Vous trouvez que la désidentification des renseignements personnels est une matière compliquée ? Attendez de lire cette décision de la Cour de justice de l’Union européenne…
Le 4 septembre 2025, la Cour de justice de l’Union européenne (la «CJUE») a rendu sa décision dans l’affaire C 413/23 P, en matière d’anonymisation des données à caractère personnel.
Traduit de l’anglais personal data, le terme européen français de «données à caractère personnel» est impropre, puisqu’une donnée en elle-même ne peut pas être à caractère personnel.
Toutefois, compte tenu du fait que nous parlons ici d’une décision de la CJUE, j’utiliserai le vocable «données à caractère personnel» comme équivalent européen du terme canadien français «renseignements personnels».
Cet arrêt précise que, dans certaines circonstances, les données pseudonymisées peuvent ne pas toujours être considérées comme des données à caractère personnel en vertu des lois européennes sur la protection des données.
En fait, la CJUE a statué sur ce que que nous appelons au Québec l’anonymisation avant communication. Il s’agit d’une modalité qui découle de la pratique mais n’est pas expressément prévue par la législation provinciale.
Cette décision de la cour européenne s’inscrit dans une tendance à la reconnaissance de l’anonymisation avant communication.
Sa position peut donc sembler légitime. Mais en l’état, la juridiction me semble commettre une maladresse et trois erreurs :
1 – Des bases de données dépersonnalisées ET anonymisées
La Cour fait ici deux impasses.
Tout d’abord, elle ne marque pas la distinction entre les deux types d’anonymisation existants. On peut en effet représenter comme suit le spectre de la désidentification :
Contrairement à ce que ce schéma indique, la CJUE ne fait pas la distinction entre anonymisation avant destruction et anonymisation avant communication. Elle ne mentionne pas le plus haut degré d’anonymisation de la première (les sources de réidentification sont détruites) par rapport à la seconde (les sources de réidentification existent toujours mais sont très difficilement accessibles).
Ensuite, la CJUE n’a pas intégré le fait que des renseignements pseudonymisés dont le risque de réidentification est très faible peuvent être en même temps des renseignements anonymisés.
Rappelons tout d’abord que dépersonnalisation et anonymisation s’inscrivent dans un continuum. Pour anonymiser, on applique d’abord des techniques de dépersonnalisation, puis des techniques propres à l’anonymisation. Or, on considère traditionnellement que la dépersonnalisation consiste à altérer – voire supprimer – les identifiants directs dans une base de données. Tandis que l’anonymisation consiste, en plus, à altérer des identifiants indirects.
Vu comme ça, on comprend assez mal comment une dépersonnalisation pourrait être aussi une anonymisation. Eh oui : il manque la phase d’altération des identifiants indirects !
Mais en réalité, ce n’est pas absolument nécessaire.
Car les définitions légales de l’anonymisation parlent en fait d’une altération des renseignements personnels de sorte que les personnes ne puissent plus y être identifiables directement ou indirectement.
Par exemple, au Québec, la Loi sur l’accès à l’information et sur la protection des renseignements personnels (LADOPPRP) dispose, à son article 73 alinéa 2 :
Pour l’application de la présente loi, un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.
De même, dans l’Union européenne, le Règlement général sur la protection des données à caractère personnel (RGPD), énonce, dans son considérant 26, alinéa 2 :
Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage.
Or, si je dépersonnalise une base de données – de sorte que les personnes concernées ne puissent plus être identifiables directement -, il est possible que les identifiants indirects qui demeurent dans la base soient en l’état insuffisants pour permettre une réidentification, même en les recoupant avec des informations tierces difficiles à obtenir.
Autrement dit, ma base dépersonnalisée est aussi une base de données anonymisée – sans avoir besoin d’altérer les identifiants directs. Il s’agit de cas rares, mais tout-à-fait plausibles.
Ça ne veut pas dire que ma base de données sera encore valablement anonymisée dans 3, 5 ou 10 ans (l’amélioration des technologies de réidentification et la multiplication des sources de données aisément accessibles pourraient permettre désormais une réidentification). Mais au moment où j’ai effectué la dépersonnalisation, il se trouve que ma base dépersonnalisée est également anonymisée.
La position de la CJUE est donc légitime. Mais la juridiction l’exprime maladroitement.
86 – Il s’ensuit que, contrairement à ce que soutient le CEPD, des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725, dans la mesure où la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable.
En effet, au lieu de reconnaître simplement qu’une base de données dépersonnalisée peut aussi être anonymisée, la Cour préfère inventer le concept de données-qui-ne-sont-pas-à-caractère-personnel-pour-leur-seul-destinataire-mais-qui-sont-à-caractère-personnel-pour-leur-détenteur-originel-et-peuvent-l’être-pour-un-tiers-destinataire-ayant-des-capacités-supérieures-de-réidentification.
Ce genre de circonvolution risque d’emmêler tout le monde, de compliquer la pratique et de donner lieu à un contentieux plus important.
2 – Légalité et facilité d’obtention des informations de réidentification
LA CJUE rappelle sa jurisprudence constante (c’est moi qui souligne) :
82 – En outre, la Cour a déjà jugé qu’un moyen n’est pas susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée lorsque le risque d’une identification paraît en réalité insignifiant, en ce que l’identification de cette personne est interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main–d’œuvre (…). Cette jurisprudence corrobore l’interprétation selon laquelle l’existence d’informations supplémentaires permettant d’identifier la personne concernée n’implique pas, à elle seule, que des données pseudonymisées doivent être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725.
83 – Dans le même ordre d’idées, la Cour a en substance, jugé (…) que des données en soi impersonnelles, collectées et conservées par le responsable du traitement se rattachaient tout de même à une personne identifiable, dès lors que le responsable du traitement disposait de voies légales pour obtenir auprès d’autrui des informations supplémentaires permettant d’identifier cette personne. En effet, dans de telles conditions, la circonstance que les informations permettant d’identifier la personne concernée se trouvaient entre les mains de différentes personnes n’était pas de nature à empêcher effectivement son identification de telle manière qu’elle fût non identifiable pour le responsable du traitement.
Autrement dit, pour la Cour :
- si je peux obtenir des informations de recoupement par des moyens légaux, c’est que ces informations sont faciles à obtenir. La personne concernée est donc considérée comme identifiable.
- mais à contrario, cela signifie que, si ces moyens sont illégaux, ces informations de recoupement sont alors difficiles à obtenir. La personne concernée doit donc être considérée comme NON identifiable.
Et là, ça ne passe pas.
- Parce que des voies légales peuvent donner lieu à un contentieux qui va s’échelonner sur des années. Et encore : si le demandeur dispose des ressources financières pour mener l’affaire judiciaire à son terme. Donc, voie légale ne signifie pas facilité d’obtention.
- Nous vivons dans un monde saturé de cyberattaques, de rançongiciels, d’incidents de confidentialité, de publications sur le web obscur et d’usurpations d’identité… Les informations de recoupement ne sont pas que de la donnée ouverte officielle ; elles peuvent être aisément disponibles – même si leur publication est illégale. Donc, voie illégale ne signifie pas difficulté d’obtention.
3 – Le caractère subjectif des capacités de réidentification
La Cour poursuit (c’est moi qui souligne) :
79 – En effet, à la suite de ces indications relatives aux données à caractère personnel et aux données pseudonymisées, la troisième phrase de ce considérant précise que, pour déterminer si une personne physique est identifiable, il convient de prendre en considération « l’ensemble des moyens raisonnablement susceptibles » d’être utilisés par le responsable du traitement ou « par toute autre personne » pour identifier la personne physique « directement ou indirectement ». En outre, la quatrième phrase de ce considérant énonce que, pour établir si des moyens sont raisonnablement susceptibles d’être utilisés afin d’identifier une personne physique, il convient de prendre en considération « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. (…)
100 – Selon la jurisprudence issue notamment de l’arrêt du 19 octobre 2016, Breyer (C-582/14, EU:C:2016:779), rappelée aux points 81 à 84 du présent arrêt, la perspective pertinente pour apprécier le caractère identifiable de la personne concernée dépend essentiellement des circonstances caractérisant le traitement des données dans chaque cas particulier.
La juridiction estime donc que l’évaluation des capacités de réidentification doit s’effectuer de façon subjective, en se plaçant du seul point de vue du demandeur des renseignements pseudonymisés. Ainsi, dès lors que le destinataire n’a pas de capacités raisonnables de réidentification, les données doivent être considérées comme n’ayant plus de caractère personnel.
Le destinataire peut donc les traiter comme telles et en faire ce qu’il veut. Il va donc pouvoir, par exemple… les diffuser publiquement.
Ce faisant, il met ces données réputées NON personnelles à disposition de tiers malveillants ayant des capacités de réidentification bien supérieures.
Lesquels tiers malveillants vont pouvoir… les réidentifier.
La position de la Cour est ici un non-sens complet.
4- Obligation d’information de la personne identifiable
Enfin, la Cour estime enfin :
111 – Partant, il y a lieu de considérer que, aux fins de l’application de l’obligation d’information prévue à l’article 15, paragraphe 1, sous d), du règlement 2018/1725, le caractère identifiable de la
personne concernée doit être apprécié au moment de la collecte des données et du point de vue du responsable du traitement
Corollaire du point précédent : la Cour décide que le détenteur des données à caractère personnel doit informer les personnes concernées du fait que leurs données pseudonymisées vont être communiquées à un tiers ; parce que ce sont des données à caractère personnel.
Fort bien. Mais de par sa position au point précédent, la Cour n’oblige pas le tiers destinataire à dire aux personnes concernées ce qu’il va faire avec ; parce que ce ne sont pas des données à caractère personnel.
Donc, si le destinataire décide de publier en l’état les données reçues (créant ainsi un risque sérieux de réidentification), la personne concernée ignorera que ces données réputées NON personnelles pourraient en fait très bien redevenir des données personnelles, entre les mains de tiers.
Vous suivez ? Non ? C’est normal, c’est incohérent.
Le schéma ci-dessous représente l’incohérence de la position de la CJUE pour les points 3 et 4.
Comme je l’ai rappelé plus haut, au Québec, l’anonymisation des renseignements personnels avant communication à des tiers n’est pas expressément prévue par la loi. Il ne nous reste plus qu’à espérer que les juridictions provinciales, quand elles auront à dire le droit en cette matière, feront preuve d’un peu plus de jugeotte et de pragmatisme que la CJUE.
À propos de Arnaud Palisson
Arnaud Palisson, Ph.D. fut pendant plus de 10 ans officier de police et analyste du renseignement au Ministère de l'intérieur, à Paris (France). Installé à Montréal (Canada) depuis 2005, il y a travaillé dans le renseignement policier puis en sureté de l'aviation civile. Il se spécialise aujourd'hui dans la sécurité de l'information et la protection des renseignements personnels.