[Série Omnibus] Article 1 : l'omnibus et la définition de donnée à caractère personnel

Pour initier cette série d'articles relatifs à la proposition Omnibus, nous proposons d'abord de revenir sur cette proposition, certes attendue, mais en tout état de cause majeure car elle répond à des enjeux pragmatiques : la nouvelle définition de la donnée à caractère personnel. En effet, le texte propose de compléter l'article 4 du RGPD pour préciser la définition de la donnée à caractère personne. Rappelons que l'article 4 du RGPD propose une définition très large de la donnée personnelle qui existe depuis la mise en place de législations en matière de protection des données personnelles dans les pays européens, il y a plus de 40 ans maintenant.

Une donnée revêt un caractère personnel non seulement quand elle permet d'identifier directement une personne mais également quand, sans être nominative au sens littéral du terme, elle permet d'établir un lien avec l'identifié de la personne.

L'Omnibus reprend la direction posée par la Cour de Justice de l'Union Européenne dans son important arrêt du 4 septembre 2025¹.

Il ajoute à la définition actuelle de l'article 4 du RGPD l'indication selon laquelle « Les informations relative à une personne physique ne constituent pas nécessairement de données à caractère personnel pour toute autre personne ou entité, du simple fait qu'une autre entité peut identifier cette personne physique… ». Dans son considérant 27, l'Omnibus précise ainsi que pour déterminer « si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens susceptibles d'être raisonnablement utilisés pour identifier cette personne physique directement ou indirectement ».

Sur la position de la CJUE, l'arrêt concernait la transmission de données pseudonymisées à un prestataire externe. Dans cette décision, la CJUE explique que la qualification des données dépend de la capacité réelle de l'acteur à ré-identifier une personne :

• une même donnée peut être personnelle pour l'entité A,
• mais ne pas l'être pour l'entité B si B ne dispose pas de moyens réalistes ou raisonnables de retrouver l'identité de la personne.

Cette approche « contextuelle » ou « relative » a pour conséquence que, pour déterminer si une donnée est personnelle ou non, il faut regarder les « moyens raisonnablement susceptibles d'être utilisés » :

• est-ce que l'entité a accès aux informations qui permettraient de ré-identifier ?
• est-ce qu'elle dispose des ressources, du contexte ou des fichiers de correspondance ?
• est-ce que l'identification serait réaliste, ou au contraire interdite, très difficile ou disproportionnée ?

Si l'identification exige un effort absolument disproportionné, alors la donnée peut ne pas être qualifiée de donnée personnelle pour cette entité.

Cette position signifie également qu'une même donnée pseudonymisée peut être à caractère personnel pour un destinataire donné et ne pas l'être pour un autre selon les capacités de chacun des acteurs à revenir à l'identité de la personne concernée. Il convient donc de considérer le contexte et les outils qu'une entité peut effectivement utiliser pour recouper, chaîner ou relier les données à une personne, même de façon indirecte.

Cette position, nouvelle peut donc avoir des conséquences importantes pour les acteurs, et pour les personnes concernées, en particulier en matière d'information des personnes.

En effet, prenons l'exemple d'un entrepôt de données de santé, dont l'objet est bien de réutiliser des données collectées massivement à des fins de recherche dans le domaine de la santé.

Si pour l'entrepôt lui-même les données peuvent être considérées comme des données pseudonymisées, dès lors que le responsable de traitement de l'entrepôt dispose d'une table de correspondance, la situation pourrait dans certains cas être analysée de façon différente pour un porteur de projet qui pourrai considérer dans certains cas, ne pas disposer des moyens lui permettant de revenir à l'identité des personnes concernées à partir des données mises à sa disposition.

Dans ce cas précis, et si ce porteur de projet est capable de démontrer que les données réutilisées ne sont plus des données à caractère personnel (en documentant cette démonstration), il ne serait plus tenu par les obligations de conformité propres au traitement de données personnelles.

Il convient toutefois à ce stade de rester prudent sur l'interprétation de cette disposition par les autorités de protection des données représentées au sein du CEPD, en particulier sur les « …moyens raisonnablement susceptibles d'être utilisés… » pour identifier une personne, et d'attendre l'inscription définitive de cette disposition dans le RGPD, même si l'arrêt de la CJUE permet aujourd'hui déjà de se prévaloir de cette nouvelle définition.

👉 Prochain article à venir sur l'Omnibus et les droits des personnes concernées

Footnote

1. Arrêt de la CJUE du 4 septembre 2025 (C-413/23 P, CEPD/CRU)

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.