Affaire C-413/23 P

Contrôleur européen de la protection des données

contre

Conseil de résolution unique

Arrêt de la Cour (première chambre) du 4 septembre 2025

« Pourvoi – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Procédure de dédommagement des actionnaires et des créanciers d’un établissement bancaire à la suite de la résolution de celui-ci – Décision du Contrôleur européen de la protection des données constatant la violation par le Conseil de résolution unique de ses obligations relatives au traitement des données à caractère personnel – Règlement (UE) 2018/1725 – Article 15, paragraphe 1, sous d) – Obligation d’information de la personne concernée – Transmission de données pseudonymisées à un tiers – Article 3, point 1– Notion de “données à caractère personnel” – Article 3, point 6 – Notion de “pseudonymisation” »

1. Institutions de l’Union européenne – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2018/1725 – Notion de données à caractère personnel – Toute information se rapportant à une personne physique identifiée ou identifiable – Procédure relative au droit d’être entendu lancée par le Conseil de résolution unique (CRU) à la suite de l’adoption de mesures de résolution d’un établissement bancaire – Commentaires formulés auprès du CRU par les actionnaires et créanciers affectés par ces mesures – Commentaires pseudonymisés transmis par le CRU à un tiers indépendant aux fins d’évaluation – Appréciation du caractère identifiable des personnes concernées – Inclusion – Exception – Impossibilité d’identifier les personnes concernées

   (Règlement du Parlement européen et du Conseil 2018/1725, considérant 17 et art. 3, points 1 et 6)

   (voir points 54-60, 72-76, 82, 85, 86)

2. Institutions de l’Union européenne – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2018/1725 – Obligation d’information en cas de collecte de données personnelles auprès de la personne concernée – Procédure relative au droit d’être entendu lancée par le Conseil de résolution unique (CRU) à la suite de l’adoption de mesures de résolution d’un établissement bancaire – Commentaires formulés auprès du CRU par les actionnaires et créanciers affectés par ces mesures – Commentaires pseudonymisés transmis par le CRU à un tiers indépendant aux fins d’évaluation – Obligation d’information sur les destinataires des données personnelles collectées incombant au CRU avant le transfert desdits commentaires – Appréciation du caractère identifiable des personnes concernées lors de la collecte des données et du point de vue du responsable du traitement

   [Règlement du Parlement européen et du Conseil 2018/1725, art. 15, § 1, d)]

   (voir points 103, 106, 108-112, 115)

Résumé

Saisie d’un pourvoi introduit par le Contrôleur européen de la protection des données (CEPD), la Cour a annulé l’arrêt CRU/CEPD ( 1 ) et a renvoyé l’affaire devant le Tribunal. Ce faisant, elle a apporté des précisions sur la notion de « données à caractère personnel », dans le contexte de données pseudonymisées et, plus particulièrement, de l’information à fournir à la personne concernée lorsque de telles données sont transférées à un tiers.

En l’occurrence, par décision du 7 juin 2017, le Conseil de résolution unique (CRU) a soumis Banco Popular Español SA (ci-après « Banco Popular ») à une procédure de résolution, approuvée le même jour par la Commission européenne. Le 6 août 2018, le CRU a publié, sur son site Internet, l’avis relatif à sa décision préliminaire sur la nécessité d’accorder ou non un dédommagement aux actionnaires et aux créanciers affectés par la résolution de cet établissement. Afin d’être en mesure de prendre une décision finale sur ce point, il a précisé, dans sa décision préliminaire, qu’il convenait d’organiser une procédure permettant aux intéressés d’exercer leur droit d’être entendu. Des données des actionnaires et créanciers y participant ont été collectées, parmi lesquelles figuraient celles relatives à leur identité ainsi qu’à la preuve de la propriété des instruments de capital de Banco Popular. Une fois leur statut vérifié par le CRU au moyen des données collectées, ces personnes ont soumis des commentaires sur la décision préliminaire. Certains de ceux-ci, sous forme de données pseudonymisées, ont été transférés à Deloitte, société d’audit et de conseil chargée par le CRU de réaliser une valorisation des effets d’une procédure de résolution sur les actionnaires et créanciers ( 2 ).

En 2019, plusieurs actionnaires et créanciers affectés ont transmis au CEPD cinq réclamations au titre du règlement 2018/1725 ( 3 ), au motif que le CRU ne les avait pas informés que les données collectées les concernant seraient transmises à des tiers.

Le CEPD y a donné suite en adoptant une décision initiale qui, après une demande de réexamen par le CRU, a été abrogée et remplacée par une décision révisée. Dans celle-ci, il a estimé que, en l’occurrence, Deloitte était un destinataire de données à caractère personnel des réclamants ( 4 ). En outre, il a constaté que le CRU avait violé l’obligation d’information prévue par le règlement 2018/1725 ( 5 ). Plus précisément, il lui a reproché de ne pas avoir mentionné, dans la déclaration de confidentialité sur le traitement des données à caractère personnel intervenu au cours de la procédure relative au droit d’être entendu, que Deloitte était un destinataire potentiel des données à caractère personnel collectées et traitées par le CRU.

Le CRU a alors introduit un recours devant le Tribunal tendant notamment à obtenir l’annulation de la décision révisée du CEPD. Le Tribunal a partiellement accueilli ce recours et annulé ladite décision.

Appréciation de la Cour

Dans son arrêt, la Cour se prononce sur les conditions, examinées dans l’arrêt attaqué, dans lesquelles les données peuvent être qualifiées de données à caractère personnel.

En premier lieu, elle considère que le Tribunal a commis une erreur de droit en jugeant que le CEPD, pour conclure que les informations ressortant des commentaires transmis à Deloitte « se rapportaient », au sens de l’article 3, point 1, du règlement 2018/1725, aux personnes ayant soumis ces commentaires, aurait dû examiner le contenu, la finalité ou les effets desdits commentaires, dès lors qu’il était constant que ceux-ci exprimaient l’opinion ou le point de vue personnel de leurs auteurs.

À cet égard, la Cour rappelle sa jurisprudence selon laquelle une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable ( 6 ). Dès lors, un examen portant sur le contenu d’une information ne doit pas nécessairement être complété par une analyse de la finalité et des effets de cette information, ainsi que l’indique l’emploi de la conjonction « ou » reliant les différents critères visés par cette jurisprudence.

La Cour souligne que l’interprétation du Tribunal, selon laquelle le CEPD ne pouvait qualifier les informations ressortant des commentaires transmis à Deloitte de données à caractère personnel sur le fondement du seul constat qu’il s’agissait d’opinions ou de points de vue personnels, mais qu’il aurait dû examiner, en outre, le contenu, la finalité et l’effet des opinions ainsi exprimées, afin de déterminer si celles-ci étaient liées à une personne déterminée, méconnaît la nature particulière des opinions ou des points de vue personnels qui, en tant qu’expression de la pensée d’une personne, sont nécessairement intimement liés à cette dernière ( 7 ).

En deuxième lieu, la Cour se prononce sur la condition prévue par l’article 3, point 1, du règlement 2018/1725, relative au caractère « identifiable » de la personne physique concernée et, plus particulièrement, sur l’argumentation du CEPD selon laquelle des données pseudonymisées doivent être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel.

La Cour considère que, contrairement à ce que soutient le CEPD, le Tribunal a jugé à bon droit que des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725, dans la mesure où la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable.

Tout d’abord, la Cour relève que, en vertu du règlement 2018/1725 ( 8 ), la pseudonymisation ne constitue pas un élément de la définition des « données à caractère personnel », mais se réfère à la mise en place de mesures techniques et organisationnelles visant à réduire le risque d’une mise en corrélation d’un ensemble de données avec l’identité des personnes concernées.

Ensuite, elle précise que la notion de « pseudonymisation » présuppose l’existence d’informations permettant d’identifier la personne concernée. Or, l’existence même de telles informations s’oppose à ce que des données ayant fait l’objet d’une pseudonymisation puissent, en toute hypothèse, être considérées comme étant des données anonymes, exclues du champ d’application du règlement 2018/1725.

Enfin, elle souligne que la pseudonymisation a notamment pour objectif d’éviter que la personne concernée puisse être identifiée au moyen des seules données pseudonymisées ( 9 ). En effet, pour autant que les mesures techniques et organisationnelles requises pour une pseudonymisation au sens du règlement 2018/1725 soient effectivement mises en place et qu’elles soient de nature à prévenir une attribution des données en cause à la personne concernée, de telle manière que celle-ci n’est pas ou n’est plus identifiable, la pseudonymisation peut avoir une incidence sur le caractère personnel de ces données. À cet égard, elle précise que, comme c’est normalement le cas du responsable du traitement ayant procédé à la pseudonymisation, le CRU dispose, en l’occurrence, des informations supplémentaires permettant d’attribuer les commentaires transmis à Deloitte à la personne concernée. Pour le CRU, ces commentaires conservent dès lors, en dépit de la pseudonymisation, leur caractère personnel. En revanche, s’agissant de Deloitte, la Cour a relevé que lesdites mesures techniques et organisationnelles peuvent avoir pour effet que, pour cette société, ces commentaires ne présentent pas un caractère personnel. Cela présuppose toutefois, d’une part, que Deloitte ne soit pas en mesure de lever ces mesures lors de tout traitement desdits commentaires effectué sous son contrôle et, d’autre part, que lesdites mesures soient effectivement de nature à empêcher Deloitte d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres.

Selon la Cour, il découle tant du considérant 16 du règlement 2018/1725 que de sa jurisprudence que l’existence d’informations supplémentaires permettant d’identifier la personne concernée n’implique pas, à elle seule, que des données pseudonymisées doivent être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725. À cet égard, elle rappelle que, s’agissant d’un communiqué de presse qui contenait un certain nombre d’indications relatives à une personne sans la désigner nommément, elle ne s’est pas limitée au constat que l’organisme de l’Union ayant publié ce communiqué disposait de l’ensemble des informations permettant d’identifier cette personne, mais elle a examiné si les indications figurant dans ledit communiqué permettaient raisonnablement au public concerné d’identifier cette personne, notamment au moyen d’une combinaison de ces indications avec des informations disponibles sur Internet ( 10 ). En outre, elle a jugé qu’un moyen n’est pas susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée lorsque le risque d’une identification paraît en réalité insignifiant, en ce que l’identification de cette personne est interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre ( 11 ). Dans le même ordre d’idées, elle a jugé que des données en soi impersonnelles, collectées et conservées par le responsable du traitement se rattachaient tout de même à une personne identifiable, dès lors que le responsable du traitement disposait de voies légales pour obtenir auprès d’autrui des informations supplémentaires permettant d’identifier cette personne ( 12 ). En effet, selon la Cour, dans de telles conditions, la circonstance que les informations permettant d’identifier la personne concernée se trouvaient entre les mains de différentes personnes n’était pas de nature à empêcher effectivement son identification de telle manière qu’elle fût non identifiable pour le responsable du traitement.

En particulier, la Cour rappelle que des données étant en soi impersonnelles peuvent acquérir un caractère « personnel », lorsque le responsable du traitement les met à disposition d’autres personnes disposant de moyens raisonnablement susceptibles de permettre l’identification de la personne concernée ( 13 ). Dans le contexte d’une telle mise à disposition, lesdites données présentent un caractère personnel tant pour ces personnes que, indirectement, pour le responsable du traitement.

En troisième lieu, la Cour considère que le Tribunal a commis une erreur de droit en jugeant que, pour apprécier si le CRU avait respecté son obligation d’information, le CEPD aurait dû examiner si les commentaires transmis à Deloitte constituaient, du point de vue de ce dernier, des données à caractère personnel.

À titre liminaire, la Cour relève que si le règlement 2018/1725 ne précise pas expressément la perspective pertinente pour apprécier le caractère identifiable de la personne concernée, il ressort de la jurisprudence ( 14 ) que la perspective pertinente pour apprécier le caractère identifiable de la personne concernée dépend essentiellement des circonstances caractérisant le traitement des données dans chaque cas particulier.

En ce qui concerne, en l’espèce, l’obligation d’information relative aux éventuels destinataires des données à caractère personnel, visée à l’article 15, paragraphe 1, sous d), du règlement 2018/1725, la Cour précise qu’il s’agit d’une information, à fournir parmi d’autres, « au moment où les données en question sont obtenues », au moment de la collecte des données auprès de la personne concernée. Tout en soulignant l’importance du respect de cette obligation d’information, la Cour relève que, lorsque la collecte de telles données est, comme en l’occurrence, fondée sur le consentement de la personne concernée, la validité de celui-ci dépend, entre autres, du point de savoir si celle-ci a, au préalable, obtenu les informations au regard de toutes les circonstances entourant le traitement des données en question auxquelles elle avait droit, en vertu de l’article 15 du règlement 2018/1725, et qui lui permettent de donner un consentement en pleine connaissance de cause. L’obligation de fournir à la personne concernée – au moment de la collecte des données à caractère personnel en lien avec elle – l’information relative aux éventuels destinataires de ces données a notamment pour objectif de permettre à cette personne de décider en pleine connaissance de cause si elle fournit ou, au contraire, refuse de fournir ses données à caractère personnel collectées auprès d’elle.

La Cour ajoute que, outre son caractère indispensable pour que la personne concernée puisse, ultérieurement, défendre ses droits à l’encontre de ces destinataires, l’obligation de fournir une telle information au moment de la collecte des données à caractère personnel garantit, notamment, que ces données ne sont pas collectées contre sa volonté par le responsable de traitement, voire transférées contre son gré à des tiers.

Ainsi, l’obligation d’information s’inscrit dans la relation juridique existant entre la personne concernée et le responsable du traitement et, de ce fait, elle a pour objet les informations en lien avec cette personne telles qu’elles ont été transmises à ce responsable, donc avant tout éventuel transfert à un tiers.

Partant, la Cour considère que, aux fins de l’application de l’obligation d’information prévue par le règlement 2018/1725, le caractère identifiable de la personne concernée doit être apprécié au moment de la collecte des données et du point de vue du responsable du traitement. Ainsi, l’obligation d’information incombant au CRU s’appliquait en amont du transfert des commentaires en cause et indépendamment de leur caractère personnel ou non, du point de vue de Deloitte, après leur éventuelle pseudonymisation.

( 1 ) Arrêt du Tribunal du 26 avril 2023, CRU/CEPD (T 557/20, ci-après l’ arrêt attaqué , EU:T:2023:219).

( 2 ) Valorisation prévue à l’article 20, paragraphes 16 à 18, du règlement (UE) no 806/2014 du Parlement européen et du Conseil du 15 juillet 2014 établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) no 1093/2010 (JO 2014, L 225, p. 1).

( 3 ) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO 2018, L 295, p. 39).

( 4 ) Au sens de l’article 3, point 13, du règlement 2018/1725.

( 5 ) Article 15, paragraphe 1, sous d), du règlement 2018/1725.

( 6 ) Arrêts du 20 décembre 2017, Nowak (C 434/16, EU:C:2017:994, point 35) ; du 7 mars 2024, OC/Commission (C 479/22 P, EU:C:2024:215, point 45) ; et du 7 mars 2024, IAB Europe (C 604/22, EU:C:2024:214, point 37, et jurisprudence citée).

( 7 ) Interprétation corroborée par la jurisprudence issue de l’arrêt du 20 décembre 2017, Nowak (C 434/16, EU:C:2017:994).

( 8 ) Article 3, points 1 et 6, du règlement 2018/1725.

( 9 ) L’article 3, point 6, du règlement 2018/1725 exige la mise en place d’une conservation séparée des informations d’identification ainsi que de mesures techniques et organisationnelles « afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».

( 10 ) Arrêt du 7 mars 2024, OC/Commission (C 479/22 P, EU:C:2024:215, points 52 à 64).

( 11 ) Arrêt du 7 mars 2024, OC/Commission (C 479/22 P, EU:C:2024:215, point 51 et jurisprudence citée).

( 12 ) Arrêts du 19 octobre 2016, Breyer (C 582/14, EU:C:2016:779, points 44, 47 et 48), et du 7 mars 2024, IAB Europe (C 604/22, EU:C:2024:214, points 43 et 48).

( 13 ) Arrêt du 9 novembre 2023, Gesamtverband Autoteile-Handel (Accès aux informations sur les véhicules) (C 319/22, EU:C:2023:837, points 46 et 49)

( 14 ) Jurisprudence rappelée dans les notes de bas de page no 10 à 12 du présent résumé.