne concernée. Ce devoir de transparence doit être rempli « au moment où les données en question sont obtenues » afin de permettre à l’administré un consentement éclairé. La Cour affirme donc que le caractère identifiable de l’individu « doit être apprécié au moment de la collecte des données » par le responsable. Cette solution garantit que l’exercice des droits ne dépende pas de circonstances techniques ultérieures ou de la perspective de tiers destinataires.
B. L’indifférence de la perspective du destinataire pour l’obligation d’information
La juridiction suprême écarte l’approche du Tribunal qui subordonnait le respect de la transparence aux capacités de ré-identification dont disposerait concrètement le tiers destinataire final. Elle considère qu’une telle thèse « méconnaît également l’objet de l’obligation d’information » en reportant indûment dans le temps le contrôle de la légalité du traitement. Le respect des garanties fondamentales ne saurait varier selon les moyens raisonnables mis en œuvre par un prestataire pour identifier les auteurs des messages transmis. En imposant au responsable d’informer les personnes dès l’origine, la Cour assure une protection pérenne et uniforme des données personnelles.
