CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:T:2023:219

ARRÊT DU TRIBUNAL (huitième chambre élargie)

26 avril 2023 (*)

« Protection des données à caractère personnel – Procédure de dédommagement des actionnaires et des créanciers à la suite de la résolution d’un établissement bancaire – Décision du CEPD constatant la violation par le CRU de ses obligations relatives au traitement des données à caractère personnel – Article 15, paragraphe 1, sous d), du règlement (UE) 2018/1725 – Notion de “données à caractère personnel” – Article 3, point 1, du règlement 2018/1725 – Droit d’accès au dossier »

Dans l’affaire T‑557/20,

Conseil de résolution unique (CRU), représenté par M^mes H. Ehlers, M. Fernández Rupérez, A. Lapresta Bienz, en qualité d’agents, assistées de M^es H.-G. Kamann, M. Braun, F. Louis, et L. Hesse, avocats,

partie requérante,

contre

Contrôleur européen de la protection des données (CEPD), représenté par M^me P. Candellier, MM. X. Lareo et T. Zerdick, en qualité d’agents,

partie défenderesse,

LE TRIBUNAL (huitième chambre élargie),

composé de MM. A. Kornezov, président, G. De Baere (rapporteur), D. Petrlík, K. Kecsmár et M^me S. Kingston, juges,

greffier : M^me I. Kurme, administratrice,

vu la phase écrite de la procédure,

à la suite de l’audience du 1^er décembre 2022,

rend le présent

Arrêt

1 Par son recours fondé sur l’article 263 TFUE, le Conseil de résolution unique (CRU) demande, d’une part, l’annulation de la décision révisée du Contrôleur européen de la protection des données (CEPD) du 24 novembre 2020 adoptée à la suite de la demande de réexamen présentée par le CRU de la décision du CEPD du 24 juin 2020 concernant cinq réclamations soumises par plusieurs réclamants (affaires 2019-947, 2019-998, 2019-999, 2019-1000 et 2019-1122) (ci-après la « décision révisée ») et, d’autre part, la déclaration d’illégalité de la décision du CEPD du 24 juin 2020 (ci-après la « décision initiale »).

Antécédents du litige

2 Le 7 juin 2017, la session exécutive du CRU a adopté la décision SRB/EES/2017/08, concernant un dispositif de résolution à l’égard de Banco Popular Español, SA (ci-après le « dispositif de résolution »), sur le fondement du règlement (UE) n^o 806/2014 du Parlement européen et du Conseil, du 15 juillet 2014, établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) n^o 1093/2010 (JO 2014, L 225, p. 1).

3 Le même jour, la Commission européenne a adopté la décision (UE) 2017/1246, approuvant le dispositif de résolution (JO 2017, L 178, p. 15).

4 Dans le dispositif de résolution, le CRU, considérant que les conditions prévues par l’article 18, paragraphe 1, du règlement n^o 806/2014 étaient remplies, a décidé de soumettre Banco Popular Español (ci-après « Banco Popular ») à une procédure de résolution. Le CRU a décidé de déprécier et de convertir les instruments de capital de Banco Popular en application de l’article 21 du règlement n^o 806/2014 et d’appliquer l’instrument de cession des activités en vertu de l’article 24 du règlement n^o 806/2014 par le transfert des actions à un acquéreur.

5 À la suite de la résolution de Banco Popular, Deloitte a transmis au CRU, le 14 juin 2018, la valorisation de la différence de traitement, prévue à l’article 20, paragraphes 16 à 18, du règlement n^o 806/2014, réalisée afin de déterminer si les actionnaires et les créanciers auraient bénéficié d’un meilleur traitement si Banco Popular avait fait l’objet d’une procédure normale d’insolvabilité (ci-après la « valorisation 3 »).

6 Le 6 août 2018, le CRU a publié, sur son site Internet, son avis du 2 août 2018 relatif à sa décision préliminaire sur la nécessité d’accorder ou non un dédommagement aux actionnaires et aux créanciers qui ont fait l’objet des mesures de résolution concernant Banco Popular et au lancement de la procédure du droit d’être entendu (SRB/EES/2018/132) (ci-après la « décision préliminaire »), ainsi qu’une version non confidentielle de la valorisation 3. Le 7 août 2018, une communication concernant l’avis du CRU a été publiée au Journal officiel de l’Union européenne (JO 2018, C 277 I, p. 1).

7 Dans la décision préliminaire, le CRU a indiqué que, pour lui permettre de prendre une décision finale sur la nécessité ou non d’accorder aux actionnaires et aux créanciers affectés par la résolution de Banco Popular un dédommagement au titre de l’article 76, paragraphe 1, sous e), du règlement n^o 806/2014, il les invitait à faire part de leur intérêt à exercer leur droit d’être entendus en application de l’article 41, paragraphe 2, sous a), de la charte des droits fondamentaux de l’Union européenne.

Sur la procédure relative au droit d’être entendu

8 Dans la décision préliminaire, le CRU a indiqué que la procédure relative au droit d’être entendu se déroulerait en deux phases. Dans une première phase (ci-après la « phase d’inscription »), les actionnaires et créanciers affectés étaient invités à faire part de leur intérêt à exercer leur droit d’être entendus à l’aide d’un formulaire d’inscription en ligne, jusqu’au 14 septembre 2018. Ensuite, le CRU devait vérifier si chaque partie ayant manifesté son intérêt avait effectivement le statut d’actionnaire ou de créancier affecté. Dans une seconde phase (ci-après la « phase de consultation »), les actionnaires et créanciers affectés dont le statut avait été vérifié par le CRU pouvaient soumettre leurs commentaires sur la décision préliminaire, à laquelle était annexée la valorisation 3.

9 Lors de la phase d’inscription, les actionnaires et créanciers affectés souhaitant exercer leur droit d’être entendus devaient fournir au CRU les pièces justificatives prouvant que, à la date de la résolution, ils détenaient un ou plusieurs instruments de capital de Banco Popular qui ont été dépréciés ou convertis et transférés à Banco Santander, SA dans le cadre de la résolution. Les pièces justificatives à fournir comprenaient une pièce d’identité et une preuve de la propriété de l’un de ces instruments de capital à la date du 6 juin 2017.

10 Le 6 août 2018, date d’ouverture de la phase d’inscription, le CRU a également publié, sur la page Internet d’inscription à la procédure relative au droit d’être entendu et sur son site Internet, une déclaration de confidentialité concernant le traitement des données à caractère personnel dans le cadre de la procédure relative au droit d’être entendu (ci-après la « déclaration de confidentialité »).

11 Le 16 octobre 2018, le CRU a annoncé, sur son site Internet, que, à partir du 6 novembre 2018, les actionnaires et créanciers éligibles seraient invités à soumettre leurs commentaires écrits sur la décision préliminaire lors de la phase de consultation.

12 Le 6 novembre 2018, par courrier électronique, le CRU a envoyé aux actionnaires et aux créanciers éligibles un lien personnel unique leur permettant d’accéder sur Internet à un formulaire (ci-après le « formulaire »). Le formulaire comportait sept questions, avec un espace de réponse limité, permettant aux actionnaires et aux créanciers affectés de présenter, avant le 26 novembre 2018, des commentaires sur la décision préliminaire ainsi que sur la version non confidentielle de la valorisation 3.

13 Le CRU a examiné les commentaires pertinents des actionnaires et des créanciers affectés relatifs à la décision préliminaire. Il a demandé à Deloitte, en sa qualité d’évaluateur indépendant, d’évaluer les commentaires pertinents relatifs à la valorisation 3, de lui fournir un document contenant son évaluation et d’examiner si la valorisation 3 restait valable à la lumière de ces commentaires.

Sur le traitement des données collectées par le CRU dans le cadre de la procédure relative au droit d’être entendu

14 Les données collectées lors de la phase d’inscription, à savoir les preuves de l’identité des participants et de la propriété d’instruments de capital de Banco Popular dépréciés ou convertis et transférés, étaient accessibles à un nombre limité de membres du personnel du CRU chargés du traitement de ces données afin de déterminer l’éligibilité des participants.

15 Ces données n’étaient pas visibles par les membres du personnel du CRU chargés du traitement des commentaires reçus lors de la phase de consultation, au cours de laquelle ceux-ci ont uniquement reçu des commentaires identifiés par référence à un code alphanumérique attribué à chaque commentaire soumis au moyen du formulaire. Le code alphanumérique consistait en un identifiant unique universel à 33 chiffres, généré de manière aléatoire au moment de la réception des réponses au formulaire.

16 Dans une première étape, le CRU a réalisé un filtrage automatique de 23 822 commentaires, portant chacun un code alphanumérique unique, soumis par 2 855 participants à la procédure. Deux algorithmes ont permis d’identifier 20 101 commentaires comme étant identiques. Le commentaire soumis en premier lieu a été considéré comme étant le commentaire original, qui a été examiné lors de la phase d’analyse, et les commentaires identiques reçus ultérieurement ont été identifiés comme étant des doublons.

17 Dans une deuxième étape, la phase d’analyse, le CRU a examiné les commentaires dans l’objectif de garantir une cohérence lors de l’évaluation de leur pertinence et de leur catégorisation ou de leur regroupement dans des thématiques définies. Le CRU a ainsi identifié des commentaires similaires, mais non identiques, qui étaient fondés sur les mêmes sources disponibles sur Internet.

18 Le personnel du CRU chargé de l’analyse des commentaires n’avait accès ni aux données collectées lors de la phase d’inscription, de sorte que ces commentaires étaient dissociés des informations personnelles relatives aux personnes qui les avaient soumis, ni à la clé de données ou aux informations permettant de retrouver l’identité d’un participant par référence au code alphanumérique unique attribué à chaque commentaire.

19 Lors de cette phase d’analyse, le CRU a comparé tous les commentaires soumis et les a classés en fonction de la question du formulaire à laquelle ils répondaient. Les commentaires ont ensuite été appréciés en fonction de leur pertinence et divisés entre, d’une part, ceux qui relevaient du champ d’application de la procédure relative au droit d’être entendu en ce qu’ils pouvaient avoir une influence sur la décision préliminaire ou sur la valorisation 3 et, d’autre part, ceux qui n’en relevaient pas en ce qu’ils concernaient d’autres aspects de la résolution de Banco Popular.

20 Un commentaire relevant du champ d’application de la procédure était ensuite assigné à l’un des quinze thèmes prédéfinis par le CRU. En fonction du thème dont ils relevaient, les commentaires ont été divisés entre ceux qui devaient être examinés par le CRU en ce qu’ils concernaient la décision préliminaire et ceux qui devaient être examinés par Deloitte en ce qu’ils concernaient la valorisation 3. Le CRU n’a pas distingué, parmi les commentaires qui devaient être examinés, ceux qui n’avaient été soumis qu’une seule fois de ceux qui disposaient de doublons.

21 À l’issue de la phase d’analyse, le CRU a identifié 3 730 commentaires classés en fonction de leur pertinence et de leur thème.

22 Dans une troisième étape, la phase d’examen, les commentaires relatifs à la décision préliminaire ont été traités par le CRU et ceux relatifs à la valorisation 3, à savoir 1 104 commentaires, ont été transférés à Deloitte, le 17 juin 2019, par le biais d’un serveur virtuel de données sécurisé et dédié au CRU. Le CRU a téléchargé les fichiers à communiquer à Deloitte sur le serveur virtuel et a donné accès à ces fichiers à un nombre limité et contrôlé de membres du personnel de Deloitte directement impliqués dans ce projet.

23 Les commentaires transférés à Deloitte étaient filtrés, catégorisés et agrégés. Lorsqu’ils constituaient des copies de commentaires précédents, une seule version a été transmise à Deloitte, de sorte que les commentaires individuels qui avaient été répliqués ne pouvaient pas être distingués au sein d’un même thème et Deloitte n’avait pas la possibilité de savoir si un commentaire avait été formulé par un ou plusieurs participants à la procédure.

24 Les commentaires transférés à Deloitte concernaient uniquement ceux reçus lors de la phase de consultation et portaient un code alphanumérique. Au moyen de ce code, le CRU était le seul à pouvoir relier les commentaires aux données reçues lors de la phase d’inscription. Le code alphanumérique a été développé à des fins d’audit pour permettre de vérifier et éventuellement de démontrer a posteriori que chaque commentaire avait été traité et dûment pris en compte. Deloitte n’avait pas et n’a toujours pas accès à la base de données collectées lors de la phase d’inscription.

Sur la procédure devant le CEPD

25 Les 19, 26 et 28 octobre ainsi que le 5 décembre 2019, des actionnaires et des créanciers affectés ayant répondu au formulaire ont transmis au CEPD cinq réclamations (affaires 2019-947, 2019-998, 2019-999, 2019-1000 et 2019-1122) (ci-après les « cinq réclamations ») au titre du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO 2018, L 295, p. 39).

26 Les auteurs des cinq réclamations (ci-après les « réclamants ») ont invoqué le fait que le CRU ne les avait pas informés que les données collectées au moyen des réponses au formulaire seraient transmises à des tiers, à savoir Deloitte et Banco Santander, en violation des termes de la déclaration de confidentialité. Ils ont allégué que le CRU avait, de ce fait, violé l’article 15, paragraphe 1, sous d), du règlement 2018/1725, selon lequel, « [l]orsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, […] les informations [concernant,] le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ».

27 Le 12 décembre 2019, le CEPD a informé le CRU qu’il avait reçu les cinq réclamations et lui a demandé de présenter des observations.

28 Le 24 juin 2020, à l’issue d’une procédure au cours de laquelle le CRU a fourni diverses explications à la demande du CEPD et les réclamants ont produit des observations, le CEPD a adopté la décision initiale. Le CEPD a considéré que le CRU avait violé l’article 15 du règlement 2018/1725 en ce qu’il n’avait pas informé les réclamants, dans la déclaration de confidentialité, de la possibilité que leurs données à caractère personnel soient communiquées à Deloitte. Par conséquent, il a rappelé à l’ordre le CRU pour cette violation en vertu de l’article 58, paragraphe 2, sous b), du règlement 2018/1725.

29 Le 22 juillet 2020, le CRU a demandé au CEPD de réexaminer la décision initiale en vertu de l’article 18, paragraphe 1, de la décision du CEPD du 15 mai 2020 portant adoption du règlement intérieur du CEPD (JO 2020, L 204, p. 49). Le CRU a notamment fourni une description détaillée de la procédure relative au droit d’être entendu et de l’analyse des commentaires soumis, lors de la phase de consultation, par quatre des réclamants identifiés. Il a fait valoir que les informations transmises à Deloitte ne constituaient pas des données à caractère personnel au sens de l’article 3, point 1, du règlement 2018/1725.

30 Le 5 août 2020, le CEPD a informé le CRU que, au regard des nouveaux éléments fournis, il avait décidé de réexaminer la décision initiale et qu’il adopterait une décision qui la remplacerait.

31 Le 24 novembre 2020, à l’issue de la procédure de révision, pendant laquelle les réclamants ont présenté des observations et le CRU a fourni des informations complémentaires à la demande du CEPD, ce dernier a adopté la décision révisée.

32 Le CEPD a décidé de réviser la décision initiale dans les termes suivants :

« 1. Le CEPD estime que les données que le CRU a partagées avec Deloitte étaient des données pseudonymisées, à la fois parce que les commentaires de la phase [de consultation] étaient des données à caractère personnel et parce que le CRU partageait le code alphanumérique permettant de relier les réponses reçues lors de la phase [d’inscription] à celles de la phase [de consultation], bien que les données fournies par les participants pour s’identifier lors de la phase [d’inscription] n’aient pas été communiquées à Deloitte.

2. Le CEPD estime que Deloitte était un destinataire de données à caractère personnel des réclamants au sens de l’article 3, point 13, du règlement 2018/1725. Le fait que Deloitte n’ait pas été mentionné dans la déclaration de confidentialité du CRU en tant que destinataire potentiel des données à caractère personnel collectées et traitées par le CRU, en sa qualité de responsable du traitement dans le cadre de la procédure relative au droit d’être entendu, constitue une violation de l’obligation d’information prévue à l’article 15, paragraphe 1, sous d), [du règlement 2018/1725].

3. À la lumière de toutes les mesures techniques et organisationnelles mises en place par le CRU pour atténuer les risques pour le droit des personnes à la protection des données dans le cadre de la procédure relative au droit d’être entendu, le CEPD décide de ne pas exercer son pouvoir d’adopter des mesures correctrices prévu à l’article 58, paragraphe 2, [du règlement 2018/1725].

4. Le CEPD néanmoins recommande au CRU de s’assurer que ses déclarations de confidentialité dans les futures procédures relatives au droit d’être entendu couvrent le traitement des données à caractère personnel tant lors de la phase d’inscription que lors de la phase de consultation et qu’elles incluent tous les destinataires potentiels des informations collectées, afin de respecter pleinement l’obligation d’informer les personnes concernées conformément à l’article 15 [du règlement 2018/1725]. »

Conclusions des parties

33 Le CRU conclut, après adaptation de ses conclusions, à ce qu’il plaise au Tribunal :

– annuler la décision révisée ;

– déclarer illégale la décision initiale ;

– condamner le CEPD aux dépens.

34 Le CEPD conclut à ce qu’il plaise au Tribunal :

– rejeter le recours ;

– condamner le CRU aux dépens.

En droit

Sur le deuxième chef de conclusions, visant à ce que le Tribunal « déclare illégale la décision initiale »

35 En l’espèce, il est constant entre les parties que la décision révisée a abrogé et remplacé la décision initiale.

36 Le CEPD fait valoir que, de ce fait, le chef de conclusions visant la décision initiale est irrecevable.

37 Le CRU soutient qu’il conserve un intérêt à faire constater les irrégularités procédurales ayant conduit à l’adoption de la décision initiale, à savoir les violations de ses droits de la défense et de son droit d’accès au dossier, afin qu’elles ne se reproduisent pas dans de futures procédures. Il a précisé, dans sa réponse à une mesure d’organisation de la procédure, que, par son deuxième chef de conclusions, il ne demandait pas d’annuler la décision initiale, celle-ci ayant été abrogée et remplacée par la décision révisée avec un effet ex tunc, mais de la déclarer illégale.

38 Il y a donc lieu de considérer que, par son deuxième chef de conclusions, le CRU vise à obtenir un jugement déclaratoire et non l’annulation d’un acte.

39 Or, il suffit de rappeler qu’il ressort d’une jurisprudence constante que le Tribunal n’est pas compétent, dans le cadre du contrôle de légalité fondé sur l’article 263 TFUE, pour prononcer des arrêts déclaratoires (voir arrêts du 4 février 2009, Omya/Commission, T‑145/06, EU:T:2009:27, point 23 et jurisprudence citée, et du 13 septembre 2018, DenizBank/Conseil, T‑798/14, EU:T:2018:546, point 135 et jurisprudence citée).

40 Il s’ensuit que le deuxième chef de conclusions du CRU, visant à ce que le Tribunal « déclare illégale la décision initiale », doit être rejeté en raison de l’incompétence du Tribunal pour en connaître.

Sur la recevabilité du premier chef de conclusions, visant à l’annulation de la décision révisée

41 La recevabilité du recours relève des fins de non-recevoir d’ordre public, qui peuvent, à tout moment, être relevées d’office par le juge de l’Union européenne (voir arrêt du 16 mars 2022, MEKH et FGSZ/ACER, T‑684/19 et T‑704/19, EU:T:2022:138, point 29 et jurisprudence citée ; voir également, en ce sens, arrêt du 24 mars 1993, CIRFS e.a./Commission, C‑313/90, EU:C:1993:111, point 23). Dans le cadre d’une mesure d’organisation de la procédure, le Tribunal a interrogé les parties, notamment, sur la question de savoir si la décision révisée constituait un acte attaquable au titre de l’article 263 TFUE.

42 En réponse à cette question, le CEPD indique que le fait que la décision révisée contienne sa position finale et une constatation de violation n’est pas suffisant pour qu’elle constitue un acte attaquable. Il serait nécessaire que cette position entraîne une modification de la situation juridique du CRU. Le CEPD n’ayant pas fait usage, dans la décision révisée, de ses pouvoirs correctifs prévus à l’article 58 du règlement 2018/1725, celle-ci pourrait être considérée comme ne produisant pas d’effets juridiques aux fins du contrôle juridictionnel au titre de l’article 263 TFUE.

43 Le CRU, dans sa réponse à cette même question, fait valoir que la décision révisée produit des effets juridiques susceptibles d’affecter ses intérêts.

44 Il ressort de la jurisprudence que, en vertu de l’article 263, quatrième alinéa, TFUE, seuls peuvent être attaqués par une personne physique ou morale les actes produisant des effets de droit obligatoires de nature à affecter les intérêts de celle-ci, en modifiant de façon caractérisée sa situation juridique. Ainsi, constituent en principe des actes attaquables les mesures qui fixent définitivement la position d’une institution, d’un organe ou d’un organisme de l’Union au terme d’une procédure administrative et qui visent à produire des effets de droit obligatoires de nature à affecter les intérêts de la partie requérante, à l’exclusion des mesures intermédiaires dont l’objectif est de préparer la décision finale, qui n’ont pas de tels effets (voir arrêts du 25 juin 2020, CSUE/KF, C‑14/19 P, EU:C:2020:492, points 69 et 70 et jurisprudence citée, et du 6 mai 2021, ABLV Bank e.a./BCE, C‑551/19 P et C‑552/19 P, EU:C:2021:369, point 39 et jurisprudence citée).

45 Pour déterminer si l’acte attaqué produit de tels effets, il y a lieu de s’attacher à la substance de cet acte et d’apprécier ces effets à l’aune de critères objectifs, tels que le contenu dudit acte, en tenant compte, le cas échéant, du contexte de l’adoption de ce dernier ainsi que des pouvoirs de l’institution, de l’organe ou de l’organisme de l’Union qui en est l’auteur (voir arrêts du 22 avril 2021, thyssenkrupp Electrical Steel et thyssenkrupp Electrical Steel Ugo/Commission, C‑572/18 P, EU:C:2021:317, point 48 et jurisprudence citée ; du 6 mai 2021, ABLV Bank e.a./BCE, C‑551/19 P et C‑552/19 P, EU:C:2021:369, point 41 et jurisprudence citée, et du 6 octobre 2021, Tognoli e.a./Parlement, C‑431/20 P, EU:C:2021:807, point 34 et jurisprudence citée).

46 En premier lieu, il convient de rappeler que la décision révisée a été adoptée par le CEPD à la suite d’une demande du CRU de révision de la décision initiale. La décision révisée, adoptée à l’issue d’une procédure administrative contradictoire, abroge et remplace la décision initiale et constitue une décision qui fixe définitivement la position du CEPD concernant les cinq réclamations.

47 Or, l’article 64, paragraphe 2, du règlement 2018/1725, relatif au droit à un recours juridictionnel effectif, prévoit que les décisions du CEPD peuvent faire l’objet d’un recours devant la Cour de justice de l’Union européenne.

48 En particulier, l’article 18 du règlement intérieur du CEPD, sur le fondement duquel la décision révisée a été adoptée, dispose notamment dans son paragraphe 3 :

« Lorsque, à la suite d’une demande de révision de sa décision relative à une réclamation, le CEPD rend une nouvelle décision révisée, il informe le réclamant et l’institution concernée qu’ils peuvent contester cette nouvelle décision devant la Cour de justice de l’Union européenne conformément à l’article 263 [TFUE]. »

49 À cet égard, dans la lettre d’accompagnement de la décision révisée envoyée au CRU, il est indiqué ce qui suit :

« Veuillez noter que cette décision annule et remplace la décision adoptée le 24 juin 2020. Vous pouvez introduire un recours en annulation contre cette décision devant la Cour de justice de l’Union européenne, dans un délai de deux mois à compter de l’adoption de la présente décision et dans les conditions prévues à l’article 263 [TFUE]. »

50 En second lieu, s’agissant de la substance de la décision révisée, il y a lieu de rappeler, d’une part, que le CEPD a conclu que le CRU avait commis une violation de l’obligation d’information prévue à l’article 15, paragraphe 1, sous d), du règlement 2018/1725 et, d’autre part, qu’il lui a recommandé, en substance, de s’assurer, dans ses futures déclarations de confidentialité, de ne pas reproduire une telle violation.

51 D’une part, il y a lieu de relever que, en application de l’article 65 du règlement 2018/1725, une telle violation est susceptible d’engager la responsabilité du CRU, en tant que responsable du traitement des données concernées, sous réserve du respect des autres conditions prévues par les traités.

52 D’autre part, en application de l’article 66, paragraphe 1, du règlement 2018/1725, le CEPD, pour décider s’il y a lieu d’imposer une amende administrative à une institution ou à un organe de l’Union et pour décider du montant de cette amende, tient compte, notamment, de toute violation similaire commise précédemment par cette institution ou cet organe. Dès lors, si le CRU ne devait pas suivre la recommandation du CEPD de modifier à l’avenir ses déclarations de confidentialité dans les procédures relatives au droit d’être entendu, une violation similaire de l’article 15, paragraphe 1, sous d), du règlement 2018/1725 par le CRU pourrait être constatée et conduire à l’imposition d’une amende.

53 Il s’ensuit que la constatation, dans la décision révisée, de la violation par le CRU de l’article 15, paragraphe 1, sous d), du règlement 2018/1725 produit des effets juridiques obligatoires, quand bien même le CEPD a indiqué qu’il renonçait à exercer son pouvoir d’adopter des mesures correctrices prévu à l’article 58, paragraphe 2, du règlement 2018/1725.

54 Au regard de ce qui précède, la décision révisée est un acte de l’Union de nature à affecter les intérêts de son destinataire, en modifiant de façon caractérisée sa situation juridique. Elle constitue donc un acte attaquable au sens de l’article 263 TFUE.

55 Partant, il y a lieu de considérer que le premier chef de conclusions visant à l’annulation de la décision révisée est recevable.

Sur le fond

56 À l’appui de son recours, le CRU soulève deux moyens. Le premier moyen est tiré de la violation de l’article 3, point 1, du règlement 2018/1725 en ce que les informations transmises à Deloitte ne constituaient pas des données à caractère personnel. Le second moyen est tiré de la violation du droit à une bonne administration consacré par l’article 41 de la charte des droits fondamentaux.

57 Par le premier moyen, le CRU fait valoir que le CEPD a violé l’article 3, point 1, du règlement 2018/1725 en estimant, dans la décision révisée, que les informations transmises à Deloitte constituaient des données à caractère personnel des réclamants.

58 L’article 3, point 1, du règlement 2018/1725 définit les données à caractère personnel comme étant « toute information se rapportant à une personne physique identifiée ou identifiable [et indique qu’]est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

59 Il ressort de cette définition qu’une information constitue une donnée à caractère personnel, notamment, si deux conditions cumulatives sont réunies, à savoir, d’une part, que cette information « se rapporte » à une personne physique et, d’autre part, que cette personne soit « identifiée ou identifiable ».

Sur la condition prévue à l’article 3, point 1, du règlement 2018/1725 selon laquelle l’information « se rapporte » à une personne physique

60 Le CRU fait valoir que les commentaires reçus lors de la phase de consultation et communiqués à Deloitte ne se rapportaient pas à des personnes spécifiques au sens de l’article 3, point 1, du règlement 2018/1725. Il estime que le raisonnement suivi dans l’arrêt du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994), ne s’applique pas aux commentaires des réclamants. Il soutient que les informations contenues dans les commentaires des réclamants étaient des informations factuelles et juridiques indépendantes des personnes ou des qualités personnelles des réclamants et sans rapport avec leur vie privée. Il considère que l’objectif de la procédure relative au droit d’être entendu était d’évaluer des arguments de fait et de droit concernant la décision préliminaire et la valorisation 3 provenant d’un grand nombre de parties intéressées, dont la personnalité et l’identité n’étaient pas pertinentes aux fins d’évaluer leurs commentaires.

61 Le CEPD fait valoir que le contenu des commentaires des actionnaires et des créanciers affectés est une information les « concernant », étant donné que leurs réponses contenaient et reflétaient leur point de vue personnel, même si elles se fondaient sur des informations accessibles au public. Les réponses au formulaire des réclamants et des autres participants constitueraient des données à caractère personnel, indépendamment de la question de savoir s’il s’agit de l’expression d’un point de vue original ou d’un point de vue partagé avec d’autres et indépendamment de la question de savoir si le CRU les considère comme des informations indépendantes des droits spécifiques des actionnaires et des créanciers affectés en matière de respect de la vie privée.

62 Le CEPD considère également que les commentaires constituent des données à caractère personnel en raison de leur effet. L’appréciation portée sur ces commentaires, visant à vérifier la validité de la valorisation 3 et la légalité de la décision préliminaire, aurait été susceptible d’avoir une incidence sur les intérêts et les droits des participants en matière de compensation financière. Enfin, il fait valoir que la finalité de la collecte des commentaires était d’accorder des droits procéduraux à chaque partie, afin de recueillir des points de vue individuels.

63 Dans la décision révisée, le CEPD a indiqué que les réponses reçues lors de la phase de consultation constituaient des données à caractère personnel des réclamants, dans la mesure où elles contenaient leur point de vue personnel et constituaient donc des informations les concernant, même si elles se fondaient sur des informations accessibles au public pour exprimer leur point de vue. Il a estimé que le fait que les réclamants aient exprimé des points de vue semblables, mais non identiques, à ceux d’autres participants ne signifiait pas que leurs réponses ne reflétaient pas leur propre opinion. Par conséquent, le CEPD a considéré que les réponses fournies dans les champs de texte libre par les réclamants et les autres participants devaient toutes être considérées comme des données à caractère personnel, qu’il s’agisse de l’expression d’un point de vue original et unique ou d’un point de vue partagé avec d’autres ou inspiré ou tiré d’informations accessibles au public. Il a ajouté que cette conclusion n’était pas contredite par l’arrêt du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994), dans lequel la Cour n’avait pas fait de distinction entre les réponses entièrement élaborées par les répondants et les réponses tirées d’autres sources de connaissances.

64 Il convient d’examiner si le CEPD a pu estimer à juste titre que les informations transmises à Deloitte « se rapportaient » à une personne physique au sens de l’article 3, point 1, du règlement 2018/1725.

65 À titre liminaire, il y a lieu de constater que, dans la décision révisée, le CEPD a qualifié de données à caractère personnel l’ensemble des commentaires formulés par les actionnaires et créanciers affectés dans le cadre de la phase de consultation et n’a pas limité son appréciation aux seules informations transmises à Deloitte.

66 Or, dans la mesure où la violation de l’article 15, paragraphe 1, sous d), du règlement 2018/1725 constatée dans la décision révisée concernait uniquement le fait pour le CRU de ne pas avoir mentionné, dans la déclaration de confidentialité, que Deloitte serait le destinataire potentiel de certaines données, il convient de se limiter à examiner si les informations transmises à Deloitte étaient des données à caractère personnel au sens de l’article 3, point 1, du règlement 2018/1725.

67 À cet égard, l’article 3, point 13, du règlement 2018/1725 définit le « destinataire » comme étant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu’il s’agisse ou non d’un tiers ».

68 Selon la jurisprudence, l’emploi de l’expression « toute information » dans le cadre de la définition de la notion de « donnée à caractère personnel » figurant à l’article 3, point 1, du règlement 2018/1725 reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle n’est pas restreinte aux informations sensibles ou d’ordre privé, mais englobe potentiellement toute sorte d’informations, tant objectives que subjectives sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause (voir, par analogie, arrêt du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 34).

69 S’agissant de cette dernière condition, la Cour a jugé qu’elle était satisfaite lorsque, en raison de son contenu, de sa finalité ou de son effet, l’information était liée à une personne déterminée (arrêt du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 35).

70 Or, dans la décision révisée, le CEPD n’a examiné ni le contenu, ni la finalité, ni l’effet des informations transmises à Deloitte.

71 En effet, il s’est limité à indiquer que les commentaires produits par les réclamants lors de la phase de consultation reflétaient leurs opinions ou leurs points de vue et à conclure, sur ce seul fondement, qu’ils constituaient des informations les concernant, ce qui suffisait pour les qualifier de données à caractère personnel.

72 Lors de l’audience, le CEPD a confirmé que, selon lui, toute opinion personnelle constituait une donnée à caractère personnel. Il a également admis ne pas avoir examiné le contenu des commentaires produits par les réclamants lors de la phase de consultation.

73 Certes, il ne saurait être exclu que des points de vue personnels ou des opinions constituent des données à caractère personnel. Toutefois, il ressort des points 34 et 35 de l’arrêt du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994), cités aux points 68 et 69 ci-dessus, qu’une telle conclusion ne peut être fondée sur une présomption telle que celle décrite aux points 71 et 72 ci-dessus, mais doit s’appuyer sur l’examen visant à déterminer si, par son contenu, sa finalité ou son effet, un point de vue est lié à une personne déterminée.

74 Il s’ensuit que, à défaut d’avoir procédé à un tel examen, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations « se rapportant » à une personne physique au sens de l’article 3, point 1, du règlement 2018/1725.

75 Le Tribunal examinera ensuite l’appréciation du CEPD relative à la question de savoir si les informations transmises à Deloitte se rapportaient à une personne physique « identifiée ou identifiable ».

Sur la condition prévue à l’article 3, point 1, du règlement 2018/1725 selon laquelle l’information se rapporte à une personne physique « identifiée ou identifiable »

76 Le CRU fait valoir que, contrairement à ce qu’a considéré le CEPD, la communication du code alphanumérique à Deloitte n’a pas conduit à « pseudonymiser » les données. Celles-ci seraient restées anonymes, dans la mesure où le CRU n’aurait pas partagé avec Deloitte les informations permettant de réidentifier les auteurs des commentaires.

77 Le CRU soutient que les données sont rendues anonymes pour un tiers, même si l’information permettant la réidentification n’est pas irrévocablement éliminée et est conservée par le sous-traitant initial, dès lors que le format dans lequel les données sont communiquées à ce tiers ne permet plus l’identification de l’auteur des observations ou ne la rend pas raisonnablement vraisemblable. Le CRU fait valoir que, contrairement à ce qu’a estimé le CEPD dans la décision révisée, le règlement 2018/1725 et la jurisprudence de la Cour exigent une évaluation du risque de réidentification.

78 Plus particulièrement, le CRU allègue que les conditions posées par la jurisprudence de la Cour concernant l’existence d’un risque de réidentification lorsque toutes les informations susceptibles de permettre l’identification ne sont pas détenues par une seule personne, mais par plusieurs parties, ne sont pas remplies en l’espèce. D’une part, le code alphanumérique attribué aux commentaires individuels ne permettrait pas à Deloitte de réidentifier les personnes ayant soumis des commentaires. Les informations supplémentaires mentionnées à l’article 3, point 6, du règlement 2018/1725 seraient constituées par la base de données permettant le décodage auquel seul le CRU aurait accès. D’autre part, s’agissant du critère de probabilité raisonnable de combinaison des informations, Deloitte n’aurait pas eu et n’aurait toujours pas de moyens légaux d’accéder aux informations supplémentaires et d’identification.

79 Le CEPD soutient que le fait que Deloitte n’ait pas eu accès aux informations détenues par le CRU permettant la réidentification n’a pas pour conséquence que les données « pseudonymisées » transmises à Deloitte soient devenues des données anonymes. Il ne serait pas nécessaire de déterminer si les auteurs des informations transmises à Deloitte étaient réidentifiables par ce dernier ou si cette réidentification était raisonnablement probable. Des données « pseudonymisées » le resteraient même lorsqu’elles sont transmises à un tiers qui ne disposerait pas des informations supplémentaires.

80 Le CEPD fait valoir que l’utilisation du terme « indirectement » à l’article 3, point 1, du règlement 2018/1725 signifie que, pour qu’une information soit qualifiée de donnée à caractère personnel, il n’est pas nécessaire qu’elle permette à elle seule d’identifier la personne concernée. En outre, s’agissant des moyens raisonnablement susceptibles d’être utilisés tant par le responsable du traitement que par toute autre personne, il ne serait pas requis que toutes les informations permettant d’identifier la personne concernée doivent se trouver entre les mains d’une seule personne.

81 Dans la décision révisée, le CEPD a considéré que les informations transmises à Deloitte étaient des données « pseudonymisées ». À cet égard, il a indiqué que la différence entre les données « pseudonymisées » et les données anonymes résidait dans le fait que, dans le cas de données anonymes, il n’existait pas d’« informations supplémentaires » pouvant être utilisées pour attribuer les données à une personne concernée spécifique, alors que dans le cas de données « pseudonymisées », de telles informations supplémentaires existaient. Par conséquent, afin d’évaluer si les données étaient anonymes ou « pseudonymisées », il convenait d’examiner s’il existait des « informations supplémentaires » pouvant être utilisées pour attribuer les données à des personnes concernées spécifiques.

82 Le CEPD a relevé que le CRU avait transmis à Deloitte non seulement certains commentaires des actionnaires et des créanciers affectés, mais également le code alphanumérique correspondant, et que Deloitte n’avait pas eu accès aux réponses données lors de la phase d’inscription. Il a indiqué que, comme l’avait expliqué le CRU, « il était impossible pour Deloitte de retracer l’identité de toute partie utilisant ce code en se référant aux données concrètes fournies par les parties éligibles dans le cadre de la phase d’enregistrement (qui a toujours été conservée par le CRU) ». Le CEPD a toutefois considéré que les données fournies lors de la phase d’inscription avec l’identifiant unique, à savoir le code alphanumérique attribué à chaque participant éligible, constituaient un exemple parfait d’« informations supplémentaires » au sens de l’article 3, point 6, du règlement 2018/1725, car elles pouvaient être utilisées par le CRU pour attribuer les données à une personne concernée spécifique.

83 Le CEPD a expliqué que le règlement 2018/1725 n’opérait pas de distinction entre ceux qui conservaient les données « pseudonymisées » et ceux qui détenaient les informations supplémentaires et que le fait qu’il s’agissait d’entités différentes ne rendait pas anonymes les données « pseudonymisées ». Il a ajouté que le fait que Deloitte n’ait pas été en mesure à lui seul d’attribuer les commentaires aux données reçues lors de la phase d’inscription n’excluait pas que les données qu’il avait reçues étaient « pseudonymisées ». De l’avis du CEPD, les données que le CRU avait partagées avec Deloitte étaient des données « pseudonymisées », à la fois parce que les commentaires reçus lors de la phase de consultation étaient des données à caractère personnel et parce que le CRU partageait le code alphanumérique qui permettait de relier les réponses données lors de la phase d’inscription à celles données lors de la phase de consultation, bien que les données fournies par les participants pour s’identifier lors de la phase d’inscription n’aient pas été communiquées à Deloitte. Il en a conclu que les informations transmises à Deloitte étaient des données « pseudonymisées » et, partant, des données à caractère personnel au sens de l’article 3, point 1, du règlement 2018/1725.

84 À titre liminaire, il y a lieu de relever que, eu égard aux mécanismes mis en place par le CRU concernant le traitement des données collectées dans le cadre de la procédure relative au droit d’être entendu, décrits aux points 14 à 24 ci-dessus, les informations transmises à Deloitte ne concernaient pas des personnes « identifiées ».

85 Il convient donc d’examiner si le CEPD a pu estimer à juste titre que les informations transmises à Deloitte se rapportaient à une personne physique « identifiable » au sens de l’article 3, point 1, du règlement 2018/1725.

86 Selon cette disposition, est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement.

87 Le considérant 16 du règlement 2018/1725 prévoit ce qui suit :

« […] Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci […] »

88 Il y a lieu de relever que, dans l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779), la Cour a interprété la notion de « donnée à caractère personnel » au sens de l’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), qui contient une disposition équivalente à l’article 3, point 1, du règlement 2018/1725.

89 Cette affaire posait la question de savoir si une adresse de protocole Internet (ci‑après l’« adresse IP ») dynamique constituait une donnée à caractère personnel à l’égard du fournisseur de services de médias en ligne qui l’avait enregistrée. La Cour a estimé qu’il convenait de vérifier si cette adresse IP pouvait être qualifiée d’information se rapportant à une « personne physique identifiable », prenant en compte, d’une part, le fait qu’elle n’offrait pas, à elle seule, à ce fournisseur la possibilité d’identifier l’utilisateur qui avait consulté le site Internet et, d’autre part, le fait que les informations supplémentaires nécessaires qui, si elles étaient combinées avec cette adresse IP, permettraient d’identifier ledit utilisateur étaient détenues par le fournisseur d’accès à Internet.

90 Dans la mesure où le considérant 16 du règlement 2018/1725 fait référence aux moyens susceptibles d’être raisonnablement mis en œuvre tant par le responsable du traitement que par une « autre personne », le libellé de celui-ci suggère que, pour qu’une donnée puisse être qualifiée de « donnée à caractère personnel » au sens de l’article 3, point 1, du règlement 2018/1725, il n’est pas requis que toutes les informations permettant d’identifier la personne concernée doivent se trouver entre les mains d’une seule personne (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 43).

91 Cependant, la Cour a ajouté que le fait que les informations supplémentaires nécessaires pour identifier l’utilisateur d’un site Internet étaient détenues non pas par le fournisseur de services de médias en ligne, mais par le fournisseur d’accès à Internet de cet utilisateur n’apparaissait ainsi pas de nature à exclure que les adresses IP dynamiques enregistrées par le fournisseur de services de médias en ligne constituaient, pour celui-ci, des données à caractère personnel (arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 44).

92 La Cour a estimé qu’il convenait néanmoins de déterminer si la possibilité de combiner une adresse IP dynamique avec lesdites informations supplémentaires détenues par ce fournisseur d’accès à Internet constituait un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée (arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 45).

93 La Cour a indiqué que tel n’aurait pas été le cas si l’identification de la personne concernée avait été interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle aurait impliqué un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification aurait paru en réalité insignifiant (arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 46).

94 En l’espèce, il n’est pas contesté, d’une part, que le code alphanumérique figurant sur les informations transmises à Deloitte ne permettait pas à lui seul d’identifier les auteurs des commentaires et, d’autre part, que Deloitte n’avait pas accès aux données d’identification reçues lors de la phase d’inscription permettant de relier les participants à leurs commentaires grâce au code alphanumérique.

95 Le CEPD a indiqué dans la décision révisée et confirmé lors de l’audience que les informations supplémentaires nécessaires pour identifier les auteurs des commentaires consistaient en le code alphanumérique et la base de données d’identification.

96 Certes, comme le soutient le CEPD, eu égard au point 43 de l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779), cité au point 90 ci-dessus, le fait que les informations supplémentaires nécessaires pour identifier les auteurs des commentaires reçus lors de la phase de consultation étaient détenues non pas par Deloitte, mais par le CRU, n’apparaît pas de nature à exclure a priori que les informations transmises à Deloitte constituaient, pour celui-ci, des données à caractère personnel.

97 Toutefois, il ressort également de l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779), que, pour déterminer si les informations transmises à Deloitte constituaient des données à caractère personnel, il convient de se placer du point de vue de ce dernier pour déterminer si les informations qui lui ont été transmises se rapportent à des « personnes identifiables ».

98 En effet, il y a lieu de rappeler, premièrement, que la violation de l’article 15, paragraphe 1, sous d), du règlement 2018/1725 constatée par le CEPD dans la décision révisée concernait le transfert par le CRU de certains commentaires à Deloitte et non la seule détention par le CRU de ceux-ci.

99 Deuxièmement, d’une part, la situation de Deloitte peut être comparée à celle du fournisseur de services de médias en ligne visée dans l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779), étant donné qu’il détenait des informations, à savoir les commentaires relatifs à la valorisation 3, qui ne constituaient pas des informations se rapportant à une « personne physique identifiée », dans la mesure où le code alphanumérique figurant sur chaque réponse ne permettait pas de révéler directement l’identité de la personne physique ayant rempli le formulaire. D’autre part, la situation du CRU peut être comparée à celle du fournisseur d’accès à Internet dans cette affaire, dans la mesure où il est constant qu’il était le seul à détenir les informations supplémentaires permettant l’identification des actionnaires et des créanciers affectés ayant répondu au formulaire, à savoir le code alphanumérique et la base de données d’identification.

100 Dès lors, en application du point 44 de l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779), cité au point 91 ci-dessus, il appartenait au CEPD d’examiner si les commentaires transmis à Deloitte constituaient, à l’égard de celui-ci, des données à caractère personnel.

101 Ainsi, c’est à tort que le CEPD soutient qu’il n’était pas nécessaire de rechercher si les auteurs des informations transmises à Deloitte étaient réidentifiables par ce dernier ou si cette réidentification était raisonnablement possible.

102 Force est de constater que, dans la décision révisée, le CEPD a considéré que le fait que le CRU détenait les informations supplémentaires permettant de réidentifier les auteurs des commentaires était suffisant pour conclure que les informations transmises à Deloitte étaient des données à caractère personnel, tout en reconnaissant que les données d’identification reçues lors de la phase d’inscription n’avaient pas été communiquées à Deloitte.

103 Il ressort ainsi de la décision révisée que le CEPD s’est contenté d’examiner la possibilité de réidentifier les auteurs des commentaires du point de vue du CRU et non de Deloitte.

104 Or, il ressort du point 45 de l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779), cité au point 92 ci-dessus, qu’il appartenait au CEPD de déterminer si la possibilité de combiner les informations qui avaient été transmises à Deloitte avec les informations supplémentaires détenues par le CRU constituait un moyen susceptible d’être raisonnablement mis en œuvre par Deloitte pour identifier les auteurs des commentaires.

105 Partant, à défaut pour le CEPD d’avoir recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une « personne physique identifiable » au sens de l’article 3, point 1, du règlement 2018/1725.

106 Il ressort de l’ensemble de ce qui précède qu’il y a lieu d’accueillir le premier moyen et, partant, d’annuler la décision révisée sans qu’il soit nécessaire d’examiner le second moyen.

Sur les dépens

107 Aux termes de l’article 134, paragraphe 1, du règlement de procédure du Tribunal, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens

108 Le CEPD ayant succombé en l’essentiel de ses conclusions, il y a lieu de le condamner aux dépens, conformément aux conclusions du CRU.

Par ces motifs,

LE TRIBUNAL (huitième chambre élargie)

déclare et arrête :

1) La décision révisée du Contrôleur européen de la protection des données (CEPD) du 24 novembre 2020 adoptée à la suite de la demande de réexamen présentée par le Conseil de résolution unique (CRU) de la décision du CEPD du 24 juin 2020 concernant cinq réclamations soumises par plusieurs réclamants (affaires 2019-947, 2019-998, 2019-999, 2019-1000 et 2019-1122) est annulée.

2) Le recours est rejeté pour le surplus.

3) Le CEPD est condamné aux dépens.

Kornezov

De Baere

Petrlík

Kecsmár

Kingston

Ainsi prononcé en audience publique à Luxembourg, le 26 avril 2023.

Signatures

* Langue de procédure : l’anglais.