Données pseudonymisées et RGPD : le Conseil d’État confirme l’approche de la CNIL
Le Conseil d’État confirme la décision de la CNIL dans le cadre de la procédure de sanction initiée à l’encontre de la société de reciblage publicitaire en ligne CRITEO.
Tout en rappelant et précisant ce qu’il convient d’entendre comme étant une donnée pseudonymisée qui conserve son caractère personnel, le juge administratif précise la notion de « moyens n’impliquant pas un effort démesuré ». Une décision qui s’inscrit dans la continuité de la jurisprudence de la Cour de justice de l’Union européenne et qui participe à dessiner davantage la distinction entre donnée anonymisée et donnée pseudonymisée, cette dernière pouvant conserver, dans certains cas comme en l’espèce, un caractère personnel.
Un cas d’espèce symptomatique du débat entre anonymisation et pseudonymisation. La société CRITEO est une entreprise française proposant des services de reciblage publicitaire sur internet. Concrètement, elle propose et permet à ses clients d’augmenter la visibilité de leur marque et d’ainsi développer les ventes. CRITEO n’est d’ailleurs pas un nom inconnu des délégués à la protection des données (DPO) et autres juristes en droit de la protection des données : en 2019, elle fait l’objet d’une plainte déposée par l’association NOYB, présidée par le célèbre Max Schrems, auprès de la Commission nationale de l’informatique et des libertés (CNIL) qui ouvrit une procédure de sanction (Cons. const. 27 déc. 2019, n° 2020-005 DC). Le 15 juin 2023, l’Autorité condamne l’entreprise à une amende d’un montant de 40 millions d’euros au regard de plusieurs manquements au règlement (UE) 2016/679 du 27 avril 2016 – règlement général sur la protection des données, RGPD. L’un des manquements doit intéresser particulièrement le lecteur. CRITEO affirmait qu’elle traitait dans le cadre de ses activités de reciblage publicitaire, des « évènements de navigation », constituant à ses yeux des données pseudonymisées ne lui permettant pas d’identifier directement les internautes auxquels elles sont rattachées. En conséquence, CRITEO soutenait qu’elle n’est amenée à reconnaître l’identité d’une personne que dans l’hypothèse d’une demande de droit d’accès. Hors ce cas de figure, l’entreprise estimait auprès de la CNIL, lors du contrôle en 2020, que le risque de réidentification était très faible. On notera donc que CRITEO ne soutenait pas qu’elle arrivait à une véritable anonymisation des données (v. CNIL, Délib. n° SAN-2023-009 du 15 juin 2023, pts 35 à 38, Dalloz IP/IT 2023. 383, obs. Ekaterina Berezkina 
; ibid. 656, obs. C. Galichet ).
Le recours en excès de pouvoir de CRITEO devant le Conseil d’État à l’encontre de la décision CNIL. L’Autorité de contrôle, dans sa décision de sanction du 15 juin 2023, arrivait cependant à la conclusion – s’agissant de ce point de contrôle – que ces données pseudonymisées, bien que purement « techniques », permettaient bien de réidentifier les personnes. Même si CRITEO ne dispose pas directement de l’identité des personnes ciblées pour lesquelles les cookies ont été inscrits sur les terminaux, la réidentification peut se faire par le truchement d’autres données telles que les adresses électroniques des personnes dans un environnement authentifié ou « logué », ou encore via l’adresse IP, voire l’agent utilisateur, du terminal utilisé. La CNIL concluait donc, sur ce point, à des données personnelles permettant de réidentifier des personnes par des moyens raisonnables, et que ces données constituent donc bien des données personnelles au sens du 1) de l’article 4 du RGPD (v. CNIL, Délib. n° SAN-2023-009, préc., pts 38 à 42). CRITEO avait donc formulé, dans la foulée, un recours en excès de pouvoir auprès du Conseil d’État, compétent en premier et dernier ressort pour connaître des recours dirigés contre les décisions de la CNIL (CJA, art. R. 311-1).
Une portée claire et sans surprise : une donnée pseudonymisée demeure une donnée personnelle dès lors que la réidentification n’est pas techniquement impossible via des moyens n’impliquant pas un effort démesuré. Le Conseil d’État va confirmer l’analyse de la CNIL. La juridiction commence par rappeler les définitions du 1) de l’article 4 du RGPD. La donnée personnelle est la donnée qui se rapporte à une personne physique identifiée ou identifiable, même directement, notamment par référence à un identifiant. La pseudonymisation, elle, au titre du 5) de l’article 4 du RGPD, est définie comme toute donnée qui ne peut plus être attribuée à une personne physique concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données personnelles ne sont pas attribuées à ladite personne physique (arrêt, consid. 11). Et pour le Conseil d’État, il ne fait nul doute, dès lors que la CNIL affirme et a pu constater que l’identification de certaines personnes physiques demeure possible techniquement, notamment par des moyens n’impliquant pas un effort démesuré en termes de temps, de coût et de main-d’œuvre, et que la réidentification peut présenter un intérêt pour CRITEO, que ces données demeurent donc des données personnelles en dépit des mesures de pseudonymisation limitant la réidentification ab initio dans le traitement. Ces précisions sur les moyens raisonnables de réidentification sont précieuses, car elles permettront aux DPO et leurs responsables de traitement de placer plus précisément le curseur sur ce qu’il faut comprendre comme donnée personnelle pseudonymisée (arrêt, consid. 12).
Une jurisprudence nationale qui s’inscrit dans la jurisprudence européenne, interrogée à l’aune du projet de règlement Omnibus numérique. Le Conseil d’État avait déjà reconnu, dans une précédente décision rendue plus tôt cette année, que des données pseudonymisées, mais dont la réidentification des personnes concernées demeurait possible par des moyens raisonnables, constituaient bien des données à caractère personnel (CE 13 févr. 2026, n° 498628, consid. 8, SAS Gers, AJDA 2026. 352 ). Cette notion de « moyens raisonnables » est extrêmement importante. D’une part, car ce curseur découle de la jurisprudence de la Cour de justice de l’Union européenne qui a rappelé le 7 mars 2024 qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, irréalisable en pratique, notamment du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre (CJUE 7 mars 2024, aff. C-479/22, consid. 51, RTD com. 2024. 672, obs. T. Douville ). Une jurisprudence prolongée par une décision abondamment commentée du 4 septembre 2025 dans laquelle la Cour de justice confirme qu’une donnée pseudonymisée conserve la qualité de donnée personnelle dès lors que le responsable de traitement ou toute autre personne – conserve la capacité d’identifier les personnes concernées, tout en refusant de répondre qu’une donnée pseudonymisée n’est jamais, systématiquement, une donnée personnelle dès lors que cette réidentification est, selon le cas d’espèce, réputée impossible (CJUE 4 sept. 2025, aff. C-413/23 P, consid. 86, Contrôleur européen de la protection des données c/ Conseil de résolution unique, AJDA 2025. 1575 ; ibid. 2150, chron. P. Bonneville, A. Iljic, E. Lepka et E. Briançon ; RTD com. 2025. 1019, obs. T. Douville ). D’autre part, la décision du CE doit être lue à l’aune du projet de règlement Omnibus numérique VII, portée actuellement par la Commission européenne (v. proposition de règl. 2025/0360/COD du 19 nov. 2025). Ce projet, au 1) de son article 3, propose une modification de la donnée personnelle, en ajoutant au 1) de l’article 4 du RGPD que les informations ne revêtent pas de caractère personnel pour une entité donnée lorsque ladite entité ne peut identifier la personne physique à laquelle elles se rapportent, compte tenu des moyens raisonnablement susceptibles d’être utilisés par cette entité. De quoi donc surveiller avec vigilance cette relecture de la notion de donnée personnelle – qui peut encore bouger le temps de la négociation sur le projet de règlement –, qui viendrait entériner dans le droit positif la sortie du champ d’application du RGPD, de nombreuses données pseudonymisées dès lors que le responsable de traitement démontre son incapacité de réidentifier les personnes physiques concernées.
par Paul Moussier, Doctorant en droit public et droit du numérique à l’Université Paris 1 Panthéon-Sorbonne
© Lefebvre Dalloz