La Cour de justice européenne a annulé un arrêt rendu par le Tribunal de l'UE portant sur l'anonymisation de données personnelles et leur transfert à un tiers et a clarifié la qualification de données personnelles dans ce cas précis, dans un arrêt (affaire C-413/23 P) rendu jeudi 4 septembre.
Par un arrêt d'avril 2023, le Tribunal de l'UE avait annulé une décision du Contrôleur européen de la protection des données qui jugeait que le transfert de certaines données (à savoir des commentaires d'anciens créanciers et actionnaires de la Banco Popular Español) vers l'entreprise d'audit Deloitte relevait du Règlement (UE) 2018/1725 sur la protection des données personnelles et était potentiellement illégal.
La Cour estime aujourd'hui que le Tribunal a commis une « erreur » en ne tenant pas compte de la nature personnelle intrinsèque des commentaires transférés.
Elle précise que, pour savoir si l'obligation d'information liée au Règlement (UE) 2018/1725 a été respectée, il est nécessaire de se placer du point de vue du responsable de la collecte des données : même si la pseudonymisation rend les données non identifiables du point de vue de Deloitte, la banque aurait dû informer les personnes concernées, même après anonymisation.
Cependant, la Cour confirme que la pseudonymisation des données peut effectivement les alléger de leur caractère personnel, du moment que celles-ci sont légitimement anonymisées.
Cette décision de la Cour clarifie les moyens d'évaluation du caractère personnel des données, à savoir tenir compte du lien entre l’information et son auteur et de l’état des données au moment de la collecte.
Voir l'arrêt : https://aeur.eu/f/i9z (Isalia Stieffatre)