#EULex – La Cour de justice de l’UE précise la notion de “donnée à caractère personnel”

L’arrêt de la CJUE du 4 septembre 2025 précise la portée de la notion de « donnée à caractère personnel ». La Cour juge qu’une information concerne une personne dès lors qu’elle est liée à celle-ci par son contenu, sa finalité ou son effet. Elle admet qu’une donnée pseudonymisée peut ne pas être une donnée personnelle pour un destinataire incapable d’identifier les personnes. Enfin, la CJUE rappelle que l’obligation d’information s’impose au responsable du traitement au moment où les personnes sont identifiables, mais non au tiers qui ne peut les identifier.

Dans un arrêt rendu le 4 septembre 2025 (affaire C‑413/23 P), la Cour de justice de l’Union européenne (CJUE) a formulé des précisions importantes en ce qui concerne la portée de la notion de « données à caractère personnel » au sens du règlement (UE) 2018/1725 (c’est-à-dire le règlement, similaire au RGPD, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union).

Les faits

L’affaire concerne une banque espagnole qui a nécessité une restructuration. A cet effet, le Conseil de résolution unique (CRU) a demandé l’avis d’anciens actionnaires et créanciers. Les réponses rendues de façon anonyme ont été transmises, dans le but d’être analysées, à une société externe. Cependant, il s’est avéré que les personnes qui avaient rendu un avis n’avaient pas été informées par le CRU de cette utilisation de leurs données et de la transmission de leurs avis à des tiers.

La procédure

Certaines des personnes concernées par cette affaire ont saisi le Contrôleur européen de la protection des données (CEPD) qui avait estimé que le CRU avait manqué à l’obligation d’information prévue par le règlement (UE) 2018/1725. Le CRU a contesté cette décision devant le Tribunal compétent qui a annulé la décision mais le CEPD a introduit un pourvoi devant la CJUE.

La décision de la CJUE: trois enseignements-clés

Plus de six ans après l’entrée en application du RGPD, la CJUE rend un arrêt très marquant au sujet de la notion “donnée à caractère personnel”, à plusieurs égards.

En premier lieu, la CJUE établit qu’une information « concerne » une personne si elle est liée à cette personne en raison de l’un des trois critères alternatifs suivants : son contenu, ou sa finalité, ou son effet. Au regard de la « nature particulière des opinions ou des points de vue personnels qui, en tant qu’expression de la pensée d’une personne, sont nécessairement intimement liés à cette dernière » (critère du contenu), il n’est pas requis en l’espèce d’examiner les autres critères pour conclure que les commentaires sont des données à caractère personnel.

En deuxième lieu, alors que l’on admettait généralement que des données pseudonymisées restaient des données à caractère personnel dans tous les cas, la CJUE nuance cette affirmation. Elle accepte ainsi une dissociation permettant de considérer que, même si le responsable de traitement initial conserve la possibilité de réidentifier les personnes concernées, si le destinataire n’a pas cette faculté, les données ne soient pas, de son point de vue, des données à caractère personnel.

En troisième lieu, s’agissant de l’obligation du CRU d’informer les personnes concernées du transfert de leurs données pseudonymisées à un tiers, la CJUE souligne que cette obligation doit s’apprécier dans le cadre de la relation entre le CRU et les personnes concernées, donc avant tout transfert à un tiers. Puisqu’à ce moment les personnes concernées étaient identifiables, le CRU devait se conformer à son obligation d’information. A contrario, le tiers ne disposant pas de moyens raisonnables pour identifier les personnes concernées ne supporte pas une telle obligation.

Cet arrêt est donc important dans la mesure où il précise la notion de donnée à caractère personnel et où il concède que des données “seulement” pseudonomysées peuvent échapper au champ d’application du RGPD.

de Soline VASILJEVS, Laure-Anne Nyssen

Cookie	Type	Durée	Description
tk_ai	persistent	1 an	Ce cookie est défini par WooCommerce. Il stocke une identification anonyme générée de manière aléatoire. Celui-ci est uniquement utilisé dans la zone du tableau de bord (`/wp-admin`) et sert à suivre l'utilisation, s'il est activé. Plus d'informations : https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_cart_[hash]	session		Ce cookie est défini par WooCommerce et est utilisé pour aider WooCommerce à déterminer si le contenu du panier/les données changent. Plus d'infos : https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_items_in_cart	session		Ce cookie est défini par WooCommerce et est utilisé pour aider WooCommerce à déterminer si le contenu du panier/les données changent. Plus d'infos : https://docs.woocommerce.com/document/woocommerce-cookies/
wp_woocommerce_session_	persistent	2 jours	Ce cookie est défini par WooCommerce. Il contient un code unique pour chaque client afin qu'il sache où trouver les données du panier dans la base de données pour chaque client. Plus d'informations : https://docs.woocommerce.com/document/woocommerce-cookies/

Cookie	Type	Durée	Description
wordpress_[hash]	session		Ce cookie est défini par Wordpress et est utilisé pour stocker les données d'authentification lors de la connexion. Les données d'authentification comprennent le nom d'utilisateur et une copie doublement hachée du mot de passe. Toutefois, l'utilisation du cookie est limitée à la zone de la console d'administration, le tableau de bord du site web. Ici, [hash] représente la valeur obtenue en appliquant une formule mathématique spécifique au nom d'utilisateur et au mot de passe. Il s'agit de s'assurer que les valeurs saisies sont sûres et que personne ne peut accéder à ces données en utilisant les cookies, car il est difficile de "dé-hacher" les données hachées. Plus d'informations : https://wordpress.org/support/article/cookies/
wordpress_test_cookie	session		Ce cookie est défini par Wordpress et est utilisé pour stocker les données d'authentification lors de la connexion. Les données d'authentification comprennent le nom d'utilisateur et une copie doublement hachée du mot de passe. Toutefois, l'utilisation du cookie est limitée à la zone de la console d'administration, le tableau de bord du site web. Ici, [hash] représente la valeur obtenue en appliquant une formule mathématique spécifique au nom d'utilisateur et au mot de passe. Il s'agit de s'assurer que les valeurs saisies sont sûres et que personne ne peut accéder à ces données en utilisant les cookies, car il est difficile de "dé-hacher" les données hachées. Plus d'informations : https://wordpress.org/support/article/cookies/
workpress_logged_in_[hash]	session		Ce cookie est défini par Wordpress et est utilisé pour indiquer quand vous êtes connecté et qui vous êtes. Ce cookie est maintenu sur la page d'accueil du site web, ainsi que lors de la connexion. Plus d'informations : https://wordpress.org/support/article/cookies/
wp-settings-{time}-[UID]	persistent	1 an	Ce cookie est défini par Wordpress et est utilisé pour personnaliser l'affichage de votre interface d'administration et de la partie frontale du site web. La valeur représentée par [UID] est l'identifiant individuel de l'utilisateur tel qu'il lui est donné dans la table de la base de données des utilisateurs. Plus d'informations : https://wordpress.org/support/article/cookies/

Cookie	Type	Durée	Description
cookielawinfo-checkbox-[category]	persistent	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Non nécessaire".
CookieLawInfoConsent	persistent	1 an	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour se souvenir du choix de l’utilisateur sur les cookies sur le site pour éviter d’ouvrir le popup après acceptation.
PHPSESSID	session		Ce cookie définit la session unique de l'utilisateur sur le site.
pll_language	persistent	1 an	Ce cookie définit la langue de l'utilisateur.
viewed_cookie_policy	persistent	1 an	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour enregistrer si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Cookie	Type	Durée	Description
__utma	persistent	2 ans	Utilisé pour distinguer les utilisateurs et les sessions. Le cookie est créé lorsque la bibliothèque javascript s'exécute et qu'aucun cookie __utma n'existe. Le cookie est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmb	session	30 minutes	Utilisé pour déterminer les nouvelles sessions/visites. Le cookie est créé lorsque la bibliothèque javascript s'exécute et qu'aucun cookie __utmb n'existe. Le cookie est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmc	session		Ce cookie fonctionne en complément du cookie __utmb pour déterminer si il y a une nouvelle visite du visiteur actuel. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmt	session	10 minutes	Utilisé pour réduire le taux de demande. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmv	persistent	2 ans	Utilisé pour stocker des données variables personnalisées au niveau du visiteur. Ce cookie est créé lorsqu'un développeur utilise la méthode _setCustomVar avec une variable personnalisée au niveau du visiteur. Ce cookie a également été utilisé pour la méthode _setVar, qui est obsolète. Le cookie est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmz	persistent	6 mois	Stocke la source de trafic ou la campagne qui explique comment l'utilisateur a atteint votre site. Le cookie est créé lorsque la bibliothèque javascript s'exécute et est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_fbp	persistent	3 mois	Utilisé par Facebook pour fournir une série de produits publicitaires tels que les enchères en temps réel d'annonceurs tiers.
1P_JAR	persistent	1 mois	Ce cookie fournit des informations sur la façon dont l'utilisateur final utilise le site web et sur toute publicité que l'utilisateur final a pu voir avant de visiter ce site. Il est ajouté par Google avec le tracking de Linkedin.
AnalyticsSyncHistory	persistent	30 jours	Utilisé pour stocker des données sur le moment où une synchronisation a été effectuée avec le cookie lms_analytics
ANID	persistent	9 mois	Il s’agit d’un cookie publicitaire de Google (qui peut être injecté dans le cadre de l’utilisation d’un service tel que Facebook Pixel, MailChimp ou Linkedin).
bcookie	persistent	1 an	Ce cookie est défini par Linkedin pour le tracking des services embarqués.
bscookie	persistent	2 ans	Ce cookie est défini par Linkedin pour le tracking des services embarqués.
c_user	persistent	3 mois	Ce cookie est utilisé par Facebook pour le partage social des information et l’intégration des services de Facebook.
cli_user_preference	persistent	1 an	Stocke le statut de consentement des cookies de l'utilisateur.
CONSENT	persistent	± 18 ans	Ce cookie stocke des informations liées au consentement de l’utilisateur et stocke la langue de l’utilisateur.
datr	persistent	2 ans	Cookie d'analyse statistique publicitaire Facebook. Pour en savoir plus, veuillez consulter la politique d'utilisation des cookie de Facebook
DSID	persistent	2 semaines	Sert à identifier un utilisateur connecté à son compte Google sur des sites n'appartenant pas à Google et à mémoriser ses préférences de personnalisation des annonces.
fr	persistent	3 mois	Le cookie "fr" est utilisé pour délivrer, mesurer et améliorer la pertinence des publicités, et sa durée de vie est de 90 jours.
IDE	persistent	13 mois	Utilisé par Google afin de présenter des annonces Google Ads aux utilisateurs sur des sites n'appartenant pas à Google.
JSESSIONID	session		Ce cookie est placé par Linkedin pour définir une nouvelle session.
lang	session		Ce cookie stocke la langue du navigateur. Ce cookie est ajouté par Linkedin.
li_at	persistent	1 an	Ce cookie est défini par Linkedin pour le tracking des services embarqués. Ce cookie permet de se protéger des attaques en XSS.
li_oatml	persistent	1 mois	Identifiant indirect du membre pour le suivi des conversations, le reciblage et l’utilisateur. Ce cookie est ajouté par Linkedin.
lidc	session	1 jour	Cookie de Linkedin utilisé pour le routage.
lissc	persistent	1 an	Ce cookie est défini par Linkedin pour le tracking des services embarqués.
lms_ads	persistent	30 jours	Utilisé pour identifier les membres de LinkedIn hors LinkedIn dans les pays désignés à des fins de publicité
lms_analytics	persistent	30 jours	Utilisé pour identifier les membres de LinkedIn dans les pays désignés à des fins d’analyse
NID	persistent	6 mois	Ce cookie de Google permet de personnaliser les annonces publicitaires. Il stocke un identifiant unique permettant à Google d’enregistrer les préférences et d’autres informations comme la langue.
sb	persistent	2 ans	Ce cookie est utilisé par Facebook pour le partage social des information et l’intégration des services de Facebook.
UserMatchHistory	persistent	30 jours	Ce cookie de Linkedin est utilisé pour suivre les visiteurs afin que les publicités les plus pertinentes puissent être présentées en fonction des préférences du visiteur.
xs	persistent	90 jours	Ce cookie de Facebook enregistre un certain nombre de données de session lorsqu’une personne est connectée à Facebook via son navigateur ou son appareil.