La Cour de justice de l’Union européenne ( CJUE) dans sa décision du 4 septembre 2025 (aff. C-413/23 P), vient bouleverser une idée reçue solidement ancrée : la pseudonymisation n’est plus systématiquement synonyme de « données personnelles ». Cette approche plus nuancée et pragmatique, qui oppose frontalement celle de la CNIL et du Contrôleur européen de la protection des données (EDPS), à des conséquences majeures pour les entreprises manipulant des jeux de données pseudonymisées.

Pseudonymisation vs anonymisation : quelles différences ?

la pseudonymisation au sens du RGPD s’entend d'une mesure technique et organisationnelle permettant de garantir que les données personnelles objet de ce traitement ne puissent plus être attribuées à une personne concernée précisément identifiée.

L’anonymisation est un processus irréversible ; aucune identification n’étant possible, même indirectement.

La pseudonymisation est processus réversible si l’on détient des informations complémentaires (la « clé »). A défaut, il peut être considéré comme équivalent à l’anonymisation si aucun acteur n’a accès aux moyens d’identification.

L’ approche contextuelle de la CJUE

Dans l’affaire opposant le contrôleur européen au Conseil de résolution unique (CRU) et à un Cabinet de conseil et d’audit, il s’agissait d’évaluer si des données pseudonymisées analysées par le Cabinet étaient encore des données personnelles, alors que ce dernier ne disposait pas de la clé permettant d’identifier les personnes concernées.

La CJUE juge que le caractère personnel dépend du contexte :

  • Si l’acteur traitant ne dispose pas des moyens raisonnablement susceptibles d’identifier la personne, alors les données pseudonymisées peuvent ne plus être considérées comme personnelles.
  • Les facteurs pris en compte sont notamment le coût, le temps, les technologies disponibles et l’accès réel aux informations supplémentaires.

« Les données pseudonymisées ne doivent pas être considérées comme constituant en toute hypothèse et pour toute personne des données personnelles. »

La CJUE met fin à l’approche absolue : désormais, tout dépend du contexte concret du traitement.

Conseils pratiques pour les entreprises

Cette jurisprudence invite à adapter certaines pratiques contractuelles et organisationnelles.

Les points clés à intégrer dans vos contrats et politiques internes :

  • Clarifier le rôle et les responsabilités de chaque partie ;
  • Prévoir un document technique attestant l’impossibilité raisonnable de réidentification par le tiers destinataire ;
  • Évaluer systématiquement, au cas par cas, le risque réel d’identification ;
  • Informer les personnes concernées lors de la collecte, fondée sur le consentement, du transfert à un tiers, même si la donnée transférée semble non identifiante ;
  • Prévoir une procédure transparente en cas de transfert hors de l’Union européenne ;
  • Garder à l’esprit les évolutions législatives à venir, notamment le projet Omnibus Digital relatif notamment à la simplification du RGPD actuellement en discussion au sein de l’UE.

                                                                            ***

La Commission européenne a publié, le 19 novembre 2025, une proposition visant à simplifier un ensemble de règlements européens, parmi lesquels figure le RGPD. La publication du projet Digital Omnibus dissipe les dernières incertitudes sur l’impact de cette jurisprudence : elle ouvre la voie à une transformation en profondeur des pratiques actuelles et invite à réévaluer la mise en œuvre du RGPD telle qu’elle s’est construite depuis son adoption, à la lumière de cette nouvelle méthodologie potentielle.

Votre avocat vous accompagne pour respecter vos obligations de protection des données personnelles, pour sécuriser vos contrats, former et sensibiliser vos équipes à la protection des données.