- within Employment and HR topic(s)
Ce que l’entreprise doit retenir de la décision
La Cour de justice de l’Union européenne a rendu, le 4 septembre 2025, un arrêt de principe dans l’affaire EDPS c. SRB (C-413/23 P) dont la portée dépasse largement le contentieux bancaire à l’origine du litige. Cinq enseignements structurants s’en dégagent.
La qualification de donnée personnelle est relative, non absolue
La Cour confirme qu’une même donnée pseudonymisée peut être une donnée personnelle pour l’organisme qui détient la clé de correspondance, et cesser de l’être pour le tiers qui ne dispose d’aucun moyen raisonnable de réidentification. Il ne s’agit plus d’une propriété intrinsèque de la donnée, mais d’une qualification contextuelle.
Conséquence pratique : l’entreprise doit conduire une analyse acteur par acteur — le statut de la donnée n’est pas le même pour le responsable de traitement, le sous-traitant, le prestataire d’analyse ou le partenaire commercial.
La pseudonymisation peut équivaloir à l’anonymisation pour le destinataire
Lorsque le destinataire des données ne dispose d’aucune information supplémentaire ni d’aucun accès légal ou technique permettant de lever la pseudonymisation, les données peuvent être traitées comme des données anonymes de son point de vue. La condition est stricte : la séparation doit être effective, documentée et vérifiable.
Le test des « moyens raisonnablement susceptibles » est confirmé et renforcé
La Cour reprend le critère énoncé dans l’arrêt Breyer (C-582/14, 19 octobre 2016) et l’applique désormais explicitement aux scénarios de partage de données pseudonymisées entre acteurs indépendants. L’évaluation doit porter sur les moyens légaux, techniques et pratiques dont le destinataire dispose effectivement.
Le responsable de traitement reste tenu à la transparence
L’obligation d’information prévue à l’article 13 du RGPD s’apprécie au moment de la collecte et du point de vue du responsable de traitement. Même si les données transmises deviennent anonymes pour le destinataire, le responsable initial doit informer les personnes concernées de l’existence de cette communication et de l’identité du destinataire.
Attention : la déqualification du côté destinataire ne dispense jamais le responsable de traitement de ses obligations propres.
L’approche absolutiste du CEPD est désavouée
La Cour rejette la position selon laquelle toute donnée pseudonymisée resterait, en toutes circonstances et pour tout acteur, une donnée personnelle. Les lignes directrices du CEPD sur la pseudonymisation, en cours de finalisation depuis janvier 2025, devront vraisemblablement être révisées pour tenir compte de cette approche relative.
Checklist de mise en œuvre
Le tableau ci-dessous synthétise les actions à conduire pour tirer les conséquences opérationnelles de l’arrêt du 4 septembre 2025. Chaque action est adossée à une base légale ou jurisprudentielle identifiée.
Phase A — Cartographie et qualification des flux
| N° | Action | Détail opérationnel | Référence | Responsable |
| 1 | Inventorier les flux de données pseudonymisées | Recenser chaque transfert de données pseudonymisées vers un tiers (sous-traitant, prestataire, partenaire). Inclure les flux internes entre services disposant de niveaux d’accès différents. | Art. 30 RGPD (registre) | DPO / DSI |
| 2 | Évaluer les moyens de réidentification du destinataire | Pour chaque flux identifié : le destinataire détient-il la clé de correspondance ? A-t-il accès à des sources de recoupement ? Dispose-t-il de moyens légaux pour obtenir la réidentification ? | CJUE C-413/23 P, §86 ; CJUE Breyer | DPO / Juridique |
| 3 | Qualifier le statut de la donnée pour chaque acteur | Appliquer le test relatif : la donnée est-elle personnelle du point de vue du responsable ? Du sous-traitant ? Du destinataire final ? Documenter la conclusion pour chaque acteur. | Considérant 26 RGPD | DPO |
| 4 | Documenter l’analyse dans une note dédiée | Rédiger une note d’analyse de pseudonymisation (PAR — Pseudonymisation Assessment Record) formalisée, datée, signée et révisée annuellement. | Art. 5.2 / 24 RGPD (accountability) | DPO / Juridique |
Phase B — Sécurisation technique de la pseudonymisation
| N° | Action | Détail opérationnel | Référence | Responsable |
| 5 | Séparer physiquement les clés de correspondance | La table de correspondance identifiant/code doit être stockée dans un environnement distinct, avec contrôle d’accès strict (chiffrement, HSM, coffre-fort numérique). Aucun accès ne doit être possible au destinataire. | Art. 4(5) / 32 RGPD | DSI / RSSI |
| 6 | Interdire contractuellement la réidentification | Insérer dans tout contrat de transmission une clause interdisant au destinataire de tenter de réidentifier les personnes, directement ou par recoupement, sous peine de résiliation et de dommages-intérêts. | Art. 28 RGPD ; CJUE C-413/23 P | Juridique |
| 7 | Vérifier l’absence de recoupement possible | Conduire un test technique de réidentification : le destinataire peut-il, en croisant les données pseudonymisées avec d’autres sources en sa possession, réidentifier des personnes ? Si oui, les données restent personnelles. | Considérant 26 RGPD ; Breyer | DSI / DPO |
| 8 | Mettre en place une traçabilité des accès | Journaliser les accès à la table de correspondance et aux jeux de données pseudonymisées. Prévoir des alertes en cas d’accès anormal. | Art. 32 RGPD | DSI / RSSI |
Phase C — Obligations de transparence et d’information
| N° | Action | Détail opérationnel | Référence | Responsable |
| 9 | Informer les personnes concernées dès la collecte | Même si les données seront pseudonymisées avant transmission, mentionner l’identité ou la catégorie des destinataires dans la notice d’information. L’obligation s’apprécie au moment de la collecte. | Art. 13.1(e) RGPD ; CJUE C-413/23 P, §111-112 | DPO / Juridique |
| 10 | Mettre à jour la politique de confidentialité | Décrire le processus de pseudonymisation, ses finalités, les catégories de destinataires, et préciser le fondement juridique du transfert. | Art. 13-14 RGPD | Juridique / DPO |
| 11 | Mettre à jour le registre des traitements | Ajouter une mention spécifique de la pseudonymisation dans la colonne « mesures de sécurité » et qualifier le statut de la donnée pour chaque destinataire. | Art. 30 RGPD | DPO |
Phase D — Encadrement contractuel et gouvernance
| N° | Action | Détail opérationnel | Référence | Responsable |
| 12 | Auditer les contrats de sous-traitance existants | Vérifier que chaque contrat art. 28 RGPD prévoit des stipulations sur la pseudonymisation, l’interdiction de réidentification et les conséquences d’une violation. | Art. 28 RGPD | Juridique |
| 13 | Inclure une clause de réexamen périodique | Prévoir un réexamen annuel de la capacité de réidentification du destinataire. L’évolution technologique peut rendre un jeu de données réidentifiable a posteriori. | Considérant 26 RGPD | Juridique / DPO |
| 14 | Former les équipes opérationnelles | Sensibiliser les équipes data, IT et métier à la distinction pseudonymisation / anonymisation et au test relatif issu de l’arrêt. Intégrer dans le plan de formation RGPD. | Art. 39.1(b) RGPD | DPO / RH |
| 15 | Conduire une AIPD si nécessaire | Si le traitement implique un profilage, des données sensibles ou un croisement à grande échelle, la pseudonymisation ne dispense pas de l’analyse d’impact. Documenter le rôle de la pseudonymisation comme mesure de réduction du risque. | Art. 35 RGPD | DPO |
Phase E — Cas spécifiques : IA, marketing, santé
| N° | Action | Détail opérationnel | Référence | Responsable |
| 16 | Entraînement de modèles d’IA | Si des données pseudonymisées sont utilisées pour l’entraînement de modèles, évaluer si le modèle lui-même peut permettre une réidentification indirecte (attaque par inférence). Documenter le test. | AI Act art. 10 ; RGPD art. 25 | DPO / Data |
| 17 | Partage à des fins de marketing / analytics | Vérifier que le partenaire marketing ne reçoit aucune donnée permettant le recoupement avec ses propres bases. Privilégier l’agrégation aux données individuelles pseudonymisées. | CJUE C-413/23 P | DPO / Marketing |
| 18 | Données de santé ou données sensibles | La pseudonymisation de données de santé ne fait pas disparaître leur caractère sensible pour le responsable de traitement. Les garanties renforcées de l’art. 9 RGPD restent applicables. | Art. 9 RGPD | DPO / Médical |
Recommandations
Ce qui nous conduit à retenir les 5 recommandations suivante s
Premièrement, la pseudonymisation n’est ni un alibi ni un automatisme : elle constitue un levier de déqualification sous conditions strictes qui doivent être documentées, testées et révisées.
Deuxièmement, chaque transfert de données pseudonymisées exige désormais un test relatif d’identifiabilité conduit destinataire par destinataire, documenté et adossé à une interdiction contractuelle de réidentification.
Troisièmement, l’obligation de transparence du responsable de traitement reste entière : l’information des personnes doit mentionner les destinataires même lorsque les données deviennent anonymes à leur réception.
Quatrièmement, l’entreprise doit anticiper l’obsolescence de sa pseudonymisation : les progrès techniques peuvent rendre réidentifiables des données qui ne l’étaient pas lors de la première analyse.
Cinquièmement, cette décision ouvre une opportunité stratégique pour les entreprises qui investissent dans des architectures de partage sécurisé des données, notamment dans les secteurs de la santé, de la finance, du marketing et de l’intelligence artificielle.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]