Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Une donnée peut perdre son caractère « personnel » à l’occasion d’un transfert

Publié le par

Un organisme détenait des données à caractère personnel au sujet d’actionnaires d’une banque en déroute. Il charge un tiers d’une mission d’évaluation externe des actifs et lui envoie, à cette fin, plusieurs informations dont les commentaires émis par les actionnaires. Pour vérifier la complétude de l’information et détecter les doublons, un code alphanumérique est attribué aux actionnaires. Y a-t-il eu transfert de données à caractère personnel ? Pas nécessairement répond le tribunal.

Les faits

Le Conseil de résolution unique (CRU) est une autorité européenne créée en 2014 dans le cadre de l’Union bancaire européenne. Son objectif est de contribuer à la stabilité financière en assurant la résolution ordonnée des banques en difficulté et en évitant une crise systémique. Le CRU peut être sollicité pour prendre des mesures de résolution pour une banque en difficulté, telles que la restructuration, la vente ou la liquidation, en vue de protéger les déposants, les investisseurs et la stabilité financière.

Le CRU a été amené à s’occuper de la Banco Popular Español, en pleine déroute.

Sans entrer dans le détail du mécanisme, on retiendra les éléments importants suivants :

  • Les actionnaires de la banque ont été associés à la procédure non seulement parce qu’ils doivent se déclarer en tant qu’actionnaires, mais aussi parce qu’ils peuvent émettre des commentaires à différentes étapes de la procédure de résolution de la banque ;
  • La participation des actionnaires se fait via le site du CRU sur lequel ils trouvent, notamment, une déclaration relative au traitement de leurs données à caractère personnel ;
  • Pour les besoins de la procédure, le CRU doit recourir à un certain moment à un tiers évaluateur chargé d’une mission d’évaluation des actifs. En l’occurrence, c’est le cabinet Deloitte qui assurait ce rôle ;
  • La déclaration relative au traitement de données à caractère personnel n’informait pas les personnes concernées d’un transfert vers Deloitte de données personnelles.

Partant de ce constat, 5 actionnaires ont introduit une plainte qui aboutit sur le bureau du Contrôleur européen de la protection des données (CEPD).

CEPD : le transfert de données n’était pas indiqué dans la charte

Au terme de la procédure devant le CEPD, celui-ci estime la plainte fondée :

  • Les données que le CRU a partagées avec Deloitte étaient des données pseudonymisées ;
  • Deloitte était un destinataire de données à caractère personnel des réclamants et le fait que Deloitte n’ait pas été mentionné dans la déclaration de confidentialité du CRU en tant que destinataire potentiel des données à caractère personnel collectées et traitées par le CRU, en sa qualité de responsable du traitement dans le cadre de la procédure relative au droit d’être entendu, constitue une violation de l’obligation d’information prévue à l’article 15, paragraphe 1, sous d), du règlement 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE.

Le CRU ne l’entend pas de cette oreille et va devant le Tribunal de l’UE : il estime en substance que les données transmises à Deloitte ne sont pas des données à caractère personnel au sens dudit Règlement, de sorte qu’il n’avait pas à informer les personnes concernées de ce transfert.

De l’importance de bien organiser son transfert …

Dans l’esprit du tribunal et des parties, il ne fait guère de doute que la donnée est, au départ, personnelle : les noms des actionnaires sont indiqués, leurs niveaux de participation dans la banque ainsi que leurs éventuels objections et commentaires.

La légitimité de l’intervention de Deloitte ne fait guère de doute non plus : l’intervention d’un évaluateur externe est une étape du processus et une garantie importante pour les actionnaires lésés.

Le tribunal s‘attache à relever le soin apporté par le CRU pour organiser ce transfert :

  • Les données collectées lors de la phase d’inscription, telles que les preuves d’identité et de propriété d’instruments de capital de la banque, étaient accessibles uniquement à un nombre limité de membres du personnel du CRU pour déterminer l’éligibilité des participants. Ces données n’étaient pas accessibles aux membres du personnel du CRU chargés du traitement des commentaires reçus lors de la phase de consultation.
  • Le CRU a filtré automatiquement les commentaires reçus, en utilisant des algorithmes pour identifier les doublons et a examiné les commentaires pertinents pour leur catégorisation. Le personnel du CRU chargé de l’analyse des commentaires n’avait pas accès aux données collectées lors de la phase d’inscription, ni à la clé de données ou aux informations permettant de retrouver l’identité d’un participant.
  • Les commentaires ont été classés en fonction de leur pertinence et de leur thème, et ceux qui étaient pertinents pour la décision préliminaire ont été traités par le CRU, tandis que ceux relatifs à la valorisation ont été transférés à Deloitte pour examen.
  • Les commentaires transférés à Deloitte étaient filtrés, catégorisés et agrégés, et les doublons ont été supprimés. Deloitte n’avait pas accès à la base de données collectées lors de la phase d’inscription et ne pouvait pas savoir si un commentaire avait été formulé par un ou plusieurs participants à la procédure. Un code alphanumérique a été utilisé pour vérifier que chaque commentaire avait été pris en compte.

Pour le CRU, il découle de toute ceci que les commentaires reçus lors de la phase de consultation et communiqués à Deloitte ne se rapportaient pas à des personnes spécifiques au sens de l’article 3, point 1, du règlement 2018/1725 : « les informations contenues dans les commentaires des réclamants étaient des informations factuelles et juridiques indépendantes des personnes ou des qualités personnelles des réclamants et sans rapport avec leur vie privée. Il considère que l’objectif de la procédure relative au droit d’être entendu était d’évaluer des arguments de fait et de droit concernant la décision préliminaire et la valorisation […] provenant d’un grand nombre de parties intéressées, dont la personnalité et l’identité n’étaient pas pertinentes aux fins d’évaluer leurs commentaires ».

Le CEPD fait au contraire valoir que le contenu des commentaires des actionnaires et des créanciers affectés est une information les « concernant », étant donné que leurs réponses contenaient et reflétaient leur point de vue personnel.

Une donnée peut perdre son caractère « personnel » lors d’un transfert à un tiers

Le tribunal revient tout d’abord sur la notion de donnée personnelle : l’objectif du législateur de l’Union est d’attribuer un sens large à cette notion qui vise toute information à condition que celle-ci concerne une personne identifiée ou identifiable.

Très bien ! mais quand une donnée concerne-t-elle une personne, et quand celle-ci est-elle identifiable ?

Le tribunal renvoie à Novak, dans lequel la Cour a jugé qu’une donnée concerne une personne lorsque, en raison de son contenu, de sa finalité ou de son effet, l’information est liée à une personne déterminée (arrêt du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 35).

Le CRU insiste : il ne s’agit pas de savoir si les données ont été pseudonymisées, mais de vérifier si les données transférées à Deloitte sont ou non personnelles : on est dans une situation où « toutes les informations susceptibles de permettre l’identification ne sont pas détenues par une seule personne, mais par plusieurs parties ».

Il faut alors, selon le CRU qui invoque la jurisprudence de la Cour, se livrer à une évaluation concrète du risque de réidentification.

Le tribunal est d’accord et convoque l’arrêt Breyer de la CJUE concernant les adresses IP.

Dans cet arrêt, la CJUE avait tout d’abord rappelé qu’il n’est pas requis que toutes les informations permettant d’identifier la personne concernée se trouvent entre les mains d’une seule personne : il peut donc y avoir une donnée personnelle par recoupement d’informations détenues par plusieurs responsables. Cependant, la Cour a prôné une approche réaliste : il convient de déterminer si la possibilité de combiner les informations du responsable 1 avec les informations supplémentaires détenues par le responsable 2 peut être « raisonnablement mis en œuvre » pour identifier la personne concernée. La Cour a indiqué que tel n’est pas le cas si l’identification de la personne concernée est interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle aurait impliqué un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification parait en réalité insignifiant.

Revenant à ce dossier-ci, le tribunal insiste sur le fait que dans l’hypothèse d’un transfert, il convient de se mettre dans la peau du destinataire pour analyser si des moyens de réidentification peuvent raisonnablement être mis en œuvre.

Il considère donc que la décision du CEPD, qui se fondait sur une logique théorique de recoupement sans prise en compte des possibilités concrètes, doit être annulée.

Plus d’infos ?

en lisant l’arrêt, disponible en annexe.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK