CURIA - Documents

ARRÊT DE LA COUR (première chambre)

4 septembre 2025 (*)

« Pourvoi – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Procédure de dédommagement des actionnaires et des créanciers d’un établissement bancaire à la suite de la résolution de celui-ci – Décision du Contrôleur européen de la protection des données constatant la violation par le Conseil de résolution unique de ses obligations relatives au traitement des données à caractère personnel – Règlement (UE) 2018/1725 – Article 15, paragraphe 1, sous d) – Obligation d’information de la personne concernée – Transmission de données pseudonymisées à un tiers – Article 3, point 1 – Notion de “données à caractère personnel” – Article 3, point 6 – Notion de “pseudonymisation” »

Dans l’affaire C‑413/23 P,

ayant pour objet un pourvoi au titre de l’article 56 du statut de la Cour de justice de l’Union européenne, introduit le 5 juillet 2023,

Contrôleur européen de la protection des données (CEPD), représenté initialement par M^me P. Candellier, MM. G. Devin, X. Lareo, D. Nardi et T. Zerdick, puis par M^me P. Candellier, MM. X. Lareo, D. Nardi, N. Stolić et T. Zerdick, en qualité d’agents,

partie requérante,

soutenu par :

Comité européen de la protection des données, représenté par M^mes C. Foglia, M. Gufflet, M. G. Le Grand et M^me I. Vereecken, en qualité d’agents, assistés de M^e E. de Lophem, avocat, M^e G. Ryelandt, advocaat, et M^e P. Vernet, avocat,

partie intervenante au pourvoi,

l’autre partie à la procédure étant :

Conseil de résolution unique (CRU), représenté par M^mes H. Ehlers, M. Fernández Rupérez et A. Lapresta Bienz, en qualité d’agents, assistées de M^es M. Braun, H.-G. Kamann, Rechtsanwälte, et M^e F. Louis, avocat,

partie demanderesse en première instance,

soutenu par :

Commission européenne, représentée par MM. A. Bouchagiar et H. Kranenborg, en qualité d’agents,

partie intervenante au pourvoi,

LA COUR (première chambre),

composée de M. F. Biltgen, président de chambre, M. T. von Danwitz (rapporteur), vice–président de la Cour, faisant fonction de juge de la première chambre, M. A. Kumin, M^me I. Ziemele et M. S. Gervasoni, juges,

avocat général : M. D. Spielmann,

greffier : M. M. Longar, administrateur,

vu la procédure écrite et à la suite de l’audience du 7 novembre 2024,

ayant entendu l’avocat général en ses conclusions à l’audience du 6 février 2025,

rend le présent

Arrêt

1 Par son pourvoi, le Contrôleur européen de la protection des données (CEPD) demande l’annulation de l’arrêt du Tribunal de l’Union européenne du 26 avril 2023, CRU/CEPD (T‑557/20, ci-après l’« arrêt attaqué », EU:T:2023:219), par lequel celui-ci a annulé la décision révisée du CEPD, du 24 novembre 2020, adoptée à la suite de la demande de réexamen présentée par le Conseil de résolution unique (CRU) de la décision du CEPD, du 24 juin 2020, concernant cinq réclamations soumises par plusieurs réclamants (affaires 2019-947, 2019‑998, 2019-999, 2019-1000 et 2019-1122) (ci-après la « décision litigieuse »).

I. Le cadre juridique

2 Les considérants 5, 16, 17 et 35 du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO 2018, L 295, p. 39), sont libellés comme suit :

« (5) Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union [européenne], et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner autant que possible les règles en matière de protection des données pour les institutions, organes et organismes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement suivent les mêmes principes que les dispositions du règlement (UE) 2016/679 [du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le “RGPD”)], ces deux ensembles de dispositions devraient, conformément à la jurisprudence de la [Cour], être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme étant équivalent au régime du règlement (UE) 2016/679.

[...]

(16) Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée n’est pas ou n’est plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.

(17) La pseudonymisation des données à caractère personnel peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données. L’introduction explicite de la pseudonymisation dans le présent règlement ne vise pas à exclure toute autre mesure de protection des données.

[...]

(35) Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l’existence d’un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et qu’elle soit informée des conséquences auxquelles elle s’expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine. »

3 L’article 3, points 1, 6, 8 et 13, du règlement 2018/1725, intitulé « Définitions », prévoit :

« Aux fins du présent règlement, on entend par :

1) “données à caractère personnel” : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

[...]

6) “pseudonymisation” : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ;

[...]

8) “responsable du traitement” : l’institution ou l’organe de l’Union ou la direction générale ou toute autre entité organisationnelle qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens dudit traitement sont déterminés par un acte spécifique de l’Union, le responsable du traitement ou les critères spécifiques applicables pour le désigner peuvent être prévus par le droit de l’Union ;

[...]

13) “destinataire” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ».

4 L’article 4 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose, à son paragraphe 2 :

« Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

5 L’article 14 dudit règlement, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », prévoit, à son paragraphe 1 :

« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 15 et 16 ainsi que pour procéder à toute communication au titre des articles 17 à 24 et de l’article 35 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens, y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. »

6 L’article 15 du même règlement, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », dispose :

« 1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

[...]

d) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

[...]

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :

a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou, le cas échéant, du droit de s’opposer au traitement ou du droit à la portabilité des données ;

[...]

e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences possibles de la non-fourniture de ces données ;

[...] »

7 L’article 24 du règlement 2018/1725 détermine les conditions dans lesquelles une décision individuelle peut être fondée sur un traitement automatisé, y compris le profilage.

8 L’article 26 de ce règlement, intitulé « Responsabilité du responsable du traitement », prévoit, à son paragraphe 1 :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

II. Les antécédents du litige

9 Les antécédents du litige sont exposés aux points 2 à 32 de l’arrêt attaqué et peuvent être résumés comme suit.

10 Le 7 juin 2017, la session exécutive du CRU a adopté la décision SRB/EES/2017/08, concernant un dispositif de résolution à l’égard de Banco Popular Español, SA, sur le fondement du règlement (UE) n^o 806/2014 du Parlement européen et du Conseil, du 15 juillet 2014, établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) n^o 1093/2010 (JO 2014, L 225, p. 1) (ci-après le « règlement MRU »).

11 Dans cette décision, le CRU, considérant que les conditions prévues à l’article 18, paragraphe 1, du règlement MRU étaient remplies, a décidé de soumettre Banco Popular Español SA (ci-après « Banco Popular ») à une procédure de résolution. Ainsi, le CRU a décidé de déprécier et de convertir les instruments de capital de Banco Popular en application de l’article 21 de ce règlement et d’appliquer l’instrument de cession des activités en vertu de l’article 24 dudit règlement par le transfert des actions à un acquéreur.

12 Le même jour, la Commission européenne a adopté la décision (UE) 2017/1246, approuvant le dispositif de résolution à l’égard de Banco Popular Español SA (JO 2017, L 178, p. 15).

13 À la suite de la résolution de Banco Popular, la société d’audit et de conseil Deloitte a été chargée par le CRU de la valorisation de la différence de traitement, prévue à l’article 20, paragraphes 16 à 18, du règlement MRU, afin de déterminer si les actionnaires et les créanciers de Banco Popular auraient bénéficié d’un meilleur traitement si celle-ci avait fait l’objet d’une procédure normale d’insolvabilité (ci-après la « valorisation 3 »). Le 14 juin 2018, elle a transmis cette valorisation au CRU.

14 Le 6 août 2018, le CRU a publié, sur son site Internet, l’avis du 2 août 2018 relatif à sa décision préliminaire sur la nécessité d’accorder ou non un dédommagement aux actionnaires et aux créanciers qui ont fait l’objet des mesures de résolution concernant Banco Popular Español, SA et au lancement de la procédure du droit d’être entendu (SRB/EES/2018/132) (ci-après la « décision préliminaire »), ainsi qu’une version non confidentielle de la valorisation 3. Le 7 août 2018, une communication concernant cet avis a été publiée au Journal officiel de l’Union européenne (JO 2018, C 277 I, p. 1).

15 Dans la décision préliminaire, le CRU a indiqué que, pour lui permettre de prendre une décision finale sur la nécessité ou non d’accorder aux actionnaires et aux créanciers affectés par la résolution de Banco Popular (ci-après les « actionnaires et créanciers affectés ») un dédommagement au titre de l’article 76, paragraphe 1, sous e), du règlement MRU, il les invitait à faire part de leur intérêt à exercer leur droit d’être entendus en application de l’article 41, paragraphe 2, sous a), de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

A. Sur la procédure relative au droit d’être entendu

16 Selon les indications figurant dans la décision préliminaire, la procédure relative au droit d’être entendu devait se dérouler en deux phases.

17 Dans une première phase (ci-après la « phase d’inscription »), les actionnaires et créanciers affectés étaient invités à faire part de leur intérêt à exercer leur droit d’être entendu à l’aide d’un formulaire d’inscription en ligne, et ce jusqu’au 14 septembre 2018. Lors de cette phase, les actionnaires et créanciers affectés souhaitant exercer leur droit d’être entendu devaient fournir au CRU les pièces justificatives prouvant que, à la date de la résolution de Banco Popular, ils détenaient un ou plusieurs instruments de capital de celle-ci qui ont été dépréciés ou convertis et transférés à Banco Santander SA dans le cadre de la résolution. Les pièces justificatives à fournir comprenaient une pièce d’identité et une preuve de la propriété de l’un de ces instruments de capital à la date du 6 juin 2017. Ensuite, le CRU devait vérifier si chaque personne ayant manifesté son intérêt avait effectivement le statut d’actionnaire ou de créancier affecté.

18 Le 6 août 2018, date d’ouverture de la phase d’inscription, le CRU a également publié, sur la page Internet d’inscription à la procédure relative au droit d’être entendu et sur son site Internet, une déclaration de confidentialité concernant le traitement des données à caractère personnel dans le cadre de cette procédure (ci‑après la « déclaration de confidentialité »).

19 Dans une seconde phase (ci-après la « phase de consultation »), les personnes dont le statut d’actionnaires et créanciers affectés avait été vérifié par le CRU pouvaient soumettre leurs commentaires sur la décision préliminaire, à laquelle était annexée la valorisation 3. Le 16 octobre 2018, le CRU a annoncé, sur son site Internet, que, à partir du 6 novembre 2018, les actionnaires et créanciers affectés seraient invités à soumettre leurs commentaires écrits sur la décision préliminaire lors de la phase de consultation.

20 Le 6 novembre 2018, par courrier électronique, le CRU a envoyé aux actionnaires et aux créanciers affectés un lien personnel unique leur permettant d’accéder sur Internet à un formulaire, lequel comportait sept questions, avec un espace de réponse limité, permettant aux actionnaires et créanciers affectés de présenter, avant le 26 novembre 2018, des commentaires sur la décision préliminaire ainsi que sur la version non confidentielle de la valorisation 3.

21 Le CRU a examiné les commentaires pertinents des actionnaires et créanciers affectés relatifs à la décision préliminaire. Il a demandé à Deloitte, en sa qualité d’évaluateur indépendant, d’évaluer les commentaires pertinents relatifs à la valorisation 3, de lui fournir un document contenant son évaluation et d’examiner si cette valorisation restait valable à la lumière de ces commentaires.

B. Sur le traitement des données collectées par le CRU dans le cadre de la procédure relative au droit d’être entendu

22 Les données collectées lors de la phase d’inscription, à savoir les preuves de l’identité des actionnaires et créanciers affectés et de la propriété d’instruments de capital de Banco Popular dépréciés ou convertis et transférés, étaient accessibles à un nombre limité de membres du personnel du CRU, à savoir ceux chargés du traitement de ces données afin de déterminer l’éligibilité de ces actionnaires et créanciers à un dédommagement.

23 Les membres du personnel du CRU chargés du traitement des commentaires reçus lors de la phase de consultation n’avaient accès ni aux données collectées lors de la phase d’inscription, de sorte que ces commentaires étaient dissociés des informations personnelles relatives aux actionnaires et créanciers affectés qui les avaient soumis, ni à la clé de données ou aux informations permettant de retrouver l’identité d’un actionnaire ou créancier affecté par référence au code alphanumérique unique attribué à chaque commentaire soumis au moyen du formulaire. Ce code alphanumérique consistait en un identifiant unique universel à 33 chiffres, généré de manière aléatoire au moment de la réception des réponses au formulaire.

24 Dans une première étape, le CRU a réalisé un filtrage automatique de 23 822 commentaires, portant chacun un code alphanumérique unique, soumis par 2 855 participants à la procédure. Deux algorithmes ont permis d’identifier 20 101 commentaires comme étant identiques. Dans ce cas, le commentaire soumis en premier lieu a été considéré comme étant le commentaire original, lequel a été examiné lors de la phase d’analyse, et les commentaires identiques reçus ultérieurement ont été identifiés comme étant des doublons.

25 Dans une deuxième étape, le CRU a identifié les commentaires soumis qui relevaient du champ d’application de la procédure relative au droit d’être entendu en ce qu’ils pouvaient avoir une influence sur la décision préliminaire ou sur la valorisation 3. Ensuite, il a divisé ces commentaires entre ceux qui devaient être examinés par le CRU en ce qu’ils concernaient la décision préliminaire et ceux qui devaient être examinés par Deloitte en ce qu’ils concernaient la valorisation 3. À l’issue de cette étape, le CRU a identifié 3 730 commentaires, qu’il a classés en fonction de leur pertinence et de leur thème.

26 Dans une troisième étape, les commentaires relatifs à la décision préliminaire ont été traités par le CRU et ceux relatifs à la valorisation 3, à savoir 1 104 commentaires, ont été transférés à Deloitte, le 17 juin 2019, par le biais d’un serveur virtuel de données sécurisé et dédié au CRU. Celui-ci a téléchargé les fichiers à communiquer à Deloitte sur ce serveur et a donné accès à ces fichiers à un nombre limité et contrôlé de membres du personnel de Deloitte, à savoir ceux directement impliqués dans l’examen des commentaires relatifs à la valorisation 3.

27 Les commentaires transférés à Deloitte étaient filtrés, catégorisés et agrégés. Lorsqu’ils constituaient des copies de commentaires précédents, une seule version a été transmise à Deloitte, de sorte que les commentaires individuels qui avaient été répliqués ne pouvaient pas être distingués au sein d’un même thème et Deloitte n’avait pas la possibilité de savoir si un commentaire avait été formulé par un ou plusieurs participants à la procédure relative au droit d’être entendu.

28 Les commentaires transférés à Deloitte étaient uniquement ceux reçus lors de la phase de consultation et portaient un code alphanumérique. Cependant, le CRU était le seul à pouvoir relier, au moyen de ce code, les commentaires aux données notamment aux données d’identification des auteurs des commentaires, reçues lors de la phase d’inscription. Le code alphanumérique a été développé à des fins d’audit pour permettre de vérifier et éventuellement de démontrer, dans une procédure judiciaire, que chaque commentaire avait été traité et dûment pris en compte. Deloitte n’avait pas accès à la base de données collectées lors de la phase d’inscription ni lors de la procédure relative au droit d’être entendu et n’y avait toujours pas accès à la date à laquelle l’arrêt attaqué a été prononcé.

C. Sur la procédure devant le CEPD

29 Au cours des mois d’octobre et de décembre 2019, des actionnaires et créanciers affectés ayant répondu au formulaire ont transmis au CEPD cinq réclamations au titre du règlement 2018/1725. Par ces réclamations, ils ont invoqué une violation de l’article 15, paragraphe 1, sous d), de ce règlement, au motif que le CRU ne les avait pas informés que les données collectées au moyen des réponses au formulaire seraient transmises à des tiers, à savoir Deloitte et Banco Santander, et ce en violation des termes de la déclaration de confidentialité.

30 À l’issue d’une procédure au cours de laquelle le CRU a fourni diverses explications à la demande du CEPD et les réclamants ont produit des observations, le CEPD a adopté, le 24 juin 2020, une décision concernant cinq réclamations soumises par plusieurs réclamants contre le Conseil de résolution unique (affaires 2019-947, 2019-998, 2019-999, 2019-1000 et 2019-1122) (ci‑après la « décision initiale »). Dans cette décision, le CEPD a considéré que le CRU avait violé l’article 15 du règlement 2018/1725 en ce qu’il n’avait pas informé les réclamants, dans la déclaration de confidentialité, de la possibilité que leurs données à caractère personnel soient communiquées à Deloitte. Par conséquent, il a rappelé à l’ordre le CRU pour cette violation en vertu de l’article 58, paragraphe 2, sous b), de ce règlement.

31 Le 22 juillet 2020, le CRU a demandé au CEPD de réexaminer la décision initiale en vertu de l’article 18, paragraphe 1, de la décision du Contrôleur européen de la protection des données, du 15 mai 2020, portant adoption du règlement intérieur du CEPD (JO 2020, L 204, p. 49). Le CRU a notamment fourni une description détaillée de la procédure relative au droit d’être entendu et de l’analyse des commentaires soumis, lors de la phase de consultation, par quatre des réclamants identifiés. Il a fait valoir que les informations transmises à Deloitte ne constituaient pas des données à caractère personnel, au sens de l’article 3, point 1, du règlement 2018/1725.

32 Le 5 août 2020, le CEPD a informé le CRU que, au regard des nouveaux éléments fournis, il avait décidé de réexaminer la décision initiale et qu’il adopterait une décision qui la remplacerait.

33 Le 24 novembre 2020, à l’issue de la procédure de révision, pendant laquelle les réclamants ont présenté des observations et le CRU a fourni des informations complémentaires à la demande du CEPD, ce dernier a adopté la décision litigieuse.

34 Par cette décision, le CEPD a révisé la décision initiale dans les termes suivants :

« 1. Le CEPD estime que les données que le CRU a partagées avec Deloitte étaient des données pseudonymisées, à la fois parce que les commentaires de la phase [de consultation] étaient des données à caractère personnel et parce que le CRU partageait le code alphanumérique permettant de relier les réponses reçues lors de la phase [d’inscription] à celles de la phase [de consultation], bien que les données fournies par les participants pour s’identifier lors de la phase [d’inscription] n’aient pas été communiquées à Deloitte.

2. Le CEPD estime que Deloitte était un destinataire de données à caractère personnel des réclamants au sens de l’article 3, point 13, du règlement 2018/1725. Le fait que Deloitte n’ait pas été mentionné dans la déclaration de confidentialité du CRU en tant que destinataire potentiel des données à caractère personnel collectées et traitées par le CRU, en sa qualité de responsable du traitement dans le cadre de la procédure relative au droit d’être entendu, constitue une violation de l’obligation d’information prévue à l’article 15, paragraphe 1, sous d), [du règlement 2018/1725].

3. À la lumière de toutes les mesures techniques et organisationnelles mises en place par le CRU pour atténuer les risques pour le droit des personnes à la protection des données dans le cadre de la procédure relative au droit d’être entendu, le CEPD décide de ne pas exercer son pouvoir d’adopter des mesures correctrices prévu à l’article 58, paragraphe 2, [du règlement 2018/1725].

4. Le CEPD recommande néanmoins au CRU de s’assurer que ses déclarations de confidentialité dans les futures procédures relatives au droit d’être entendu couvrent le traitement des données à caractère personnel tant lors de la phase d’inscription que lors de la phase de consultation et qu’elles incluent tous les destinataires potentiels des informations collectées, afin de respecter pleinement l’obligation d’informer les personnes concernées conformément à l’article 15 [du règlement 2018/1725]. »

III. La procédure devant le Tribunal et l’arrêt attaqué

35 Par requête déposée au greffe du Tribunal le 1^er septembre 2020, le CRU a introduit un recours tendant, d’une part, à annuler la décision litigieuse et, d’autre part, à déclarer illégale la décision initiale.

36 À l’appui du premier chef de conclusions, le CRU a soulevé deux moyens, dont le premier était tiré de la violation de l’article 3, point 1, du règlement 2018/1725 en ce que les informations transmises à Deloitte ne constituaient pas des données à caractère personnel, et le second de la violation du droit à une bonne administration, consacré à l’article 41 de la Charte.

37 Par l’arrêt attaqué, le Tribunal a rejeté pour défaut de compétence le deuxième chef des conclusions tendant à ce que la décision initiale soit déclarée illégale, en ce que le CRU visait à obtenir un jugement déclaratoire et non l’annulation d’un acte.

38 En revanche, le Tribunal a déclaré recevable le premier chef de conclusions. Quant au fond, il a accueilli le premier moyen du recours et a annulé la décision litigieuse, sans examiner le second moyen du recours.

IV. La procédure devant la Cour et les conclusions des parties

39 Par décision du président de la Cour du 20 octobre 2023, la Commission a été admise à intervenir au soutien du CRU. Par ordonnance du président de la Cour du 29 novembre 2023, le Comité européen de la protection des données a été admis à intervenir au soutien des conclusions du CEDP.

40 Le CEPD, soutenu par le Comité européen de la protection des données, demande à la Cour :

– d’annuler l’arrêt attaqué,

– de statuer définitivement sur le litige, et

– de condamner le CRU aux dépens de la procédure de pourvoi et de la procédure devant le Tribunal.

41 Le CRU, soutenu par la Commission, demande à la Cour :

– de rejeter le pourvoi,

– à titre subsidiaire, d’annuler la décision litigieuse,

– à titre encore plus subsidiaire, de renvoyer l’affaire devant le Tribunal, et

– de condamner le CEPD aux dépens de la procédure de pourvoi et de la procédure devant le Tribunal.

V. Sur le pourvoi

42 À l’appui de son pourvoi, le CEPD, soutenu par le Comité européen de la protection des données, soulève deux moyens, dont le premier est tiré d’une méconnaissance de l’article 3, points 1 et 6, du règlement 2018/1725, tel qu’interprété par la Cour, et le second d’une méconnaissance de l’article 4, paragraphe 2, et de l’article 26, paragraphe 1, de ce règlement.

A. Sur le premier moyen

43 Par son premier moyen, le CEPD soutient, en substance, que, en jugeant qu’il avait conclu à tort, dans la décision litigieuse, que les informations en cause en l’espèce constituaient des données à caractère personnel, le Tribunal a commis une erreur de droit dans l’interprétation de l’article 3, points 1 et 6, du règlement 2018/1725. Ce moyen se divise en deux branches. La première branche concerne la condition, prévue à l’article 3, point 1, de ce règlement, selon laquelle l’information « se rapporte » à une personne physique et la seconde branche concerne la condition, prévue à la même disposition, relative au caractère « identifiable » de cette personne.

1. Sur la première branche, tirée d’une interprétation erronée de la condition, prévue à l’article 3, point 1, du règlement 2018/1725, selon laquelle l’information « se rapporte » à une personne physique

a) Argumentation des parties

44 Par la première branche du premier moyen, le CEPD fait valoir que, contrairement à ce que le Tribunal a jugé, aux points 60 à 74 de l’arrêt attaqué, les informations transmises à Deloitte se rapportaient à une personne physique, au sens de l’article 3, point 1, du règlement 2018/1725.

45 En premier lieu, le CEPD soutient que, contrairement à ce qui découle du point 70 de l’arrêt attaqué, les autorités chargées de la protection des données ne sauraient être tenues de procéder, en toute hypothèse, à un examen du contenu, de la finalité ou de l’effet d’une information afin de vérifier si elle concerne une personne physique. Selon le CEPD, un tel examen ne pouvait, notamment, être exigé en ce qui concerne les commentaires transmis par le CRU à Deloitte, dès lors que, selon lui, il était clair que ces commentaires « se rapportent à » une personne physique en ce qu’ils exprimaient le point de vue personnel de certains créanciers et actionnaires de Banco Popular sur leur éventuel droit à un dédommagement au titre de l’article 76, paragraphe 1, sous e), du règlement MRU.

46 En deuxième lieu, contrairement au constat figurant au point 71 de l’arrêt attaqué, le CEPD soutient que, pour conclure à l’existence de données à caractère personnel, il s’est non seulement fondé sur la nature des commentaires transmis à Deloitte, mais également sur la circonstance que le code alphanumérique avait été également transmis à cette société.

47 En troisième lieu, le CEPD fait valoir que l’arrêt attaqué est entaché d’une contradiction en ce que le Tribunal a, d’une part, relevé au point 7 de cet arrêt que l’objectif même des commentaires transmis à Deloitte était de permettre à des personnes physiques spécifiques, à savoir aux actionnaires et créanciers affectés, d’exercer leur droit d’être entendu en vue d’un éventuel dédommagement au titre de l’article 76, paragraphe 1, sous e), du règlement MRU. En contradiction avec ce premier constat, le Tribunal aurait jugé, d’autre part, au point 73 dudit arrêt, que le CEPD s’était fondé sur des présomptions selon lesquelles tous les commentaires transmis à Deloitte constituaient des données à caractère personnel, sans démontrer que ceux-ci concernaient des personnes physiques.

48 Le CRU, soutenu par la Commission, fait valoir que cette argumentation doit être écartée.

49 En premier lieu, selon la jurisprudence issue des arrêts du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994, points 34 et 35), et du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF (C‑487/21, EU:C:2023:369, points 23 et 24), des informations, objectives ou subjectives, sous forme d’avis ou d’appréciations, pourraient constituer des données à caractère personnel, à condition que celles-ci « concernent » la personne en cause. En outre, selon cette jurisprudence, une information concernerait une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable. Ainsi, le Tribunal aurait jugé, à bon droit, aux points 70 à 74 de l’arrêt attaqué, que le CEPD a méconnu ladite jurisprudence en s’étant limité à indiquer que les commentaires transmis à Deloitte reflétaient les opinions ou les points de vue des actionnaires et créanciers affectés et, donc, sans avoir examiné si, par leur contenu, leur finalité ou leur effet, ces commentaires étaient liés à une personne identifiable.

50 En deuxième lieu, l’allégation du CEPD selon laquelle la nature de données à caractère personnel desdits commentaires découle nécessairement de leur finalité constituerait une nouvelle allégation factuelle, présentée pour la première fois devant le juge du pourvoi, qui serait, de ce fait, irrecevable. En tout état de cause, cette allégation serait inopérante dans la mesure où le CEPD n’aurait pas examiné ce point dans la décision litigieuse.

51 S’agissant, en troisième lieu, de la prétendue contradiction des motifs entre les points 7 et 73 de l’arrêt attaqué, le CRU fait valoir que la description figurant au point 7 de cet arrêt ne contient aucune information sur le contenu, la finalité ou l’effet des commentaires transmis à Deloitte et, partant, ne contredit pas la conclusion énoncée au point 73 dudit arrêt.

b) Appréciation de la Cour

52 À titre liminaire, il y a lieu de relever que la définition de la notion de « données à caractère personnel », énoncée à l’article 3, point 1, du règlement 2018/1725, est en substance identique à celle figurant à l’article 4, point 1, du RGPD, laquelle a, pour sa part, une portée en substance identique à celle qui figurait à l’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31). Afin de garantir une application uniforme et cohérente du droit de l’Union, il convient donc d’assurer une interprétation identique de l’article 3, point 1, du règlement 2018/1725, de l’article 4, point 1, du RGPD et de l’article 2, sous a), de la directive 95/46 (voir, en ce sens, arrêts du 7 mars 2024, OC/Commission, C‑479/22 P, EU:C:2024:215, point 43, ainsi que du 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, point 33 et jurisprudence citée).

53 L’article 3, point 1, du règlement 2018/1725 dispose que constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable ».

54 La Cour a jugé que l’emploi de l’expression « toute information » dans la définition de la notion de « donnée à caractère personnel », figurant à cette disposition et à l’article 4, point 1, du RGPD, reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause (arrêts du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 23 et jurisprudence citée ; du 7 mars 2024, OC/Commission, C‑479/22 P, EU:C:2024:215, point 45, ainsi que du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 130).

55 Une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable (arrêts du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 35 ; du 7 mars 2024, OC/Commission, C‑479/22 P, EU:C:2024:215, point 45, et du 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, point 37 et jurisprudence citée).

56 En l’espèce, si le Tribunal a relevé, au point 70 de l’arrêt attaqué, que le CEPD n’avait examiné ni le contenu, ni la finalité, ni l’effet des informations ressortant des commentaires transmis à Deloitte, il ressort néanmoins des points 71 et 72 de cet arrêt que le constat que ces commentaires reflétaient les opinions ou les points de vue des personnes concernées avait nécessité que le CEPD ait préalablement examiné le contenu desdits commentaires. À partir de ce constat, le CEPD a conclu qu’ils constituaient des informations concernant ces personnes. Or, selon la jurisprudence rappelée au point 55 du présent arrêt, un examen portant sur le contenu d’une information ne doit pas nécessairement être complété par une analyse de la finalité et des effets de cette information, ainsi que l’indique l’emploi de la conjonction « ou » reliant les différents critères visés par cette jurisprudence.

57 Pourtant, aux points 73 et 74 de l’arrêt attaqué, le Tribunal a considéré que le CEPD ne pouvait qualifier les informations ressortant des commentaires transmis à Deloitte de données à caractère personnel sur le fondement du seul constat qu’il s’agissait d’opinions ou de points de vue personnels, mais qu’il aurait dû examiner, en outre, le contenu, la finalité et l’effet des opinions ainsi exprimées, afin de déterminer si celles-ci étaient liées à une personne déterminée.

58 Cette appréciation du Tribunal méconnaît la nature particulière des opinions ou des points de vue personnels qui, en tant qu’expression de la pensée d’une personne, sont nécessairement intimement liés à cette dernière.

59 L’interprétation retenue au point précédent est corroborée par la jurisprudence issue de l’arrêt du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994), lequel portait, entre autres, sur les annotations d’un examinateur relatives aux réponses écrites d’un candidat à un examen professionnel. En effet, aux points 42 à 44 de cet arrêt, si la Cour a apprécié le contenu, la finalité et l’effet de ces annotations pour constater qu’elles constituaient des informations concernant le candidat visé par celles-ci, elle a, en substance, considéré que lesdites annotations se rapportaient également à l’examinateur qui en était l’auteur, dès lors qu’elles exprimaient l’avis ou l’appréciation de celui-ci.

60 Il s’ensuit que le Tribunal a commis une erreur de droit en jugeant, aux points 73 et 74 de l’arrêt attaqué, que le CEPD, pour conclure que les informations ressortant des commentaires transmis à Deloitte « se rapportaient », au sens de l’article 3, point 1, du règlement 2018/1725, aux personnes ayant soumis ces commentaires, aurait dû examiner le contenu, la finalité ou les effets desdits commentaires, dès lors qu’il était constant que ceux-ci exprimaient l’opinion ou le point de vue personnel de leurs auteurs.

61 Partant, sans qu’il soit nécessaire d’examiner les arguments résumés aux points 46 et 47 du présent arrêt, la première branche du premier moyen doit être accueillie.

2. Sur la seconde branche du premier moyen, tirée d’une interprétation erronée de la condition, prévue à l’article 3, point 1, du règlement 2018/1725, selon laquelle l’information se rapporte à une personne physique « identifiable »

62 Par la seconde branche du premier moyen, le CEPD fait valoir que, aux points 76 à 106 de l’arrêt attaqué, le Tribunal a jugé, à tort, qu’il ne pouvait pas considérer que les informations ressortant des commentaires transmis à Deloitte se rapportaient à une personne physique « identifiable », au sens de l’article 3, point 1, du règlement 2018/1725. Cette branche se compose de deux griefs distincts.

a) Sur le premier grief de la seconde branche du premier moyen

1) Argumentation des parties

63 Tout d’abord, le CEPD rappelle que, aux termes de l’article 3, point 1, du règlement 2018/1725, le responsable du traitement ou « toute autre personne » doit être en mesure d’identifier une personne concernée par l’information en cause. En l’absence d’indication quant à la personne devant être en mesure de procéder à cette identification, il suffirait que la personne concernée puisse être identifiée. Or, en l’espèce, il ne serait pas contesté que les commentaires transmis à Deloitte, dont disposait le CRU, constituent des données à caractère personnel. En outre, il ressortirait de l’article 3, point 6, de ce règlement, lu en combinaison avec le considérant 16 de celui-ci, que des données pseudonymisées constituent des données à caractère personnel, et ce simplement en raison de l’existence d’informations supplémentaires permettant de les attribuer à une personne déterminée.

64 Selon le CEPD, les considérations figurant aux points 90 et 91 de l’arrêt attaqué ne tiennent pas suffisamment compte des termes de ces dispositions ainsi que de la distinction entre anonymisation et pseudonymisation. À cet égard, le Comité européen de la protection des données précise que, selon l’interprétation retenue par le Tribunal, des données à caractère personnel changeraient de nature lorsqu’elles sont transmises à une entité extérieure au responsable du traitement, ne disposant pas des informations supplémentaires permettant d’identifier la personne concernée. Cette interprétation permettrait à un tel responsable de soustraire indûment les données à caractère personnel du champ d’application du droit de l’Union en matière de protection de telles données, et ce même lorsque le traitement par l’entité extérieure exposerait les personnes concernées à des risques importants.

65 Ensuite, le CEPD relève que, en ayant introduit la notion de pseudonymisation, le législateur de l’Union a clarifié que, pour exclure des données à caractère personnel du champ d’application du droit de l’Union en matière de protection de telles données, il ne suffit pas de séparer ces données des informations supplémentaires permettant d’identifier la personne concernée.

66 Enfin, le CEPD rappelle que la notion de données à caractère personnel doit être interprétée largement, ce qui est, selon lui, nécessaire pour que le droit en matière de protection des données produise son effet utile. Dans la mesure où l’interprétation du Tribunal permettrait de considérer à tort les données pseudonymisées comme des données anonymes, elle serait de nature à compromettre le niveau élevé de protection poursuivi par le législateur de l’Union et requis par la Charte. Selon le Comité européen de la protection des données, l’interprétation retenue par le Tribunal comporterait également le risque que les données pseudonymisées pourraient être traitées sans restriction au titre du RGPD et du règlement 2018/1725, y compris leur partage, leur publication et leur transfert vers des pays tiers.

67 Le CRU, soutenu par la Commission, s’oppose à cette argumentation.

2) Appréciation de la Cour

68 Le premier grief de la seconde branche du premier moyen est, en substance, fondé sur la considération que des données pseudonymisées telles que les commentaires transmis à Deloitte constituent, en toute hypothèse, des données à caractère personnel en raison de la seule existence d’informations permettant d’identifier la personne concernée, sans qu’il soit nécessaire d’examiner concrètement si, en dépit de la pseudonymisation, la personne à laquelle se rapportent ces données est identifiable.

69 À cet égard, il y a lieu de rappeler que, aux termes mêmes de l’article 3, point 1, du règlement 2018/1725, une information doit se rapporter à une personne physique « identifiée ou identifiable » pour être qualifiée de donnée à caractère personnel, au sens de cette disposition. Ainsi, l’application de ce règlement présuppose, en principe, un examen portant sur le caractère identifié ou identifiable de la personne concernée par l’information en cause.

70 Cette interprétation est corroborée par les cinquième et sixième phrases du considérant 16 du règlement 2018/1725, selon lesquelles ne relèvent pas de la définition de la notion de « données à caractère personnel » les « informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable », ni les « données à caractère personnel rendues anonymes de telle manière que la personne concernée n’est pas ou n’est plus identifiable » (voir, par analogie, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 57).

71 S’agissant, plus particulièrement, des données pseudonymisées, il convient de noter, en premier lieu, que ces données ne sont pas mentionnées dans la définition légale de la notion de « données à caractère personnel », figurant à l’article 3, point 1, du règlement 2018/1725, mais que leurs caractéristiques ressortent de l’article 3, point 6, de ce règlement. Cette dernière disposition définit la notion de « pseudonymisation » comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».

72 Ainsi que M. l’avocat général l’a, en substance, relevé aux points 46 et 48 de ses conclusions, la pseudonymisation ne constitue donc pas un élément de la définition des « données à caractère personnel », mais se réfère à la mise en place de mesures techniques et organisationnelles visant à réduire le risque d’une mise en corrélation d’un ensemble de données avec l’identité des personnes concernées. Selon le considérant 17 dudit règlement, la pseudonymisation « peut [seulement] réduire les risques » d’une telle mise en corrélation pour ces personnes et, de ce fait, « aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données ».

73 En deuxième lieu, il ressort des termes de l’article 3, point 6, du règlement 2018/1725 que la notion de « pseudonymisation » présuppose l’existence d’informations permettant d’identifier la personne concernée. Or, l’existence même de telles informations s’oppose à ce que des données ayant fait l’objet d’une pseudonymisation puissent, en toute hypothèse, être considérées comme étant des données anonymes, exclues du champ d’application de ce règlement.

74 Il n’en demeure pas moins que, en troisième lieu, l’exigence d’une conservation séparée des informations d’identification ainsi que de mesures techniques et organisationnelles « afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable », prévue à l’article 3, point 6, dudit règlement, indique que la pseudonymisation a notamment pour objectif d’éviter que la personne concernée puisse être identifiée au moyen des seules données pseudonymisées.

75 En effet, pour autant que de telles mesures techniques et organisationnelles soient effectivement mises en place et qu’elles soient de nature à prévenir une attribution des données en cause à la personne concernée, de telle manière que celle-ci n’est pas ou n’est plus identifiable, la pseudonymisation peut avoir une incidence sur le caractère personnel de ces données au sens de l’article 3, point 1, du règlement 2018/1725.

76 À cet égard, il convient de préciser que, comme c’est normalement le cas du responsable du traitement ayant procédé à la pseudonymisation, le CRU dispose, en l’espèce, des informations supplémentaires permettant d’attribuer les commentaires transmis à Deloitte à la personne concernée, si bien que, pour lui, ces commentaires conservent, en dépit de la pseudonymisation, leur caractère personnel.

77 S’agissant de Deloitte à laquelle le CRU a transmis des commentaires pseudonymisés, les mesures techniques et organisationnelles visées à l’article 3, point 6, du règlement 2018/1725 peuvent, comme le soutient en substance le CRU, avoir pour effet que, pour cette société, ces commentaires ne présentent pas un caractère personnel. Cela présuppose toutefois, d’une part, que Deloitte ne soit pas en mesure de lever ces mesures lors de tout traitement desdits commentaires effectué sous son contrôle. D’autre part, lesdites mesures doivent effectivement être de nature à empêcher Deloitte d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments, de telle manière que, pour cette société, la personne concernée n’est pas ou n’est plus identifiable.

78 Cette interprétation est corroborée par le considérant 16 du règlement 2018/1725 qui, après avoir énoncé, à sa première phrase, qu’« [i]l y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable », énonce, à sa deuxième phrase, que « [l]es données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ».

79 En effet, à la suite de ces indications relatives aux données à caractère personnel et aux données pseudonymisées, la troisième phrase de ce considérant précise que, pour déterminer si une personne physique est identifiable, il convient de prendre en considération « l’ensemble des moyens raisonnablement susceptibles » d’être utilisés par le responsable du traitement ou « par toute autre personne » pour identifier la personne physique « directement ou indirectement ». En outre, la quatrième phrase de ce considérant énonce que, pour établir si des moyens sont raisonnablement susceptibles d’être utilisés afin d’identifier une personne physique, il convient de prendre en considération « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

80 Or, ainsi que M. l’avocat général l’a, en substance, relevé au point 51 de ses conclusions, ces précisions relatives à l’évaluation du caractère identifiable ou non de la personne concernée seraient privées de tout effet utile si des données pseudonymisées devaient être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725.

81 À cet égard, il convient de rappeler que, s’agissant d’un communiqué de presse qui contenait un certain nombre d’indications relatives à une personne sans la désigner nommément, la Cour ne s’est pas limitée, dans son arrêt du 7 mars 2024, OC/Commission (C‑479/22 P, EU:C:2024:215, points 52 à 64), au constat que l’organisme de l’Union ayant publié ce communiqué disposait de l’ensemble des informations permettant d’identifier cette personne, mais elle a examiné si les indications figurant dans ledit communiqué permettaient raisonnablement au public concerné d’identifier cette personne, notamment au moyen d’une combinaison de ces indications avec des informations disponibles sur Internet.

82 En outre, la Cour a déjà jugé qu’un moyen n’est pas susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée lorsque le risque d’une identification paraît en réalité insignifiant, en ce que l’identification de cette personne est interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main–d’œuvre (voir, en ce sens, arrêt du 7 mars 2024, OC/Commission,C‑479/22 P, EU:C:2024:215, point 51 et jurisprudence citée). Cette jurisprudence corrobore l’interprétation selon laquelle l’existence d’informations supplémentaires permettant d’identifier la personne concernée n’implique pas, à elle seule, que des données pseudonymisées doivent être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725.

83 Dans le même ordre d’idées, la Cour a en substance, jugé, notamment dans les arrêts du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779, points 44, 47 et 48), et du 7 mars 2024, IAB Europe (C‑604/22, EU:C:2024:214, points 43 et 48), que des données en soi impersonnelles, collectées et conservées par le responsable du traitement se rattachaient tout de même à une personne identifiable, dès lors que le responsable du traitement disposait de voies légales pour obtenir auprès d’autrui des informations supplémentaires permettant d’identifier cette personne. En effet, dans de telles conditions, la circonstance que les informations permettant d’identifier la personne concernée se trouvaient entre les mains de différentes personnes n’était pas de nature à empêcher effectivement son identification de telle manière qu’elle fût non identifiable pour le responsable du traitement.

84 Surtout, selon la jurisprudence issue de l’arrêt du 9 novembre 2023, Gesamtverband Autoteile-Handel (Accès aux informations sur les véhicules) (C‑319/22, EU:C:2023:837, points 46 et 49), des données étant en soi impersonnelles peuvent acquérir un caractère « personnel », lorsque le responsable du traitement les met à disposition d’autres personnes disposant de moyens raisonnablement susceptibles de permettre l’identification de la personne concernée. Il ressort, en particulier, de ce dernier arrêt, que – dans le contexte d’une telle mise à disposition – lesdites données présentent un caractère personnel tant pour ces personnes que, indirectement, pour le responsable du traitement.

85 Par conséquent, eu égard à la jurisprudence rappelée au point précédent, c’est à tort que le CEPD soutient que la circonstance selon laquelle des données pseudonymisées ne présentent pas, le cas échéant, un caractère personnel pour les personnes auxquelles le responsable du traitement transfère des données pseudonymisées, permettrait de soustraire ces données indûment du champ d’application du droit de l’Union en matière de protection des données à caractère personnel. En effet, selon cette jurisprudence, ladite circonstance est sans incidence sur l’appréciation du caractère personnel de ces mêmes données dans le contexte notamment de leur éventuel transfert ultérieur à des tiers. Ainsi, pour autant qu’il n’est pas exclu que ces tiers seront raisonnablement en mesure d’attribuer, par des moyens, tels qu’un recoupement avec d’autres données dont ils disposent, les données pseudonymisées à la personne concernée, celle-ci doit être considérée comme étant identifiable en ce qui concerne tant ce transfert que tout traitement ultérieur de ces données par lesdits tiers. Dans de telles circonstances, les données pseudonymisées devraient être considérées comme présentant un caractère personnel.

86 Il s’ensuit que, contrairement à ce que soutient le CEPD, des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725, dans la mesure où la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable.

87 Cette interprétation n’est pas remise en cause par la circonstance, invoquée par le CEPD, selon laquelle la quatrième phrase du considérant 16 du règlement 2018/1725 vise le responsable du traitement ou « toute autre personne ». En effet, il découle des termes mêmes de cette phrase, rappelés au point 79 du présent arrêt, que celle-ci ne se réfère qu’aux personnes qui disposent de ou peuvent accéder aux moyens raisonnablement susceptibles d’être utilisés aux fins de l’identification de la personne concernée. Or, ainsi qu’il a été relevé aux points 75 à 77 du présent arrêt, la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable.

88 En ce qui concerne l’argument du CEPD tiré de l’objectif de garantir un niveau élevé de protection des données à caractère personnel, si les termes de l’article 3, point 1, du règlement 2018/1725 reflètent l’objectif du législateur de l’Union d’attribuer un sens large à la notion de « données à caractère personnel », cette notion n’est pas illimitée dès lors que cette disposition exige notamment que la personne concernée soit identifiée ou identifiable.

89 En particulier, ainsi que M. l’avocat général l’a relevé, au point 58 de ses conclusions, le règlement 2018/1725 contient des obligations, telles que l’obligation de fournir des informations à la personne concernée prévue à l’article 15 de ce règlement, dont le respect présuppose d’identifier la personne concernée. Or, de telles obligations ne sauraient être imposées à une entité qui n’est aucunement en mesure de procéder à cette identification.

90 Partant, le premier grief de la seconde branche du premier moyen doit être rejeté comme étant non fondé.

b) Sur le second grief de la seconde branche du premier moyen

1) Argumentation des parties

91 Par le second grief de la seconde branche du premier moyen, le CEPD fait valoir que le Tribunal a méconnu la jurisprudence issue de l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779).

92 En premier lieu, le Tribunal aurait méconnu le caractère objectif de la condition relative au caractère « identifiable » de la personne concernée, en jugeant, aux points 97, 99 et 100 de l’arrêt attaqué, notamment, que le CEPD aurait dû examiner si les commentaires transmis à Deloitte constituaient, du point de vue de ce dernier, des données à caractère personnel. En effet, selon le CEPD, il découle des points 47 et 48 de l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779), que la seule existence de voies légales permettant d’identifier la personne concernée suffit pour conclure que cette personne est identifiable. Or, en l’espèce, le CRU aurait été en mesure d’identifier les personnes concernées, circonstance dont le Tribunal n’aurait pas suffisamment tenu compte dans le cadre de l’application de la jurisprudence issue de cet arrêt.

93 En second lieu, le CEPD soutient que, dans ledit arrêt, le caractère identifiable ou non de la personne concernée a été apprécié du point de vue du responsable du traitement, et ce en l’absence de toute relation entre ce responsable et les entités détenant les informations supplémentaires permettant d’identifier cette personne. En revanche, en l’espèce, Deloitte ne serait pas le responsable du traitement et serait, en outre, lié par un contrat au CRU. Compte tenu de ces différences, le CEPD estime qu’il n’était pas tenu de procéder à une évaluation complète des moyens raisonnablement susceptibles de permettre à Deloitte d’identifier les personnes concernées.

94 En tout état de cause, dans l’hypothèse où il aurait néanmoins été tenu d’apprécier si Deloitte était en mesure d’identifier les auteurs des commentaires qui lui avaient été transmis, le CEPD soutient que rien n’empêchait Deloitte de procéder à cette identification.

95 Le CRU, soutenu par la Commission, s’oppose à cette argumentation.

96 En premier lieu, aux points 96, 97 et 100 de l’arrêt attaqué, notamment, le Tribunal se serait à juste titre fondé sur une approche selon laquelle le caractère identifiable de la personne concernée doit être examiné par rapport à chaque personne et chaque responsable du traitement concerné qui traite les informations pertinentes. Or, dans le contexte de l’obligation d’information prévue à l’article 15, paragraphe 1, sous d), du règlement 2018/1725, cet examen devrait se placer dans la perspective du destinataire des informations en cause.

97 En deuxième lieu, le CRU soutient que l’argumentation tirée des prétendues différences que présenterait la présente affaire avec celle ayant conduit à l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779), est irrecevable. Il estime que cette argumentation met en cause les constatations factuelles du Tribunal figurant aux points 94 et 95 de l’arrêt attaqué selon lesquelles Deloitte n’avait pas accès aux informations d’identification nécessaires pour identifier les réclamants.

2) Appréciation de la Cour

98 Aux points 97 à 100 de l’arrêt attaqué, notamment, le Tribunal a, en substance, jugé que, conformément à la jurisprudence issue de l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779), le CEPD aurait dû examiner si les commentaires transmis à Deloitte constituaient, du point de vue de ce dernier, des données à caractère personnel. Pour arriver à ce constat, le Tribunal a, notamment, relevé que la violation de l’article 15, paragraphe 1, sous d), du règlement 2018/1725, constatée dans la décision litigieuse, concernait le transfert par le CRU de ces commentaires à Deloitte et non la seule détention de ceux-ci par le CRU.

99 À titre liminaire, il convient de rappeler que l’article 3, point 1, du règlement 2018/1725 ne précise pas expressément la perspective pertinente pour apprécier le caractère identifiable de la personne concernée, tandis que le considérant 16 de ce règlement vise, de manière indifférenciée, le « responsable du traitement » ou « toute autre personne ». En outre, il est de jurisprudence constante que, pour qu’une donnée puisse être qualifiée de « donnée à caractère personnel », il n’est pas requis que toutes les informations permettant d’identifier la personne concernée doivent se trouver entre les mains d’une seule personne (voir, en ce sens, arrêts du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 43, et du 7 mars 2024, OC/Commission, C‑479/22 P, EU:C:2024:215, point 48).

100 Selon la jurisprudence issue notamment de l’arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779), rappelée aux points 81 à 84 du présent arrêt, la perspective pertinente pour apprécier le caractère identifiable de la personne concernée dépend essentiellement des circonstances caractérisant le traitement des données dans chaque cas particulier.

101 En l’espèce, il y a lieu de rappeler que, dans la décision litigieuse, le CEPD a constaté que, en omettant de mentionner Deloitte en tant que destinataire potentiel des commentaires dans la déclaration de confidentialité présentée au moment de la collecte de ceux-ci, le CRU avait méconnu son obligation d’information résultant de l’article 15, paragraphe 1, sous d), du règlement 2018/1725.

102 L’article 15, paragraphe 1, de ce règlement détermine les informations que le responsable du traitement doit fournir à la personne concernée, lorsque des données à caractère personnel sont collectées auprès de celle-ci, tout en précisant que ces informations doivent être fournies à cette personne « au moment où les données en question sont obtenues ». Il découle des termes mêmes de cette disposition que ces informations doivent être fournies par le responsable du traitement immédiatement, à savoir au moment de la collecte de ces données (voir, par analogie, arrêt du 29 juillet 2019, Fashion ID, C‑40/17, EU:C:2019:629, point 104 et jurisprudence citée).

103 S’agissant, plus particulièrement de l’information relative aux éventuels destinataires des données à caractère personnel, visée à l’article 15, paragraphe 1, sous d), dudit règlement, il s’agit d’une information, à fournir parmi d’autres, lors de la collecte des données auprès de la personne concernée.

104 L’article 14, paragraphe 1, du règlement 2018/1725 prévoit que le responsable du traitement prend des mesures appropriées afin, notamment, que les informations visées notamment à l’article 15 de ce règlement soient fournies à la personne concernée d’une façon concise, transparente, compréhensible, aisément accessible et qu’elles soient formulées en des termes clairs et simples, afin de mettre cette personne en mesure de pleinement comprendre les informations qui lui sont adressées [voir, par analogie, arrêts du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 38, ainsi que du 11 juillet 2024, Meta Platforms Ireland (Action représentative), C‑757/22, EU:C:2024:598, points 55 et 56].

105 L’importance du respect d’une telle obligation d’information est confirmée par le considérant 35 du règlement 2018/1725, dont les première et deuxième phrases énoncent que le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités, étant souligné que le responsable du traitement devrait également fournir toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, ainsi que cela est prévu à l’article 15, paragraphe 2, de ce règlement [voir, par analogie, arrêt du 11 juillet 2024, Meta Platforms Ireland (Action représentative), C‑757/22, EU:C:2024:598, point 57 et jurisprudence citée].

106 Ainsi, lorsque la collecte de telles données auprès de la personne concernée est – comme, en l’espèce, dans le cadre de la procédure relative au droit d’être entendu – fondée sur le consentement de cette personne, la validité du consentement donné par ladite personne dépend, entre autres, du point de savoir si celle-ci a, au préalable, obtenu les informations au regard de toutes les circonstances entourant le traitement des données en question auxquelles elle avait droit, en vertu de l’article 15 du règlement 2018/1725, et qui lui permettent de donner un consentement en pleine connaissance de cause [voir, par analogie, arrêt du 11 juillet 2024, Meta Platforms Ireland (Action représentative), C‑757/22, EU:C:2024:598, point 60].

107 Par ailleurs, s’agissant de l’hypothèse d’une obligation pour la personne concernée de fournir des données à caractère personnel au responsable de traitement, le considérant 35 de ce règlement précise, à sa quatrième phrase, qu’il importe que la personne concernée sache si elle est obligée de fournir ces données à caractère personnel et qu’elle soit informée des conséquences auxquelles elle s’expose si elle ne les fournit pas, ce qui corrobore l’importance que revêt l’information requise par l’article 15 dudit règlement, au moment même de la collecte des données auprès de la personne concernée.

108 Dans ces conditions, il apparaît que l’obligation de fournir à la personne concernée – au moment de la collecte des données à caractère personnel en lien avec elle – l’information relative aux éventuels destinataires de ces données a notamment pour objectif de permettre à cette personne de décider en pleine connaissance de cause si elle fournit ou, au contraire, refuse de fournir ses données à caractère personnel collectées auprès d’elle.

109 Il convient d’ajouter que, comme la Commission l’a, en substance, soutenu lors de l’audience, l’information relative aux éventuels destinataires est, certes, également indispensable pour que la personne concernée puisse, ultérieurement, défendre ses droits à l’encontre de ces destinataires. Toutefois, l’obligation de fournir cette information au moment de la collecte des données à caractère personnel garantit, notamment, que ces données ne soient pas collectées par le responsable de traitement contre la volonté de la personne concernée, voire transférées contre son gré à des tiers.

110 Il s’ensuit que, ainsi que M. l’avocat général l’a relevé au point 69 de ses conclusions, l’obligation d’information prévue à l’article 15, paragraphe 1, sous d), du règlement 2018/1725 s’inscrit dans la relation juridique existant entre la personne concernée et le responsable du traitement et, de ce fait, elle a pour objet les informations en lien avec cette personne telles qu’elles ont été transmises à ce responsable, donc avant tout éventuel transfert à un tiers.

111 Partant, il y a lieu de considérer que, aux fins de l’application de l’obligation d’information prévue à l’article 15, paragraphe 1, sous d), du règlement 2018/1725, le caractère identifiable de la personne concernée doit être apprécié au moment de la collecte des données et du point de vue du responsable du traitement.

112 Il en résulte que, ainsi que M. l’avocat général l’a, en substance, relevé au point 79 de ses conclusions, l’obligation d’information incombant au CRU s’appliquait en l’espèce en amont du transfert des commentaires en cause et indépendamment de leur caractère personnel ou non, du point de vue de Deloitte, après leur éventuelle pseudonymisation.

113 Cette interprétation n’est pas remise en cause par l’argument du CRU tiré des termes de l’article 15, paragraphe 1, sous d), du règlement 2018/1725, qui se réfèrent aux « destinataires [...] des données à caractère personnel ». En effet, ainsi qu’il ressort des points 102 à 108 du présent arrêt, cette disposition régit l’obligation d’information incombant au responsable du traitement au moment de la collecte de telles données. Or, la question de savoir si le responsable du traitement a, à ce moment, respecté son obligation d’information ne saurait dépendre des possibilités d’identification de la personne concernée, dont disposerait, le cas échéant, un éventuel destinataire après un transfert ultérieur des données en cause.

114 Ainsi que M. l’avocat général l’a, en substance, relevé au point 77 de ses conclusions, l’argumentation du CRU selon laquelle il y aurait lieu de se placer du point de vue du destinataire pour contrôler le respect de cette obligation d’information aurait pour conséquence de reporter ce contrôle dans le temps. Dans la mesure où ledit contrôle porterait nécessairement sur des données à caractère personnel déjà transférées au destinataire, cette argumentation méconnaît également l’objet de l’obligation d’information, qui est intrinsèquement liée à la relation entre le responsable du traitement et la personne concernée.

115 Partant, le Tribunal a commis une erreur de droit en jugeant, aux points 97, 98, 100, 101 et 103 à 105 de l’arrêt attaqué, que, pour apprécier si le CRU avait respecté son obligation d’information au titre de l’article 15, paragraphe 1, sous d), du règlement 2018/1725, le CEPD aurait dû examiner si les commentaires transmis à Deloitte constituaient, du point de vue de ce dernier, des données à caractère personnel.

116 Il s’ensuit que, sans qu’il y ait lieu d’examiner les arguments du CEPD résumés aux points 93 et 94 du présent arrêt, le second grief de la seconde branche du premier moyen doit être accueilli.

B. Sur le second moyen

117 Le premier moyen du pourvoi étant fondé, dans sa première branche et dans le second grief de sa seconde branche, il n’y a pas lieu d’examiner le second moyen du CEPD, tiré d’une méconnaissance de l’article 4, paragraphe 2, et de l’article 26, paragraphe 1, du règlement 2018/1725.

118 Le premier moyen du pourvoi étant ainsi accueilli, il y a lieu d’annuler l’arrêt attaqué.

VI. Sur le recours devant le Tribunal

119 Conformément à l’article 61, premier alinéa, seconde phrase, du statut de la Cour de justice de l’Union européenne, la Cour peut, en cas d’annulation de la décision du Tribunal, statuer définitivement sur le litige lorsque celui-ci est en état d’être jugé.

120 En l’espèce, le litige est en état d’être jugé en ce qui concerne le premier moyen du recours, tiré d’une prétendue méconnaissance par le CEPD de l’article 3, point 1, du règlement 2018/1725, en ce que les informations transmises à Deloitte ne constituaient pas des données à caractère personnel. En effet, au vu des considérations figurant aux points 58 à 60 du présent arrêt, le CEPD a pu, d’une part, considérer, sans commettre d’erreur de droit, que les commentaires transmis à Deloitte constituaient des informations se rapportant à des personnes physiques, à savoir aux auteurs de ces commentaires. D’autre part, ainsi qu’il a été relevé au point 111 de cet arrêt, dans le cadre de l’application de l’obligation d’information prévue à l’article 15, paragraphe 1, sous d), de ce règlement, le caractère identifiable de la personne concernée doit être apprécié en se plaçant du point de vue du responsable du traitement. Or, il n’est pas contesté entre les parties que le CRU disposait, en tant que responsable du traitement, de l’ensemble des informations nécessaires pour identifier les auteurs desdits commentaires. Il résulte de ce qui précède que les informations litigieuses constituent, contrairement à ce que soutient le CRU, des données à caractère personnel. Partant, le premier moyen du recours doit être rejeté comme étant non fondé.

121 En revanche, le litige n’est pas en état d’être jugé en ce qui concerne le second moyen du recours, dès lors que ce moyen implique des appréciations factuelles qui n’ont pas été opérées par le Tribunal.

122 Il y a lieu, par conséquent, de renvoyer l’affaire au Tribunal aux fins de l’examen du second moyen.

VII. Sur les dépens

123 L’affaire étant renvoyée devant le Tribunal, il convient de réserver les dépens afférents au pourvoi.

Par ces motifs, la Cour (première chambre) déclare et arrête :

1) L’arrêt du Tribunal de l’Union européenne du 26 avril 2023, CRU/CEPD (T‑557/20, EU:T:2023:219), est annulé.

2) L’affaire T‑557/20 est renvoyée devant le Tribunal de l’Union européenne.

3) Les dépens sont réservés.

Signatures

* Langue de procédure : l’anglais.