Affaire T‑557/20
Conseil de résolution unique (CRU)
contre
Contrôleur européen de la protection des données (CEPD)
Arrêt du Tribunal (huitième chambre élargie) du 26 avril 2023
« Protection des données à caractère personnel – Procédure de dédommagement des actionnaires et des créanciers à la suite de la résolution d’un établissement bancaire – Décision du CEPD constatant la violation par le CRU de ses obligations relatives au traitement des données à caractère personnel – Article 15, paragraphe 1, sous d), du règlement (UE) 2018/1725 – Notion de “données à caractère personnel” – Article 3, point 1, du règlement 2018/1725 – Droit d’accès au dossier »
1. Recours en annulation – Actes susceptibles de recours – Notion – Actes produisant des effets juridiques obligatoires – Actes modifiant la situation juridique du requérant – Décision révisée du Contrôleur européen de la protection des données (CEPD) constatant une violation par Conseil de résolution unique (CRU) de ses obligations relatives au traitement des données à caractère personnel – Inclusion
[Art. 263 TFUE ; règlement du Parlement européen et du Conseil 2018/1725, art. 15, § 1, d)]
(voir points 44-46, 50-54)
2. Institutions de l’Union européenne – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2018/1725 – Notion de données à caractère personnel – Toute information se rapportant à une personne physique identifiée ou identifiable – Procédure relative au droit d’être entendu lancée par le Conseil de résolution unique (CRU) à la suite de l’adoption de mesures de résolution d’un établissement bancaire – Commentaires formulés auprès du CRU par les actionnaires et créanciers affectés par ces mesures – Commentaires transmis par le CRU à un tiers indépendant aux fins d’évaluation – Décision du Contrôleur européen à la protection des données (CEPD) constatant la violation par le CRU de ses obligations relatives au traitement des données de ces actionnaires et créanciers – Absence d’examen par le CEPD du contenu, de la finalité et des effets des commentaires – Absence de détermination par le CEPD de la possibilité pour le tiers indépendant de disposer de moyens légaux et réalisables en pratique permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires transmis – Annulation de la décision du CEPD
(Règlements du Parlement européen et du Conseil no 806/2014, art. 20, § 16, et 2018/1725, art. 3, point 1)
(voir points 64-75, 94-98, 100-106)
Résumé
En juin 2017, le Conseil de résolution unique (CRU) a adopté un dispositif de résolution à l’égard de Banco Popular Español SA, un établissement bancaire, sur le fondement du règlement no 806/2014 (1). Afin de déterminer si les actionnaires et les créanciers affectés par la mesure de résolution auraient bénéficié d’un meilleur traitement si cet établissement avait fait l’objet d’une procédure normale d’insolvabilité, ce règlement impose l’intervention d’un tiers indépendant, afin de réaliser une valorisation de la différence de traitement (2). Le cabinet Deloitte a été chargé de cette valorisation par le CRU.
Une fois cette valorisation effectuée, le CRU a adopté une décision préliminaire sur la nécessité d’accorder ou non un dédommagement aux actionnaires et aux créanciers affectés et a lancé une procédure relative au droit d’être entendu pour lui permettre d’adopter une décision finale (3). Pendant cette procédure, divisée en deux phases, les actionnaires et créanciers affectés ont été invités, dans un premier temps, à faire part de leur intérêt à exercer leur droit d’être entendus à l’aide d’un formulaire d’inscription en ligne et fournir les pièces justificatives à l’appui de leurs droits (phase d’inscription). Dans un second temps, les actionnaires et créanciers affectés dont le statut avait été vérifié par le CRU pouvaient soumettre leurs commentaires écrits sur la décision préliminaire du CRU et la valorisation (phase de consultation). À la date d’ouverture de la phase d’inscription, le CRU a publié sur la page internet d’inscription à la procédure relative au droit d’être entendu, une déclaration de confidentialité concernant le traitement des données à caractère personnel dans le cadre de cette procédure.
Les données collectées lors de la phase d’inscription étaient accessibles à un nombre limité de membres du personnel du CRU chargés du traitement de ces données afin de déterminer l’éligibilité des participants. Ces données n’étaient pas visibles par les membres du personnel du CRU chargés du traitement des commentaires reçus lors de la phase de consultation, au cours de laquelle ceux-ci ont uniquement reçu des commentaires identifiés par référence à un code alphanumérique attribué à chaque commentaire soumis au moyen du formulaire.
Après l’agrégation, le filtrage automatique et la catégorisation des commentaires, le CRU a transmis à Deloitte, pour évaluation, les commentaires relatifs à la valorisation effectuée. Les commentaires transférés à Deloitte concernaient uniquement ceux reçus lors de la phase de consultation et portaient un code alphanumérique. Au moyen de ce code, le CRU était le seul à pouvoir relier les commentaires aux données reçues lors de la phase d’inscription. Deloitte n’avait pas et n’a toujours pas accès à la base de données collectées lors de la phase d’inscription.
Dans ce contexte, étant donné que la déclaration de confidentialité concernant le traitement des données à caractère personnel publiée par le CRU ne contenait pas de mention sur la transmission à des tiers des données collectées au moyen du formulaire, des actionnaires et des créanciers affectés (ci-après les « réclamants ») ont transmis, au titre du règlement 2018/1725 (4), cinq réclamations au Contrôleur européen de la protection des données (CEPD). Ils alléguaient une violation par le CRU de ses obligations d’information relatives au traitement des données à caractère personnel en vertu de ce règlement (5).
Le CEPD a adopté une décision initiale qui, à la suite d’une demande de réexamen par le CRU, a été abrogée et remplacée par une décision révisée dans laquelle le CEPD a considéré que le CRU avait violé une disposition de ce règlement en ce qu’il n’avait pas informé les réclamants, dans la déclaration de confidentialité, de la possibilité que leurs données à caractère personnel soient communiquées à Deloitte. Le CRU a alors introduit un recours devant le Tribunal visant notamment à l’annulation de cette décision révisée du CEPD.
Statuant en chambre élargie, le Tribunal accueille ce recours du CRU et annule la décision révisée du CEPD, en clarifiant la notion de données à caractère personnel au regard des arrêts Nowak (6) et Breyer (7) rendus par la Cour.
Appréciation du Tribunal
Dans son arrêt, le Tribunal apporte des précisions sur la notion de données à caractère personnel, au sens de l’article 3, point 1, du règlement 2018/1725, définie comme étant « toute information se rapportant à une personne physique identifiée ou identifiable ». Pour qu’une information constitue une donnée à caractère personnel, deux conditions cumulatives sont ainsi requises : d’une part, que l’information « se rapporte » à une personne physique et, d’autre part, que cette personne physique soit « identifiée ou identifiable ».
En premier lieu, le Tribunal examine si le CEPD a pu estimer à juste titre que les informations transmises à Deloitte « se rapportaient » à une personne physique au sens de cette disposition.
À titre liminaire, le Tribunal constate que, dans la décision révisée, le CEPD a qualifié de « données à caractère personnel » l’ensemble des commentaires formulés par les actionnaires et créanciers affectés dans le cadre de la phase de consultation et n’a pas limité son appréciation aux seules informations transmises à Deloitte. Or, dans la mesure où la violation par le CRU de ses obligations relatives au traitement des données à caractère personnel en vertu du règlement 2018/1725, constatée dans la décision révisée, concernait uniquement le fait pour le CRU de ne pas avoir mentionné, dans la déclaration de confidentialité, que Deloitte serait le destinataire potentiel de certaines données, le Tribunal estime qu’il convient de se limiter à examiner si les informations transmises à Deloitte étaient des données à caractère personnel au sens de l’article 3, point 1, du règlement 2018/1725.
Dans ce cadre, le Tribunal rappelle l’objectif du législateur d’attribuer un sens large à la notion de donnée à caractère personnel, laquelle n’est pas restreinte aux informations sensibles ou d’ordre privé, mais englobe potentiellement toute sorte d’informations, tant objectives que subjectives, comme les avis ou appréciations, à condition que celles-ci concernent la personne en cause.
À cet égard, le Tribunal constate également que, dans son arrêt Nowak précité, la Cour a déjà eu l’occasion, de juger satisfaite cette condition lorsque, en raison de son contenu, de sa finalité ou de son effet, l’information était liée à une personne déterminée. Or, dans la décision révisée, le CEPD n’a examiné ni le contenu, ni la finalité, ni l’effet des informations transmises à Deloitte. En effet, il s’est limité à indiquer que les commentaires produits par les réclamants lors de la phase de consultation reflétaient leurs opinions ou leurs points de vue et à conclure, sur ce seul fondement, qu’ils constituaient des informations les concernant, ce qui suffisait pour les qualifier de données à caractère personnel. Certes, il ne saurait être exclu que des points de vue personnels ou des opinions constituent des données à caractère personnel. Toutefois, il ressort de l’arrêt Nowak (8) qu’une telle conclusion ne peut être fondée sur une présomption telle que celle appliquée par le CEPD, mais doit s’appuyer sur l’examen visant à déterminer si, par son contenu, sa finalité ou son effet, un point de vue est lié à une personne déterminée. Il s’ensuit que, à défaut d’avoir procédé à un tel examen, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations « se rapportant » à une personne physique au sens de l’article 3, point 1, du règlement 2018/1725.
En second lieu, le Tribunal examine l’appréciation du CEPD relative à la question de savoir si les informations transmises à Deloitte se rapportaient à une personne physique « identifiée ou identifiable » au sens de cette disposition.
À cet égard, le Tribunal relève qu’il n’est pas contesté, d’une part, que le code alphanumérique figurant sur les informations transmises à Deloitte ne permettait pas à lui seul d’identifier les auteurs des commentaires et, d’autre part, que Deloitte n’avait pas accès aux données d’identification reçues lors de la phase d’inscription permettant de relier les participants à leurs commentaires grâce à ce code. Le CEPD a indiqué que les informations supplémentaires nécessaires pour identifier les auteurs des commentaires consistaient dans le code alphanumérique et la base de données d’identification. Certes, eu égard à l’arrêt Breyer précité (9), le fait que les informations supplémentaires nécessaires pour identifier les auteurs des commentaires reçus lors de la phase de consultation étaient détenues non pas par Deloitte, mais par le CRU, n’apparaît pas de nature à exclure a priori que les informations transmises à Deloitte constituaient, pour celui-ci, des données à caractère personnel. Toutefois, il ressort également de ce même arrêt que, pour déterminer si les informations transmises à Deloitte constituaient des données à caractère personnel, il convient de se placer du point de vue de ce dernier pour déterminer si les informations qui lui ont été transmises se rapportent à des « personnes identifiables ».
Dès lors, en application de l’arrêt Breyer précité (10), il appartenait au CEPD d’examiner si les commentaires transmis à Deloitte constituaient, à l’égard de celui-ci, des données à caractère personnel. Ainsi, selon le Tribunal, le CEPD soutient à tort qu’il n’était pas nécessaire de rechercher si les auteurs des informations transmises à Deloitte étaient réidentifiables par ce dernier ou si cette réidentification était raisonnablement possible. Le Tribunal constate que, dans la décision révisée, le CEPD a considéré que le fait que le CRU détenait les informations supplémentaires permettant de réidentifier les auteurs des commentaires était suffisant pour conclure que les informations transmises à Deloitte étaient des données à caractère personnel, tout en reconnaissant que les données d’identification reçues lors de la phase d’inscription n’avaient pas été communiquées à Deloitte. Ainsi, il ressort de la décision révisée que le CEPD s’est contenté d’examiner la possibilité de réidentifier les auteurs des commentaires du point de vue du CRU et non de Deloitte. Or, il résulte de l’arrêt Breyer précité (11) qu’il appartenait au CEPD de déterminer si la possibilité de combiner les informations qui avaient été transmises à Deloitte avec les informations supplémentaires détenues par le CRU constituait un moyen susceptible d’être raisonnablement mis en œuvre par Deloitte pour identifier les auteurs des commentaires.
Partant, à défaut pour le CEPD d’avoir recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une « personne physique identifiable » au sens de l’article 3, point 1, du règlement 2018/1725. Par conséquent, le Tribunal annule la décision révisée du CEPD.