A partir de quand une personne est-elle « identifiable » au sens du RGPD ?
Publié le 03/05/2024 par Etienne Wery 979 vues
Un communiqué de presse qui n’identifie pas la personne visée, mais contient des informations qui rendent l’identification possible sans « effort démesuré en termes de temps, de coût et de main-d’œuvre », de sorte que le risque d’identification n’est pas « insignifiant », est une donnée à caractère personnel.
Les faits
La requérante, de nationalité grecque, est chercheuse universitaire spécialisée dans les applications de la nanotechnologie, le stockage d’énergie et la biomédecine.
En 2007, elle a soumis une proposition de recherche intitulée « Étude de la transition du micro au nano : fondements, simulations et applications théoriques et expérimentales » (« le projet ») au Conseil européen de la recherche.
Le 30 septembre 2008, la Commission européenne et l’Université Aristote de Thessalonique ont signé la convention de subvention n° 211166 concernant le projet. L’université Aristote a été désignée comme institution d’accueil pour le projet. Le 15 juillet 2009, un amendement à cette convention est entré en vigueur, remplaçant la Commission par l’Agence exécutive du Conseil européen de la recherche (ERCEA) en tant que cocontractante de cette université.
Après la réalisation du projet, l’ERCEA a constaté des dépenses non éligibles lors d’un audit financier et a demandé le remboursement de ces montants à l’Université Aristote.
Parallèlement, l’OLAF a ouvert une enquête sur d’éventuelles irrégularités ou fraudes dans l’exécution du projet. Dans son rapport final, l’OLAF a recommandé à l’ERCEA de récupérer les sommes jugées indûment versées et a également recommandé aux autorités judiciaires nationales d’engager des poursuites pour fraude et usage de faux contre la chercheuse et certains membres du personnel universitaire.
En mai 2020, l’OLAF a publié un communiqué de presse détaillant les conclusions de son enquête, mettant en lumière les allégations de fraude impliquant la chercheuse et son réseau de chercheurs internationaux.
Le communiqué est ainsi rédigé :
« La protection du budget de l’Union prévu pour la recherche a toujours revêtu une importance particulière pour l’[OLAF]. Une fraude complexe impliquant une scientifique grecque et son réseau de chercheurs internationaux a été découverte par les enquêteurs de l’[OLAF].
L’affaire porte sur une subvention d’un montant d’environ 1,1 million d’euros accordée par l’[ERCEA] à une université grecque. Ces fonds étaient destinés au financement d’un projet de recherche mené sous la responsabilité d’une jeune scientifique prometteuse, dont le père travaillait dans l’université en question. Le projet comportait un réseau de plus de 40 chercheurs du monde entier placé sous la direction de la scientifique grecque.
L’OLAF a commencé à avoir des soupçons lorsqu’il a découvert la façon dont les chercheurs internationaux étaient prétendument payés. Des chèques étaient émis aux noms de chercheurs individuels, mais étaient ensuite déposés sur des comptes bancaires à titulaires multiples. Les soupçons se sont multipliés lorsqu’il est apparu que les chèques étaient déposés sur les comptes bancaires par la scientifique en chef.
L’équipe des enquêteurs de l’OLAF a alors décidé de procéder à un contrôle sur place dans l’université en question. En dépit des tentatives de la chercheuse principale de faire obstruction à l’enquête, grâce à l’aide des autorités répressives nationales grecques, qui ont donné accès aux comptes bancaires, et grâce aux investigations criminalistiques numériques de l’OLAF lui-même, l’OLAF a pu reconstituer la véritable histoire qui se cachait derrière la fraude.
Des preuves concrètes ont été trouvées, qui démontrent que la scientifique principale avait ouvert les comptes bancaires utilisés pour le “paiement” des chercheurs internationaux et s’était constituée cotitulaire de ces comptes afin d’avoir accès aux fonds. L’OLAF a suivi les pistes financières et a réussi à prouver que des sommes importantes avaient été retirées en espèces par la scientifique ou avaient été transférées sur son compte personnel. L’OLAF a pris contact avec certains chercheurs qui étaient supposés avoir participé au projet de recherche. Aucun d’entre eux ne savait que son nom était lié au projet, ni n’avait connaissance des comptes bancaires ouverts en leurs noms ou du moindre paiement en leur faveur.
[…]
L’enquête a été achevée en novembre de l’année dernière, avec des recommandations invitant, d’une part, l’ERCEA à récupérer environ 190 000 euros (soit la part de la subvention de 1,1 million d’euros prétendument versée aux chercheurs internationaux) et, d’autre part, les autorités nationales à engager des procédures judiciaires contre les personnes impliquées. »
Le litige
Par requête déposée au greffe du Tribunal le 16 juin 2020, la chercheuse concernée a introduit un recours au titre de l’article 268 TFUE, tendant à ce que la Commission soit condamnée à réparer le préjudice moral que lui a prétendument causé le communiqué de presse litigieux.
Elle soutient que l’OLAF a notamment enfreint les dispositions du règlement 2018/1725 (ce règlement est une sorte de RGPD spécifique pour les institutions, organes et organismes de l’Union).
Le tribunal lui donne tort, estimant notamment que le règlement précité ne s’applique pas à défaut de traitement de données à caractère personnel (en substance, son nom n’est pas cité dans le communiqué).
La chercheuse introduit un pourvoi qui pose fondamentalement la question de la définition des données à caractère personnel : certes, le communiqué ne renseigne pas son nom, mais si un lecteur attentif, faisant usage de moyens raisonnablement susceptibles d’être employés, arrive à l’identifier, ne retombe-t-on pas dans le champ d’application du règlement 2018/1725 ?
Qu’est-ce qu’une donnée à caractère personnel ?
D’un côté, il y a la thèse de la commission européenne : le règlement 2018/1725 retient le « risque d’identification » comme critère de définition de la possibilité d’identification et se réfère à la nécessité de prendre en considération « l’ensemble des facteurs objectifs » afin de déterminer ce risque. Ainsi, la simple possibilité hypothétique de distinguer une personne ne serait pas suffisante pour la considérer comme « identifiable ». Tout en rappelant que le pourvoi est limité aux questions de droit, la Commission relève que le Tribunal a examiné les allégations factuelles de la requérante afin de déterminer si elle pouvait être identifiée, directement ou indirectement, tout en soulignant qu’il appartenait à celle-ci d’apporter la preuve que les conditions de la responsabilité non contractuelle de l’Union, au titre de l’article 340 TFUE, étaient remplies. Or, le Tribunal aurait conclu, au point 73 de l’arrêt attaqué, que la requérante n’avait pas démontré qu’elle pouvait être identifiée avec certitude par un lecteur du communiqué de presse litigieux, grâce à des moyens raisonnablement susceptibles d’être utilisés.
D’un autre côté, il y a la thèse de la chercheuse : Elle soutient que le Tribunal a commis une erreur de droit en jugeant que son identification devait découler du communiqué de presse litigieux et ne pouvait pas résulter d’éléments extérieurs ou complémentaires ne relevant pas du comportement reproché à l’OLAF. Elle invoque l’arrêt Breyer bien connu : il serait inhérent à la notion d’« identification indirecte » que des éléments supplémentaires sont nécessaires pour l’identification, de tels éléments pouvant être à la disposition d’une personne autre que le responsable du traitement (voir, en ce sens, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, points 39 et 41).
Le critère des moyens raisonnables
Après avoir souligné que la définition de la notion de « données à caractère personnel », visée à l’article 3, point 1, du règlement 2018/1725, est en substance identique à celle figurant à l’article 4, point 1, du RGPD., la Cour rappelle sa jurisprudence :
- L’emploi de l’expression « toute information » dans la définition de la notion de « donnée à caractère personnel » reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause. Une information « concerne » une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, points 23 et 24).
- Est réputée « identifiable », « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
- L’utilisation par le législateur de l’Union du terme « indirectement » tend à indiquer que, afin de qualifier une information de donnée à caractère personnel, il n’est pas nécessaire que cette information permette, à elle seule, d’identifier la personne concernée (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 41).
- Conformément au considérant 16 du règlement 2018/1725, pour déterminer si une personne physique est identifiable, il convient de prendre en considération « l’ensemble des moyens raisonnablement susceptibles » d’être utilisés par le responsable du traitement ou « par toute autre personne » pour identifier la personne physique « directement ou indirectement ».
- Pour qu’une donnée puisse être qualifiée de « donnée à caractère personnel », il n’est pas requis que toutes les informations permettant d’identifier la personne concernée doivent se trouver entre les mains d’une seule personne (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 43). En particulier, la circonstance que des informations supplémentaires sont nécessaires pour identifier la personne concernée n’est pas de nature à exclure que les données en cause puissent être qualifiées de données à caractère personnel (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 44).
- Encore faut-il cependant que la possibilité de combiner les données en cause avec des informations supplémentaires constitue un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés afin d’identifier une personne physique, il convient, selon le considérant 16 du règlement 2018/1725, de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci.
- Un moyen n’est pas susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée lorsque l’identification de cette personne est interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main‑d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 46).
La Cour applique cette jurisprudence à l’affaire en cause, qui présente comme caractéristique qu’un journaliste d’investigation allemand a réussi à identifier la chercheuse et a publié un article sur la fraude présumée.
Pour la CJUE, cette circonstance « ne saurait permettre, à elle seule, de conclure que les informations figurant dans ce communiqué doivent nécessairement être qualifiées de données à caractère personnel, au sens de l’article 3, point 1, du règlement 2018/1725, et de dispenser de l’obligation de procéder à l’examen du caractère identifiable de la personne en cause ».
C’est une précision très importante car la Cour semble (pour la seconde fois, voir ici) indiquer qu’il ne suffit pas qu’une personne ait pu procéder concrètement à l’identification, pour conclure que le risque étant avéré, on est forcément en présence d’une donnée à caractère personnel.
La Cour est plus touchée par les informations précises contenues dans le communiqué de l’OLAF et qui étaient susceptibles de permettre son identification : son genre, sa nationalité et sa profession, l’indication qu’il s’agissait d’une personne jeune et qu’elle était responsable du projet de recherche financé en cause, tout comme la mention du montant de la subvention, de l’organisme d’octroi, à savoir l’ERCEA, de la nature de l’entité qui accueillait le projet et le pays dans lequel se trouvait celle-ci, à savoir une université en Grèce, la référence au père de la personne en cause et au fait que celui-ci exerçait sa profession au sein de cette entité, tout comme le nombre approximatif de chercheurs travaillant, sous la direction de la personne en cause, pour ledit projet.
La Cour estime ces informations « prises ensembles », comportent « des informations de nature à permettre l’identification de la personne visée par ce communiqué de presse, notamment par des personnes travaillant dans le même domaine scientifique et connaissant son parcours professionnel ».
Il en découle que le risque d’une identification de la personne concernée n’est pas « insignifiant », surtout au sein de la communauté scientifique : l’identification n’implique pas « un effort démesuré en termes de temps, de coût et de main-d’œuvre ».
L’arrêt est disponible en pièce jointe.