- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- > Travailleurs handicapés
- Avocat
Article
Décision CRU c/ Deloitte : Une nouvelle pierre à l’édifice de la notion de donnée à caractère personnel
Décision CRU c/ Deloitte : Une nouvelle pierre à l’édifice de la notion de donnée à caractère personnel
Les frontières de la notion de donnée à caractère personnel suscitent de nombreuses controverses. L’enjeu est de taille, puisque l’existence d’une telle donnée déclenche l’application de la règlementation en matière de protection des données à caractère personnel et de l’arsenal conséquent d’obligations et de droits qui en découlent. Il n’est donc pas surprenant de constater en pratique une forte propension des entités traitant des données à restreindre plus que de mesure cette notion, et ce, à contre-courant des autorités de protection qui, dans un objectif de protection élevée, ne tendent à retenir que très rarement l’existence de données réellement anonymes. Un récent arrêt du 26 avril 2023 du Tribunal de la Cour de justice de l’Union européenne (aff. T-557/20) apporte un éclairage intéressant sur ce débat et la distribution à opérer entre donnée pseudonymisée et donnée anonyme.
Le contexte - L’affaire soumise au Tribunal prend ses racines dans la procédure de résolution de la banque Banco Popular ouverte par le Conseil de résolution unique (CRU). Le CRU est l’autorité de résolution de l’Union bancaire européenne et assure la résolution ordonnée des banques défaillantes en essayant de réduire au minimum les conséquences pour l’économie réelle et les finances publiques des pays de l’Union européenne participants et d’autres pays.
Dans le cadre de cette résolution, le CRU avait lancé une consultation des actionnaires et créanciers de la Banco Popular afin de déterminer s’ils avaient bénéficié d’un meilleur traitement dans l’hypothèse où la banque aurait fait l’objet d’une procédure normale d’insolvabilité et s’ils devaient donc être dédommagés.
Pour les besoins de cette consultation, le CRU avait invité les actionnaires et créanciers à remplir en premier lieu un formulaire d’inscription en ligne dans le cadre d’une première phase dite d’inscription.
À l’issue de cette première phase et de la vérification des inscriptions par le CRU, ce dernier avait adressé un questionnaire aux actionnaires et créanciers dont l’inscription avait été validée. L’objectif était alors de recueillir leurs commentaires sur leur éventuel dédommagement dans le cadre de la seconde phase dite « de consultation ».
Les commentaires recueillis lors de cette seconde phase avaient été transmis au cabinet Deloitte, en sa qualité d’évaluateur indépendant. Deloitte n’avait eu dans ce cadre accès qu’à ces commentaires, auxquels des codes avaient été attribués par le CRU. Il n’avait en revanche pas eu accès aux noms et prénoms des actionnaires et créanciers ou aux autres informations communiquées par ces derniers dans le cadre de la phase d’inscription pour attester de leur identité et de leur qualité.
Lors de l’ouverture de la phase d’inscription, le CRU avait publié une politique de confidentialité destinée à communiquer aux personnes s’inscrivant les informations sur l’utilisation qui est faite de leurs données à caractère personnel conformément à l’article 15 du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018.
Ce règlement particulier vise à encadrer les traitements de données à caractère personnel réalisés par les institutions, organes et organismes de l’Union européenne. Les définitions, obligations et droits qu’il contient sont très proches, voire identiques à bien des égards, à celles et ceux prévus par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit RGPD).
Notamment et comme à l’article 13 du RGPD, l’article 15 du règlement 2018/1725 prévoit que les...
Sur la boutique Dalloz
Code de la protection des données personnelles 2025, annoté et commenté
11/2024 -
7e édition
