Anonymisation des données, l'apport de la décision du 26 avril 2023 du Tribunal de l’Union européenne (TUE)

Le 26 avril 2023, le Tribunal de l’Union européenne (TUE) s’est prononcé sur la notion d’anonymisation des données, en annulant une décision du Comité européen de la protection des données (CEPD) et allant à contre-pied des notions établies jusqu’à présent.

Dans cette affaire, dans le cadre d’un dispositif spécifique dit de résolution visant la Banco Popular Español, le Conseil de résolution unique (CRU) espagnol avait demandé à des actionnaires de remplir un formulaire d’inscription en ligne, dans le cadre de leur droit d’être entendu, afin de recueillir leurs commentaires dans le cadre d’un éventuel dédommagement.

Les commentaires recueillis ont été transmis au Cabinet Deloitte (évaluateur indépendant), accompagné d’un code alphanumérique. Deloitte a seulement eu accès aux commentaires et non aux noms, ni prénoms de leurs auteurs. Cinq répondants ont adressé des réclamations au CEPD concernant les données communiquées à Deloitte, en raison de l’absence d’information des actionnaires ayant répondu au questionnaire sur ledit transfert.

La question était de savoir si les données transmises à Deloitte étaient pseudonymisées ou anonymisées, et donc si ce transfert était soumis à la règlementation sur les données personnelles.

Le CEPD a estimé que Deloitte avait été destinataire de données à caractère personnel (bien que non destinataire des données identifiantes), lesquelles étaient simplement pseudonymisées car le CRU disposait du code alphanumérique permettant de relier les réponses reçues lors de la phase d’inscription aux commentaires reçus lors de la phase de consultation. Le CEPD a estimé que la réidentification des données étant possible, elles ne pouvaient être considérées comme anonymisées. Le CEPD estime que dès lors qu’il existe des « informations supplémentaires » (ici le code alphanumérique lié à l’information identifiante, détenu par le CRU), les données sont simplement pseudonymisées et non anonymisées.

Le Tribunal annule cette décision en indiquant que le CEPD s’est contenté d’examiner la possibilité de réidentifier les auteurs des commentaires du point de vue du CRU et non de Deloitte.

Le Tribunal estime que « pour déterminer si les informations transmises à Deloitte constituaient des données à caractère personnel, il convient de se placer du point de vue de ce dernier pour déterminer si les informations qui lui ont été transmises se rapportent à des personnes identifiables » et de rechercher si ce dernier « disposant de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification » des personnes concernées.

En se positionnant ainsi, le Tribunal conclut que les informations détenues par Deloitte « ne constituaient pas des informations se rapportant à une personne physique identifiée dans la mesure où le code alphanumérique figurant sur chaque réponse ne permettait pas de révéler directement l’identité de la personne physique ayant rempli le formulaire ».

En conséquence, le TUE semble retenir une définition de l’anonymisation beaucoup plus large que le CEPD, puisqu’il se place du point de vue du destinataire des données, et au regard des moyens légaux et réalisables.

Toutefois, interrogée à ce sujet par l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel), la CNIL a indiqué avoir relevé le caractère inédit de cette décision du Tribunal de l’Union par son appréciation restrictive de la notion de données personnelles qui ne s’inscrit pas dans la ligne européenne ou jurisprudentielle française. La Commission dit être préoccupée par cette position qui l’a conduite à solliciter le CEPD pour l’inciter à former un recours contre cette décision, qui sera également discutée avec ses homologues au sein du CEPD.