L’EDPB (acronyme anglais du Comité européen de la protection des données[1]) et l’EDPS (acronyme anglais du Contrôleur européen de la protection des données) – les deux autorités ayant le même acronyme en français, « CEPD »[2] – ont adopté le 10 février 2026 un avis conjoint (Avis conjoint 2/2026[3]) sur l’initiative « Digital Omnibus » de la Commission européenne (décrite par la Commission comme « une série de modifications techniques apportées à un vaste corpus de législation numérique, sélectionnées pour apporter un soulagement immédiat aux entreprises, aux administrations publiques et aux citoyens, et pour stimuler la compétitivité ») que nous avions déjà mentionnée dans un article précédent.

Bien que les deux autorités accueillent favorablement (et approuvent en grande partie) les propositions de la Commission exposées dans cette initiative (sous réserve de certaines mises en garde), l’avis exprime une vive inquiétude à l’égard de l’approche proposée pour redéfinir les données à caractère personnel, qui serait recalibrée pour s’aligner sur la plus récente interprétation de la notion par la CJUE [Affaire C-413/23 (CEPD (EDPS) c. CRU)[4]].

Dans cette décision, la CJUE introduit une approche plus « subjective » de la notion de données à caractère personnel, en jugeant que les données pseudonymisées ne constituent pas nécessairement des données à caractère personnel en toutes circonstances. L’évaluation doit au contraire être effectuée du point de vue du destinataire spécifique et des moyens légaux dont il dispose effectivement pour procéder à la réidentification.

Si la Cour a confirmé que l’obligation d’information des personnes concernées doit être appréciée au moment de la collecte et du point de vue du responsable du traitement initial, elle a également précisé que les données pseudonymisées peuvent ne pas relever du champ d’application des données à caractère personnel pour un destinataire qui ne dispose pas de moyens raisonnablement susceptibles de permettre l’identification. En pratique, cela ne supprime pas la nécessité d’une base légale pour le transfert de données, mais cela signifie que lorsque la réidentification est purement théorique, le caractère non personnel des données du point de vue du destinataire devrait militer en faveur de l’autorisation de la divulgation, notamment lorsque le transfert repose sur la base légale de l’intérêt légitime.

Dans ce contexte, la proposition de la Commission dans le cadre de l’initiative « Digital Omnibus » consiste à ajouter un nouveau paragraphe à l’article 4(1) du RGPD, libellé comme suit :

« Les informations relatives à une personne physique ne sont pas nécessairement des données à caractère personnel pour toute autre personne ou entité du simple fait qu’une autre entité peut identifier cette personne physique. Les informations ne revêtent pas de caractère personnel pour une entité donnée lorsque ladite entité ne peut pas identifier la personne physique à laquelle elles se rapportent, compte tenu des moyens raisonnablement susceptibles d’être utilisés par cette entité. Ces informations ne deviennent pas des données à caractère personnel pour cette entité du simple fait qu’un destinataire ultérieur éventuel dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent »[5]

Aux yeux de l’EDPB et de l’EDPS, la proposition de la Commission risque de réduire le champ d’application matériel du RGPD en restreignant la notion de données à caractère personnel au-delà des limites reconnues dans l’affaire C-413/23 (CEPD c. CRU), qui confirme en réalité une définition bien plus large des données à caractère personnel. De ce fait, la proposition ne reflète pas et va clairement au-delà de la jurisprudence antérieure de la CJUE qui a systématiquement consacré une interprétation large du caractère identifiable de la personne concernée.

Ils font valoir que les données ne devraient pas être considérées comme non personnelles au seul motif que seul un destinataire ultérieur (et non le détenteur actuel) dispose des moyens d’identifier la personne concernée. À cet égard, ils rappellent que la CJUE a énoncé dans cette décision que « des données impersonnelles peuvent acquérir un caractère « personnel », lorsqu’elles sont mises à disposition d’un destinataire (quel qu’il soit) disposant de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne concernée »[6], et notent que cette affirmation est formulée sans limiter sa portée à un contexte spécifique de « mise à disposition » ou de transfert de données.

Toutefois, une telle lecture ne reflète pas adéquatement le raisonnement de la Cour pris dans son ensemble, et n’est pas cohérente avec la structure et les nuances de sa jurisprudence plus large sur le caractère identifiable de la personne concernée.

Dans l’arrêt CEPD (EDPS) c. CRU, la Cour a expressément rejeté l’idée que des données pseudonymisées constituent des données à caractère personnel « en toute hypothèse et pour toute personne »[7]. Elle a précisé que la qualification de données à caractère personnel dépend de la possibilité d’identifier la personne concernée par le destinataire spécifique, compte tenu des moyens raisonnablement susceptibles d’être utilisés en pratique.

Cet arrêt reflète l’approche contextuelle et axée sur l’entité destinataire que la Cour adopte de longue date pour déterminer le caractère identifiable de la personne concernée[8]. Sous cet angle, l’argument selon lequel la proposition Omnibus ne codifierait sélectivement qu’un seul élément d’un seul arrêt n’est pas convaincant.

Si le libellé de la proposition, et notamment sa dernière phrase, qui stipule que « Ces informations ne deviennent pas des données à caractère personnel pour cette entité du simple fait qu’un destinataire ultérieur éventuel dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent », est source d’incertitude et pourrait effectivement porter atteinte au droit fondamental à la protection des données, comme le mentionnent les autorités, cela concerne la formulation plutôt que le fond de la réforme, et (selon nous) ne justifie pas d’écarter la proposition dans son intégralité.

Cependant, la critique formulée par les autorités à l’égard de l’accent mis par la Commission sur le « caractère identifiable » de la personne concernée soulève une question importante : une approche trop restrictive axée sur le caractère identifiable de la personne pourrait ne pas rendre pleinement compte des situations dans lesquelles des personnes peuvent, en pratique, continuer à être ciblées grâce à des identifiants permanents. Dans de tels cas, même lorsqu’une personne ne peut être réidentifiée par son nom, un identifiant permanent ou unique peut néanmoins permettre de la cibler et d’agir à son égard (par exemple par le biais du traçage, du profilage ou de décisions ciblées).

Tout recalibrage « contextuel » de la notion de données à caractère personnel devrait donc utilement éviter de suggérer une relation binaire stricte entre « identifié » et « anonyme » et traiter explicitement des situations dans lesquelles un responsable du traitement peut demeurer responsable même lorsque la personne n’est pas directement identifiée. Une manière d’y parvenir serait de reprendre la notion de « ciblage » visée au considérant 26 du RGPD. Selon cette approche, la responsabilité pourrait tout de même être engagée lorsque des personnes sont indirectement identifiables (par exemple parce qu’elles peuvent être ciblées, influencées ou autrement affectées), même en l’absence d’identification directe. Cela contribuerait à assurer le maintien de l’efficacité pratique des garanties européennes en matière de protection des données.

À notre sens, une révision intégrant une appréciation contextuelle du caractère identifiable de la personne concernée pourrait être envisagée, sans remettre en cause le champ d’application fondamental de la législation européenne en matière de protection des données. Nous suivrons très attentivement l’évolution de la notion (et de sa définition) en pratique, ainsi que la manière dont la Commission traitera explicitement ces questions dans le texte législatif.

Pour lire la version anglaise de cet article :  https://www.privacyworld.blog/2026/03/towards-a-contextual-concept-of-personal-data-under-the-gdpr-the-commission-moves-forward-the-edpb-and-edps-push-back/#_ftnref8

[1] L’EDPB (European Data Protection Board ou Comité européen de la protection des données) est un organisme européen indépendant. Cette organisation réunit les autorités nationales de protection des données des pays de l’Espace économique européen, ainsi que le Contrôleur européen de la protection des données (EDPS). Il veille à ce que le RGPD et la directive Police-Justice soient appliqués de manière cohérente et veille à la coopération européenne, notamment en matière répressive.

[2] L’EPDS (European Data Protection Supervisor ou Contrôleur européen de la protection des données), est l’autorité de contrôle indépendante chargée de veiller au respect du règlement (UE) n° 2018/1725 concernant le traitement des données personnelles par les institutions, organes, offices et agences de l’Union

[3] Disponible ici : https://www.edpb.europa.eu/system/files/2026-02/edpb_edps_jointopinion_202602_digitalomnibus_en.pdf

[4] Disponible ici : https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62023CJ0413

[5] Voir l’avis conjoint n° 2/2026 de l’EDPB et de l’EDPS, paragraphe 11

[6] Voir l’arrêt CEPD (EDPS) c. CRU, points 84 et 85, reformulé dans l’avis conjoint n° 2/2026 de l’EDPB et de L’EDPS, point 16.

[7] Voir l’arrêt CEPD (EDPS) c. CRU, point 86.

[8] Voir l’arrêt Breyer, point 49 ; l’arrêt Nowak, point 31 ; l’arrêt Scania, point 48 ; l’arrêt IAB Europe, point 40 ; l’arrêt OLAF, point 51.