Introduction
Le 4 septembre 2025, la Cour de justice de l’Union européenne (la « CJUE ») a rendu sa décision dans l’affaire C 413/23 P, Contrôleur européen de la protection des données (CEPD) c. Conseil de résolution unique (CRU) (l’« arrêt »). Cet arrêt précise que, dans certaines circonstances, les données pseudonymisées peuvent ne pas toujours être considérées comme des données à caractère personnel en vertu des lois européennes sur la protection des données.
Des questions de cette nature ont été soulevées cette année lors de la publication des lignes directrices sur la pseudonymisation par le Comité européen de la protection des données. L’arrêt répond à diverses questions abordées dans notre article précédent et a une incidence sur les organisations canadiennes assujetties au RGPD.
L’arrêt
Dans son arrêt, la CJUE s’est en grande partie alignée sur les conclusions non contraignantes de son avocat général. La CJUE a précisé que, dans certains cas, les données pseudonymisées peuvent ne pas être considérées comme des données à caractère personnel pour une partie, notamment lorsque la pseudonymisation empêche cette partie d’identifier les personnes concernées. Dans ce contexte, le caractère personnel des données dépend du point de vue et des capacités d’identification de la partie qui les traite. À titre d’exemple, même si un fournisseur de services tiers n’est pas capable d’identifier une personne à partir des données pseudonymisées, elles seraient néanmoins considérées comme personnelles pour un responsable du traitement qui détient une clé d’identification, entraînant ainsi l’application des obligations habituelles prévues par le RGPD.
Selon la CJUE, l’identifiabilité doit être évaluée en tenant compte de l’ensemble des moyens raisonnables pouvant servir à identifier une personne, que ce soit directement ou indirectement, y compris les méthodes de ciblage réalisées par un tiers ou le responsable du traitement. Lorsqu’il s’agit de déterminer si de tels moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne, il convient de prendre en compte des facteurs objectifs tels que le coût et le temps nécessaires à l’identification. La CJUE a également confirmé sa position antérieure selon laquelle un moyen d’identification peut ne pas être considéré comme raisonnablement susceptible d’être utilisé si, en pratique, le risque d’identification est négligeable – notamment lorsqu’elle serait illégale ou irréalisable.
Cet arrêt apporte d’importantes précisions sur la nature des données pseudonymisées, qu’elles soient détenues par un tiers ou un responsable du traitement, ainsi que sur les attentes et les obligations qu’ils doivent satisfaire dans le cadre de leur traitement.
Pour plus de renseignements
Fasken est là pour vous aider. N’hésitez pas à consulter notre centre de ressources sur la Loi 25 ou à communiquer avec les auteurs de ce bulletin si vous avez des questions concernant la protection de la vie privée ou la cybersécurité.
Pour obtenir de plus amples renseignements ou pour aborder un sujet en particulier, veuillez communiquer avec nous.
