Rendre le RGPD réaliste ? Les autorités ne le souhaitent qu’à moitié

Quatre lettres qui ont encore mauvaise réputation aujourd’hui mais peut-être moins demain : RGPD ou règlement général sur la protection des données. Et pour cause. « Il nous faut du consentement pour tout ». « Une analyse détaillée du droit de chaque pays de destination de nos données ? C’est exagéré ! ». Les principes du droit à la protection des données sont pourtant fondés sur un réalisme et un optimisme longtemps oublié : le RGPD, la loi par excellence en la matière et une source d’inspiration au niveau mondial, n’est pas là pour prohiber le traitement des données mais bien pour le permettre de façon responsable et encadrée. Le marché intérieur de l’Union européenne est fondé sur la libre circulation des personnes, biens, services et capitaux ; le RGPD complémente ce cadre en assurant la libre circulation des données à condition que leur traitement soit fait correctement.

Voilà cependant que depuis de nombreuses années, la Cour de justice de l’Union européenne de même que les autorités de contrôle (la CNIL en France, la Garante en Italie et bien d’autres) paraissent avoir fait de la protection des données le premier de tous les droits fondamentaux. La liberté d’expression ? Mon droit d’accès, l’article 15 du RGPD, permet d’obtenir accès aux opinions exprimées par des évaluateurs à mon égard. La liberté d’entreprise ? La monétisation des contenus en ligne par voie de publicité est considérée par le Comité européen de la protection des données comme n’étant pas nécessaire à l’exécution d’un contrat et comme ne pouvant être fondée que sur mon consentement, ce qui implique un droit à refuser ce traitement également. L’empire de la protection des données prévaut, point.

« Prévalait », peut-être ? La rentrée académique a été marquée par un vent de renouveau, avec l’arrêt du 4 septembre 2025 de la Cour de justice dans une affaire concernant des données pseudonymisées, soit des données dont la partie permettant l’identification d’une personne physique a été découplée de la donnée de contenu. En l’espèce, il s’agissait de commentaires soumis par des créanciers au Conseil de résolution unique (le « CRU »), commentaires que le CRU a transmis au cabinet de consultance Deloitte après avoir remplacé dans les données en question le nom et les coordonnées de chaque créancier par un numéro d’identification unique. Deloitte n’avait donc que des commentaires et numéros d’identification mais n’était pas en mesure de déceler l’identité en tant que telle des créanciers. Jeanne, Paul et Georges devenaient AB837, Z9N2A et X8YBA.

La Cour de justice a donc déclaré ce qui devrait être une évidence : pour Deloitte, ces informations ne paraissent pas être des données personnelles, à condition que (i) la méthode de pseudonymisation soit efficace (pas de « Georges » apparaissant par hasard au sein de la donnée reçue), (ii) Deloitte ne soit pas raisonnablement en mesure d’obtenir du CRU ou d’un tiers la réidentification, par exemple par le biais d’un tableau de concordance entre numéro d’identifiant et identité réelle et enfin (iii) Deloitte ne fournisse pas ces données à un tiers qui lui-même soit capable d’effectuer une telle réidentification. Un arrêt pragmatique donc. Qui l’eût CRU ?

Les grands perdants dans cette affaire étaient le Contrôleur européen de la protection des données (l’autorité de protection des données en charge du respect du droit de la protection des données par les institutions européennes) et le Comité européen de la protection des données (rassemblant les diverses autorités nationales, dont la CNIL pour la France). Ensemble, les autorités de protection des données de toute l’Union européenne avaient défendu devant la Cour de justice le point de vue opposé : selon elles, une information qui est une donnée personnelle du point de vue d’une entité doit être perçue comme tel par tout tiers. Une interprétation absolutiste et tout sauf pragmatique, rejetée explicitement par la Cour de justice.

Deux mois plus tard, c’était au tour de la Commission européenne de montrer que le RGPD n’est pas intouchable : dans sa proposition dite « omnibus numérique », dévoilée le 17 novembre 2025, se retrouve notamment une proposition de modification de la définition de « donnée à caractère personnel ». Les leçons essentielles de l’arrêt CRU se retrouveraient ainsi intégrées à la définition elle-même, avec certaines nuances. Par exemple, la condition iii susmentionnée n’y figurerait pas. Certains sont montés aux remparts, accusant la Commission de détourner la jurisprudence de la Cour de justice ; d’autres (comme votre serviteur) y voient plutôt un choix de la Commission de rendre la jurisprudence plus accessible en intégrant l’essence de ses leçons dans la loi et en évitant de la polluer de la condition iii, qui provient par ailleurs de l’arrêt dit « Scania » du 9 novembre 2023 et qui est très difficile à mettre en œuvre correctement. A nouveau, une touche de bon sens, de pragmatisme.

Les autres propositions de modification au RGPD sont pour la plupart tout aussi pragmatiques. Une demande d’accès reposant sur des motifs sans lien avec la protection des données (par exemple pour aller à la pêche aux preuves ou pour causer des ennuis à un ex-employeur) ? Il est explicitement permis d’invoquer l’abus de droit, déjà un principe général de droit européen. Le motif pour cette précision pouvant paraître évidente est que certaines juridictions et autorités ont mis à l’écart des contrarguments fondés sur l’abus de droit. L’entraînement de modèles IA en invoquant l’intérêt légitime comme fondement juridique ? Le Comité européen de protection des données avait déjà signalé que cela serait théoriquement possible. La mise en place d’une liste pan-européenne pour les situations dans lesquelles une « analyse d’impact relative à la protection des données » (ou « DPIA » suivant l’anglais) est requise ? Il était temps, pour éviter de devoir tenir compte des centaines (réellement !) de scénarios distincts auxquels il faut faire face lorsqu’une organisation souhaite entamer un traitement recouvrant plusieurs juridictions européennes.

Voilà cependant que les autorités de protection des données, sous la houlette du Comité européen de la protection des données et du Contrôleur européen de la protection des données, s’attaquent à certaines des propositions. La modification au concept de donnée personnelle ? Imbuvable selon eux. Ils prétendent que cette modification permettrait à des entreprises de créer des structures fictives pour échapper au RGPD, alors même que les illustrations qu’ils fournissent sont des exemples de situations qui permettent de réduire le risque en matière de vie privée. Il est pourtant légitime que le législateur cherche à résoudre des problèmes issus d’interprétations extensives. Le non-dit derrière cette prise de position des autorités ? Lorsqu’une information cesse d’être perçue comme une donnée personnelle, elle échappe à leur contrôle. Il faut donc bien se garder de percevoir leur position comme neutre.

Le texte de la Commission n’est qu’une proposition, bien entendu. Le Parlement européen aura son mot à dire, le Conseil de l’Union européenne également. Il se peut qu’aucune suggestion ne survive au processus législatif. La proposition a néanmoins le mérite d’exister et de montrer que le droit de la protection des données peut être pragmatique. Si CRU et l’Omnibus numérique ne signalent pas la fin des décisions prises d’une tour d’ivoire, leur message est clair : le RGPD peut revivre en reflétant un meilleur équilibre et le monde des entreprises n’est plus le seul à y croire.

Peter Craddock
Avocat