1.

Par son pourvoi, le Contrôleur européen de la protection des données (CEPD) demande l’annulation de l’arrêt du Tribunal de l’Union européenne du 26 avril 2023, CRU/CEPD (T‑557/20, ci-après l’ arrêt attaqué , EU:T:2023:219), par lequel celui-ci a annulé la décision révisée du CEPD du 24 novembre 2020 (ci-après la « décision litigieuse »), concernant cinq réclamations soumises par des actionnaires et créanciers affectés par la résolution bancaire de Banco Popular Español SA (ci-après « Banco Popular ») se plaignant de n’avoir pas été informés du transfert de leurs données à caractère personnel.

2.

La présente affaire donne à la Cour l’occasion de préciser, dans le contexte de données pseudonymisées, la notion de « données à caractère personnel » et les obligations qui en découlent aux fins de se conformer aux obligations de traitement loyal et transparent des données.

3.

Les principales dispositions du règlement (UE) 2018/1725 ( 2 ) pertinentes dans le cadre du présent pourvoi sont les suivantes.

4.

Les considérants 16 et 17 de ce règlement sont libellés comme suit :

5.

L’article 3 dudit règlement, intitulé « Définitions », prévoit à ses points 1 et 6 :

« Aux fins du présent règlement, on entend par :

[...]

6.

L’article 4 du même règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose, à son paragraphe 1, sous a), et à son paragraphe 2 :

« 1.   Les données à caractère personnel doivent être :

[...]

2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

7.

L’article 15 du règlement 2018/1725, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », dispose à son paragraphe 1, sous d) :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

[...]

8.

Le 7 juin 2017, le Conseil de résolution unique (CRU) a adopté un dispositif de résolution à l’égard de Banco Popular sur le fondement du règlement (UE) no 806/2014 du Parlement européen et du Conseil, du 15 juillet 2014, établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) no 1093/2010 ( 3 ), approuvé le même jour par décision de la Commission européenne ( 4 ), ce qui signifie concrètement que les instruments de capital de la banque ont été dépréciés ou convertis et cédés par transfert des actions.

9.

Conformément à l’article 20, paragraphes 16 à 18, du règlement no 806/2014, le CRU a confié à Deloitte, en tant que « personne indépendante » ( 5 ), le soin d’effectuer une valorisation de la différence de traitement afin de déterminer si les actionnaires et les créanciers, ainsi affectés par la mesure de résolution, auraient bénéficié d’un meilleur traitement si cet établissement avait fait l’objet d’une procédure normale d’insolvabilité.

10.

Le 14 juin 2018, Deloitte a transmis cette valorisation de la différence de traitement (ci-après la « valorisation 3 ») au CRU. Par une décision préliminaire, le CRU a indiqué que, pour lui permettre d’adopter une décision finale sur la nécessité ou non d’accorder aux actionnaires et aux créanciers affectés par la résolution de Banco Popular un dédommagement au titre de l’article 76, paragraphe 1, sous e), du règlement no 806/2014, il lançait la procédure relative au droit d’être entendu, incluant une première phase d’inscription, pour vérifier l’éligibilité des parties manifestant leur intérêt, et une seconde phase de consultation, dans le cadre de laquelle les actionnaires et créanciers affectés ont soumis leurs commentaires sur la décision préliminaire du CRU, à laquelle était annexée la valorisation 3.

11.

Les données collectées lors de la phase d’inscription, à savoir les preuves de l’identité des participants et de la propriété d’instruments de capital de Banco Popular, dépréciés ou convertis et transférés, étaient accessibles à un nombre limité de membres du personnel du CRU chargés du traitement de ces données afin de déterminer l’éligibilité des participants. Ces données n’étaient pas visibles par les membres du personnel du CRU chargés du traitement des commentaires reçus lors de la phase de consultation, au cours de laquelle ceux-ci ont uniquement reçu des commentaires identifiés par référence à un code alphanumérique ( 6 ) attribué à chaque commentaire soumis au moyen du formulaire.

12.

Après l’agrégation, le filtrage automatique et la catégorisation des commentaires, le CRU a transmis à Deloitte ( 7 ) les commentaires relatifs à la valorisation 3 ainsi filtrés, catégorisés et agrégés. Les commentaires transférés à Deloitte concernaient uniquement ceux reçus lors de la phase de consultation et portaient un code alphanumérique, développé à des fins d’audit pour permettre au CRU de vérifier et éventuellement de démontrer a posteriori que chaque commentaire avait été traité et dûment pris en compte. Au moyen de ce code, le CRU était le seul à pouvoir relier les commentaires aux données reçues lors de la phase d’inscription. Deloitte n’avait pas et n’a toujours pas accès à la base de données collectées lors de la phase d’inscription.

13.

Des actionnaires et des créanciers affectés (ci-après les « réclamants ») ont transmis, au titre du règlement 2018/1725, cinq réclamations au CEPD au motif que la déclaration de confidentialité concernant le traitement des données à caractère personnel publiée par le CRU ne contenait pas de mention sur la transmission à Deloitte des données collectées au moyen du formulaire. Ils alléguaient une violation, par le CRU, de son obligation d’information relative au traitement des données à caractère personnel en vertu de ce règlement, prévue à l’article 15, paragraphe 1, sous d), dudit règlement.

14.

Le CEPD a adopté une décision initiale du 24 juin 2020, annulée à la suite d’une demande de réexamen du CRU et remplacée, le 24 novembre 2020, par la décision litigieuse, libellée dans les termes suivants :

15.

Par requête déposée au greffe du Tribunal le 1er septembre 2020 et par un mémoire en adaptation déposé le 29 janvier 2021, le CRU a introduit un recours tendant, d’une part, à l’annulation de la décision litigieuse et, d’autre part, à la déclaration d’illégalité de la décision initiale du CEPD du 24 juin 2020.

16.

Le CRU a soulevé, à l’appui du premier chef de conclusions ( 8 ), deux moyens. Le premier moyen était tiré de la violation de l’article 3, point 1, du règlement 2018/1725, en ce que les informations transmises à Deloitte ne constituaient pas des données à caractère personnel et, le second moyen, de la violation du droit à une bonne administration, consacré à l’article 41 de la charte des droits fondamentaux de l’Union européenne.

17.

Par l’arrêt attaqué, le Tribunal a déclaré recevable ce chef de conclusions. Quant au fond, il a accueilli le premier moyen du recours et a annulé la décision litigieuse, sans examiner le second moyen.

18.

Concernant le premier moyen, le Tribunal a considéré, premièrement, que le CEPD avait estimé que les informations transmises à Deloitte « se rapportaient » à une personne physique au sens de l’article 3, point 1, du règlement 2018/1725 en se fondant sur une présomption, sans examiner ni le contenu, ni la finalité, ni l’effet des informations transmises à Deloitte ( 9 ), en violation de l’arrêt Nowak ( 10 ).

19.

Deuxièmement, concernant la condition prévue à l’article 3, point 1, du règlement 2018/1725 selon laquelle l’information doit se rapporter à une personne physique « identifiée ou identifiable », le Tribunal a estimé que, en l’espèce, il appartenait au CEPD d’examiner si les commentaires transmis à Deloitte constituaient, à l’égard de celui-ci, des données à caractère personnel. Or, selon l’arrêt attaqué, le CEPD s’était contenté d’examiner la possibilité de réidentifier les auteurs des commentaires du point de vue du CRU et non de Deloitte. Partant, à défaut pour le CEPD d’avoir recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une « personne physique identifiable » au sens de l’article 3, point 1, du règlement 2018/1725 ( 11 ).

20.

Par acte déposé au greffe de la Cour le 5 juillet 2023, le CEPD a formé un pourvoi contre l’arrêt attaqué. Par ordonnance du président de la Cour du 29 novembre 2023 ( 12 ), le Comité européen de la protection des données a été admis à intervenir au soutien des conclusions du CEPD et, par décision du 20 octobre 2023, la Commission européenne a été admise à intervenir au soutien du CRU.

21.

Le CEPD conclut à ce qu’il plaise à la Cour :

22.

Le Comité européen de la protection des données, venant au soutien du CEPD, conclut à ce qu’il plaise à la Cour :

23.

Le CRU conclut à ce qu’il plaise à la Cour :

24.

La Commission européenne, venant au soutien du CRU, conclut à ce qu’il plaise à la Cour :

25.

À l’appui de son pourvoi, le CEPD, soutenu par le Comité européen de la protection des données, invoque deux moyens. Le premier vise à contester l’interprétation par le Tribunal de la notion de « données à caractère personnel » au sens de l’article 3, paragraphes 1 et 6, du règlement 2018/1725, tel qu’interprété par la jurisprudence de la Cour. Le second moyen est tiré de la violation du principe de responsabilité énoncé à l’article 4, paragraphe 2, et à l’article 26, paragraphe 1, de ce règlement.

26.

Le premier moyen est divisé en deux branches. La première branche concerne la condition selon laquelle les informations litigieuses doivent « se rapporter » à une personne physique et la seconde concerne la condition que cette personne soit « identifiée ou identifiable ».

27.

Le CEPD, soutenu par le Comité européen de la protection des données, fait valoir que le Tribunal a commis une erreur en ce qu’il a jugé que le CEPD s’était fondé sur une présomption concernant l’interprétation de la condition selon laquelle les informations transmises à Deloitte se rapportaient à une personne physique, au sens de l’article 3, point 1, du règlement 2018/1725. Selon lui, dans les circonstances de l’espèce, un examen plus approfondi de sa part n’était pas requis.

28.

Le CRU soutient, quant à lui, que, comme le Tribunal l’a jugé, le CEPD s’est limité à indiquer que les commentaires litigieux, produits par les réclamants lors de la phase de consultation de la procédure relative au droit d’être entendu, reflétaient leurs opinions ou points de vue alors qu’il aurait dû examiner si les informations transmises à Deloitte étaient liées à une personne particulière par leur contenu, leur finalité ou leur effet, comme exigé par l’arrêt Nowak.

29.

Il y a lieu de rappeler que la Cour a itérativement jugé que l’emploi de l’expression « toute information » dans la définition de la notion de « donnée à caractère personnel » reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations ( 13 ), tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition cependant que celles-ci « concernent » la personne en cause.

30.

À cet égard, une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est « liée » à une personne déterminée ( 14 ).

31.

S’agissant des avis ou appréciations, tels que les commentaires des réclamants en cause en l’espèce, il me semble pertinent de distinguer selon que l’on examine si lesdits avis ou appréciations « se rattachent » à une ou à des personnes visées par le texte de l’avis ou de l’appréciation, ou si, comme en l’espèce, il s’agit de déterminer s’ils se rattachent à leur auteur. Dans le premier cas, pour conclure à l’existence d’une information se rattachant à la personne qui fait l’objet de l’appréciation, il y a lieu d’analyser si le contenu, la finalité ou l’effet de l’appréciation concernent cette personne. Dans le second cas, en revanche, pour déterminer si l’appréciation se rattache à la personne qui l’a émise, il me semble que l’on pourrait présumer que tel est le cas et qu’un avis ou une appréciation se rattache nécessairement à son auteur.

32.

C’est ainsi que, dans l’arrêt Nowak, il s’agissait en substance d’apprécier les informations contenues dans une copie d’examen. Deux personnes étaient ainsi concernées : le candidat et l’examinateur. Il est vrai que la Cour a examiné le contenu, la finalité et l’effet des réponses du candidat pour en déduire qu’elles le concernaient. Cela étant, s’agissant plus particulièrement des annotations de l’examinateur, qui reflètent son avis ou son appréciation ( 15 ), si la Cour a examiné le contenu, la finalité et l’effet des informations contenues dans la copie pour conclure que ces appréciations se rapportaient au candidat, elle ne s’est pas livrée à un tel examen pour considérer qu’elles constituaient des informations concernant l’examinateur qui en était l’auteur ( 16 ). À mon sens, on ne saurait donc totalement exclure qu’une présomption (simple) puisse s’appliquer lorsqu’il s’agit d’évaluer si un avis ou une appréciation ou, comme en l’espèce, un commentaire, « se rapporte » à son auteur.

33.

J’en conclus que, sauf preuve contraire, les commentaires en cause en l’espèce, dès lors qu’ils émanaient des réclamants et montraient « leur logique et leur raisonnement », reflétant ainsi l’expression de leur « opinion subjective », « concernaient » nécessairement lesdits réclamants, indépendamment de la finalité ou de l’effet de leurs commentaires.

34.

En tout état de cause, même en l’absence d’une telle présomption en l’espèce, je suis d’avis que les commentaires en cause « se rattachent » aux réclamants du fait de leur contenu, de leur finalité et de leur effet.

35.

À cet égard, le CRU soutient que les arguments tirés de la finalité et du contexte des commentaires en cause sont inopérants faute d’avoir été examinés dans la décision litigieuse, irrecevables car comportant une allégation factuelle nouvelle et, en tout état de cause, erronés.

36.

Cette argumentation ne me convainc pas. En effet, tant l’examen effectué par le CEPD dans la décision litigieuse que l’appréciation du Tribunal s’inscrivent dans un contexte juridique qui a été pris en compte et qui mentionne clairement la finalité et l’effet des commentaires en cause, produits dans le cadre de la procédure relative au droit d’être entendu. Ces arguments tenant à la finalité et à l’effet des commentaires en cause sont donc opérants et recevables.

37.

En outre, sur le fond, il ressort du cadre juridique applicable que la finalité de la procédure relative au droit d’être entendu, dans le cadre de laquelle les commentaires en cause ont été produits, était de permettre aux actionnaires et créanciers affectés de contribuer à la procédure, notamment pour permettre au CRU de disposer de toutes les informations nécessaires pour prendre une décision finale sur la nécessité ou non d’accorder un dédommagement aux actionnaires et aux créanciers affectés par la résolution de Banco Popular, en application du principe selon lequel aucun créancier ne peut être plus mal traité qu’en cas de liquidation selon une procédure normale d’insolvabilité ( 17 ). De plus, ces commentaires, une fois pris en compte par le CRU, étaient susceptibles d’avoir un effet sur les intérêts et les droits des réclamants en matière de compensation financière.

38.

J’en conclus que les commentaires en cause se rattachent aux personnes concernées en l’espèce, y compris en raison de leur finalité et de leur effet.

39.

J’ajouterais que, certes, les commentaires en cause, tels que transférés à Deloitte, ont été « filtrés, catégorisés et agrégés », de sorte que, ainsi que cela ressort des faits établis par le Tribunal ( 18 ), les commentaires individuels ne pouvaient pas être distingués au sein d’un même thème ; cependant, il peut être admis que, même agrégés, ces commentaires collectifs reflètent, dans leur contenu, des points de vue personnels concernant la valorisation 3. En effet, ils constituent une somme d’opinions qui, comme telles, constituent des informations qui se rapportent aux personnes les ayant exprimées. Leur filtrage, leur catégorisation et leur agrégation ne modifient pas ce constat, sans quoi il suffirait, pour échapper à la condition d’information « se rapportant » à une personne physique, d’agréger plusieurs points de vue. Le fait de ne pas pouvoir, au sein de cette somme de commentaires, distinguer les différentes opinions individuelles me semble relever davantage de la seconde condition cumulative, relative à l’identifiabilité des personnes concernées, examinée dans le cadre de la seconde branche du présent moyen, que de celle impliquant que le commentaire soit « lié » à une personne physique.

40.

Dans ces circonstances, je suis d’avis que l’appréciation du Tribunal peut être considérée comme entachée d’une erreur de droit à cet égard, en ce qu’il a considéré que le CEPD n’avait pas satisfait à l’examen exigé par l’arrêt Nowak pour conclure que les commentaires en cause « se rapportaient » à des personnes physiques, au sens de l’article 3, point 1, du règlement 2018/1725.

41.

Si la Cour décidait de rejeter cette première branche et jugeait que les commentaires pseudonymisés en cause ne se rapportent pas à leurs auteurs, l’examen de la seconde branche du moyen s’avérerait superflu, dans la mesure où, aux termes de l’article 3, point 1, du règlement 2018/1725, il s’agit d’une condition nécessaire à l’existence d’une donnée à caractère personnel, cumulative avec celle de l’identifiabilité des personnes concernées, examinée ci-après.

42.

Le CEPD et le Comité européen de la protection des données soutiennent, en substance, que le Tribunal a commis deux erreurs, la première concernant la notion de « pseudonymisation » et la seconde concernant l’interprétation de l’arrêt Breyer ( 19 ), ce que le CRU et la Commission contestent.

43.

Ce grief illustre l’existence de deux approches très différentes de la portée du champ d’application des règles de la protection des données. Faut-il y inclure automatiquement les données pseudonymisées au seul motif que les personnes concernées restent identifiables, quelle que soit l’accessibilité aux données supplémentaires d’identification, ou faut-il considérer que, à la suite du processus de pseudonymisation, les données ne revêtent un caractère personnel que pour les personnes qui peuvent raisonnablement identifier les personnes concernées ?

44.

Le CEPD et le Comité européen de la protection des données soutiennent en substance que les données pseudonymisées restent des données à caractère personnel au seul motif que les personnes concernées restent identifiables puisque les informations permettant de les identifier continuent d’exister. L’approche du Tribunal serait erronée en ce qu’elle permettrait de considérer les données pseudonymisées comme des données anonymisées à l’égard du destinataire, ce qui présenterait un risque pour la protection des personnes concernées et apporterait une confusion entre la pseudonymisation et l’anonymisation. Une telle approche, contraire au texte et à l’objectif du règlement 2018/1725, permettrait au responsable du traitement de soustraire indûment les données à caractère personnel du champ d’application du droit de l’Union en matière de protection de telles données.

45.

Le CRU et la Commission soutiennent, quant à eux, que les données pseudonymisées restent des données à caractère personnel pour le responsable du traitement qui les a pseudonymisées mais que, pour les destinataires, il y a lieu d’examiner le caractère identifiable des personnes concernées. En outre, même si l’article 3, point 1, du règlement 2018/1725 ne précise pas qui doit être en mesure d’identifier la personne concernée, à la lumière du considérant 16 et dans le contexte de l’article 15, paragraphe 1, sous d), de ce règlement, en cause ici, ce serait le point de vue du destinataire qui importerait. Selon eux, si ce destinataire ne reçoit pas des données à caractère personnel, les personnes concernées n’ont pas d’intérêt à être informées du transfert de données car leurs droits ne sont pas affectés.

46.

D’emblée, il n’est pas inutile de rappeler que la pseudonymisation est un traitement appliqué aux données à caractère personnel pour, conformément au considérant 17 du règlement 2018/1725, « réduire les risques » de mise en corrélation d’un ensemble de données avec l’identité d’une personne concernée et « aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données ».

47.

L’article 3, point 6, du règlement 2018/1725 définit ainsi la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, [qui sont] conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable » ( 20 ).

48.

La pseudonymisation n’est donc pas un élément de la définition des données à caractère personnel, définies quant à elles par l’article 3, point 1, du règlement 2018/1725 au regard de la notion d’« identifiabilité » de la personne concernée. D’ailleurs, comme la Commission l’a indiqué dans son mémoire en intervention, ce règlement définit la notion de « pseudonymisation », faisant ainsi référence au processus de mise en place d’une mesure de sauvegarde ou d’une mesure technique et organisationnelle, mais non la notion de « données pseudonymisées ».

49.

Cette interprétation est confirmée par la lecture combinée de l’article 3, point 6, et du considérant 16, dudit règlement, dont la première phrase rappelle qu’« [i]l y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable ».

50.

En outre, le considérant 16 du règlement 2018/1725 mérite d’être analysé plus en détail ( 21 ). En effet, il contient une deuxième phrase énonçant que « les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ». Viennent ensuite les troisième et quatrième phrases qui précisent le contenu de cette exigence d’identifiabilité.

51.

Je déduis de la lettre de ces dispositions que la pseudonymisation laisse ouverte la possibilité que les personnes concernées ne soient pas identifiables, sans quoi le libellé de ce considérant 16 n’aurait pas de raison d’être. J’ajoute que les dernières phrases dudit considérant concernant l’anonymisation confirment cette interprétation : elles excluent les données anonymisées (ou rendues anonymes) du champ d’application du règlement 2018/1725 ( 22 ), mais n’en excluent les données pseudonymisées que pour autant que les personnes concernées ne soient pas identifiables. En cas d’impossibilité d’identifier lesdites personnes, celles-ci sont donc juridiquement considérées comme suffisamment protégées par le processus de pseudonymisation, nonobstant le fait que les données supplémentaires d’identification n’aient pas été totalement effacées.

52.

Autrement dit, il n’est pas question de soustraire automatiquement les données pseudonymisées du champ d’application de ce règlement ( 23 ). Toutefois, au vu du considérant 16 de ce dernier, on ne saurait exclure que de telles données puissent, à certaines conditions, échapper à la notion de « données à caractère personnel ».

53.

Contrairement à ce que soutient le CEPD, une telle approche ne me semble pas contraire à l’objectif de garantir un niveau élevé de protection des données personnelles, notamment au vu des exigences d’identifiabilité posées par les dispositions applicables, d’une part, et au vu de leur interprétation par la jurisprudence, d’autre part.

54.

Premièrement, le considérant 16 du règlement 2018/1725 se réfère à l’identifiabilité par le responsable du traitement « ou par toute autre personne » : cette conception large, quoique non illimitée ( 24 ), s’inscrit dans une approche protectrice des données à caractère personnel.

55.

De même, ce considérant 16 prévoit qu’il y a lieu de tenir compte des moyens raisonnablement susceptibles d’être utilisés pour identifier, directement ou indirectement, une personne physique en prenant en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci, ce qui constitue une définition large et protectrice des données à caractère personnel.

56.

Deuxièmement, l’interprétation par la jurisprudence de cette notion d’« identifiabilité », axée sur le risque de réidentification des personnes concernées, permet également une application large de la notion de « données à caractère personnel ». Ainsi, la Cour a systématiquement qualifié de « données à caractère personnel » les données qui, bien que dissociées des données d’identification aux mains de quelqu’un d’autre, pouvaient, dans le contexte en cause, entraîner un risque que les personnes concernées soient réidentifiées ( 25 ).

57.

Ainsi, ce n’est que si le risque d’identification est inexistant ou insignifiant ( 26 ) qu’une donnée peut juridiquement échapper à la qualification de « donnée à caractère personnel ».

58.

Les arguments du CEPD et du Comité européen de la protection des données concernant les dangers découlant d’une interprétation trop stricte des données à caractère personnel ne me convainquent pas. En effet, le fait que les règles découlant du règlement 2018/1725 ne s’appliquent pas aux données se rapportant à des personnes non identifiables n’empêcherait pas d’engager, le cas échéant, la responsabilité juridique des entités qui seraient à l’origine de comportements répréhensibles, par exemple, en cas de divulgation des données entraînant un préjudice. En revanche, il me semble disproportionné d’imposer à une entité, qui ne pourrait raisonnablement pas identifier les personnes concernées, des obligations découlant du règlement 2018/1725 ( 27 ), obligations que cette entité ne pourrait, par hypothèse, pas respecter ou qui l’obligeraient précisément à tenter d’identifier les personnes concernées.

59.

Au vu de ces considérations, si l’on analyse le litige au regard des données telles que transférées à Deloitte, je suis d’avis que, contrairement à ce que soutient le CEPD, il convenait de déterminer si le traitement de pseudonymisation des données en cause était suffisamment robuste pour conclure que les réclamants, auteurs des informations transmises à Deloitte, n’étaient pas raisonnablement identifiables. Autrement dit, dans ce contexte, si Deloitte disposait de moyens raisonnables d’identifier lesdits réclamants, il pourrait être considéré comme traitant des données à caractère personnel.

60.

Le premier grief soulevé par le CEPD devrait donc, selon moi, être rejeté.

61.

Selon le CEPD, soutenu par le Comité européen de la protection des données, les données pseudonymisées en cause sont des données à caractère personnel pour le CRU et, partant, l’obligation d’information à l’égard des personnes concernées, concernant le destinataire, s’imposait au CRU. Il soutient, en substance, que le Tribunal a mal interprété l’arrêt Breyer qui concernait une situation factuelle différente.

62.

Selon le CRU, soutenu par la Commission, en revanche, la comparaison avec l’arrêt Breyer serait pertinente et conduirait à juger que l’obligation d’information ne s’applique que si les données transférées sont des données à caractère personnel du point de vue du destinataire, ici Deloitte, ce qui, comme le Tribunal l’aurait jugé à juste titre, n’aurait pas été démontré en l’espèce.

63.

Je suis d’avis que l’obligation d’information, prévue par l’article 15, paragraphe 1, sous d), du règlement 2018/1725, et le parallélisme avec l’arrêt Breyer conduisent, en l’espèce, à une solution différente de celle du Tribunal, ce que j’exposerai dans le cadre de l’analyse du présent grief.

64.

L’article 4, paragraphe 1, sous a), du règlement 2018/1725 pose l’exigence d’un traitement licite, loyal et transparent des données au regard de la personne concernée.

65.

En particulier, l’article 15, paragraphe 1, sous d), de ce règlement prévoit que, lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement informe les personnes concernées, « au moment où les données en question sont obtenues », des destinataires éventuels desdites données. Il apparaît ainsi que cette information doit être donnée par le responsable du traitement immédiatement, à savoir au moment de la collecte des données ( 28 ).

66.

L’importance du respect d’une telle obligation d’information est également confirmée par le considérant 35 du règlement 2018/1725, qui énonce que le principe du traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités, étant souligné que le responsable du traitement devrait fournir toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées ( 29 ).

67.

Une telle obligation d’information est d’autant plus importante que la validité du consentement donné par la personne concernée dépend, entre autres, du point de savoir si cette personne a, au préalable, obtenu les informations auxquelles elle avait droit au regard de toutes les circonstances entourant le traitement des données en question, en vertu des articles 14 et 15 du règlement 2018/1725, et qui lui permettent de donner un consentement en pleine connaissance de cause ( 30 ).

68.

J’ajoute que la seule exception à cette obligation d’information, prévue à l’article 15, paragraphe 4, du règlement 2018/1725, vise l’hypothèse dans laquelle la personne concernée dispose déjà des informations en cause.

69.

J’en déduis que, en l’espèce, cette obligation d’information s’inscrit dans le cadre de la relation juridique existant entre les personnes concernées, ici les réclamants, d’une part, et le CRU en tant que responsable du traitement, d’autre part, et non dans le cadre de la relation entre le CRU et le destinataire, à savoir Deloitte. L’obligation d’information a ainsi pour objet les données telles qu’elles sont détenues par le CRU avant le transfert à Deloitte. Or, il n’est pas contesté qu’il s’agit de données à caractère personnel, puisque le CRU détient les commentaires et la base d’identification des personnes qui les ont émis.

70.

Une telle approche du « point de vue pertinent » ( 31 ) me conduit ainsi à une solution différente de celle du Tribunal, même en effectuant la comparaison avec l’arrêt Breyer.

71.

Je rappelle que, dans le litige à l’origine de la question préjudicielle posée dans cet arrêt, M. Breyer souhaitait faire interdire au responsable du traitement (la République fédérale d’Allemagne) de conserver son adresse IP dynamique. Les informations supplémentaires permettant son identification à travers l’adresse IP attachée à son ordinateur étaient aux mains, non pas du responsable du traitement, mais du fournisseur d’accès à Internet. La question était donc de savoir si l’adresse IP dynamique détenue par le responsable du traitement pouvait être qualifiée de « donnée à caractère personnel » et, partant, dans le cadre de la relation juridique entre M. Breyer et ledit responsable du traitement, déclencher des obligations en matière de conservation à charge de ce dernier, alors même que les éléments d’identification de M. Breyer étaient aux mains d’une autre personne que le responsable du traitement. Il a été jugé, en substance, que le responsable du traitement, bien que ne détenant pas les informations supplémentaires d’identification, pouvait raisonnablement y accéder et l’adresse IP dynamique a donc été qualifiée de « donnée à caractère personnel ».

72.

En l’espèce, comme rappelé précédemment ( 32 ), l’obligation d’information s’inscrit dans le cadre de la relation entre les personnes concernées (les réclamants) et le responsable du traitement (le CRU) : c’est lorsque les données en cause sont collectées par le CRU et, pour ce qui concerne en particulier l’information quant au destinataire, au plus tard lorsque celui-ci est connu, que l’obligation d’information intervient. Or, lorsque ce moment se cristallise, les données en cause sont des données à caractère personnel entre les mains du CRU, qui détient les données supplémentaires d’identification. Eu égard à l’obligation d’information en cause et eu égard au moment où elle se cristallise, les données en cause constituaient donc des données à caractère personnel, indépendamment de leur identifiabilité par Deloitte, qui n’est concerné ni par la relation juridique entre les réclamants et le CRU, seule pertinente, ni par cette obligation d’information incombant au CRU.

73.

C’est en cela que le parallélisme avec l’arrêt Breyer me semble devoir être relativisé en l’espèce.

74.

Il s’ensuit que l’obligation d’information incombait au CRU en tant que responsable du traitement et du fait de sa relation avec les réclamants, auprès desquels il a collecté les données en cause, et ce indépendamment du caractère personnel ou non des données telles que transférées entre les mains de Deloitte.

75.

L’argument du CRU, réitéré lors de l’audience, selon lequel le point de vue du destinataire serait pertinent car il importe de vérifier s’il est « destinataire de données à caractère personnel » ou non doit, dans cette logique, être écarté.

76.

À cet égard, il est vrai que le texte de l’article 15, paragraphe 1, sous d), du règlement 2018/1725 qui évoque les « destinataires [...] des données à caractère personnel » peut prêter à confusion. Toutefois, l’effet utile de cette disposition impose que l’information soit transmise aux personnes concernées dès que possible et préalablement audit transfert de données ( 33 ). En l’espèce, même si le CRU n’avait pas, lors de la collecte initiale des commentaires, l’intention de solliciter l’avis de Deloitte pour savoir si ces commentaires modifiaient la valorisation 3, il ressort de la décision litigieuse devant le Tribunal que Deloitte a assisté le CRU dans le cadre de la procédure du droit d’être entendu ( 34 ). En outre, l’intention du CRU de communiquer les données pseudonymisées à Deloitte peut être considérée comme ayant existé au plus tard au moment où il a été décidé de traiter les commentaires en cause aux fins précisément de les pseudonymiser ( 35 ), sans quoi la pseudonymisation n’aurait aucune justification.

77.

Je suis ainsi d’avis que le fait de contrôler le respect de l’obligation d’information au moment où les données ont été transférées par le CRU à Deloitte, en se plaçant de son point de vue de destinataire pour qualifier les données en cause comme étant personnelles ou non, aboutit à décaler dans le temps ledit contrôle. Ce contrôle serait, par conséquent, erronément reporté en ce qu’il serait effectué sur les données déjà transférées au destinataire, alors même que l’objet de l’obligation d’information concerne la relation entre le CRU et les réclamants et vise à permettre le consentement éclairé de ces derniers avant le transfert.

78.

Au surplus, s’agissant du consentement des réclamants, leur participation à la procédure du droit d’être entendu peut certes être interprétée comme un consentement implicite à partager des données à caractère personnel avec le responsable du traitement en vue de voir leurs commentaires pris en compte. Cela ne saurait cependant suffire, à mon sens, pour constituer un consentement éclairé en vue de la pseudonymisation des données et de leur transfert à Deloitte sans une information préalable à cet égard de la part du CRU ( 36 ).

79.

Il en résulte que, selon moi, l’obligation d’information incombant au CRU s’appliquait en l’espèce en amont du transfert des données en cause et indépendamment de leur caractère personnel ou non entre les mains de Deloitte.

80.

Dès lors, le fait que la pseudonymisation soit ou non suffisamment robuste et efficace, de sorte à pouvoir considérer que les données aux mains de Deloitte constituent ou non des données à caractère personnel, ne me semble finalement pas opérant au regard de l’obligation d’information incombant au CRU.

81.

Par voie de conséquence, l’obligation d’information incombant au CRU en tant que responsable du traitement devait être respectée en l’espèce et l’arrêt attaqué doit, pour cette raison, être annulé pour erreur de droit.

82.

Dès lors que le point de vue du destinataire des données en cause n’est pas pertinent au regard de l’obligation d’information prévue par l’article 15, paragraphe 1, sous d), du règlement 2018/1725, les arguments des parties concernant la possibilité pour Deloitte d’identifier, par des moyens légaux et réalisables en pratique, les personnes concernées s’avèrent inopérants et il n’y a donc pas lieu de les examiner.

83.

Si la Cour n’était pas de cet avis, je relève à titre subsidiaire que le CEPD conteste, à cet égard, le constat du Tribunal selon lequel Deloitte n’aurait pas accès aux données d’identification. Il se fonde en particulier sur la relation contractuelle de sous-traitance qui existerait entre le CRU et Deloitte. Le CRU et la Commission font valoir que, ce faisant, le CEPD soulève de nouvelles allégations factuelles qui sont irrecevables au stade du pourvoi. Je suis de cet avis. En effet, l’existence d’une relation contractuelle entre le CRU et Deloitte, qui démontrerait la possibilité pour Deloitte de demander au CRU l’identification des réclamants, constitue une argumentation nouvelle, sur laquelle le Tribunal ne s’est d’ailleurs aucunement prononcé. Il s’ensuit que cette argumentation devrait, le cas échéant, être rejetée comme étant irrecevable en application de l’article 170, paragraphe 1, seconde phrase, du règlement de procédure de la Cour, selon lequel le pourvoi ne peut modifier l’objet du litige devant le Tribunal ( 37 ).

84.

Par son second moyen, tiré de la violation du principe de responsabilité énoncé à l’article 4, paragraphe 2, et à l’article 26, paragraphe 1, du règlement 2018/1725, le CEPD, soutenu par le Comité européen de la protection des données, soutient que le Tribunal a erronément jugé qu’il lui incombait de démontrer que les informations transmises à Deloitte constituaient des données à caractère personnel, en violation du principe de responsabilité du CRU.

85.

Au vu de ce qui précède et en particulier des points 81 et 82 ci-dessus, j’estime qu’il n’y a pas lieu d’examiner ce second moyen.

86.

Je ne l’évoquerai donc que brièvement, à titre subsidiaire.

87.

Sur la recevabilité, contestée par le CRU, de ce moyen non soulevé devant le Tribunal, je rappelle qu’un requérant est recevable à former un pourvoi en faisant valoir des moyens nés de l’arrêt attaqué lui-même et qui visent à en critiquer, en droit, le bien-fondé ( 38 ). Tel me semble être le cas du présent moyen, qui est donc recevable.

88.

Quant au fond, il y a lieu de rappeler que le Tribunal a jugé que, à défaut pour le CEPD d’avoir recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des réclamants, le CEPD ne pouvait pas conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une « personne physique identifiable » au sens de l’article 3, point 1, du règlement 2018/1725.

89.

Le CEPD, soutenu par le Comité européen de la protection des données, soutient, en substance, que le Tribunal aurait dû vérifier si le CRU, responsable du traitement, avait prouvé qu’il avait anonymisé les données litigieuses à l’égard de Deloitte.

90.

Le CRU conteste cette argumentation en faisant valoir que le principe de responsabilité ne s’applique qu’en présence de données à caractère personnel et que, en l’espèce, les données entre les mains de Deloitte avaient été anonymisées.

91.

La Commission, pour sa part, soutient que, dans un premier temps, le CEPD supporte une charge de la preuve raisonnable pour prouver, sur le fondement des éléments de preuve disponibles, l’existence de données à caractère personnel. Dans un second temps, il incomberait au responsable du traitement concerné de réfuter cette conclusion en présentant des éléments supplémentaires.

92.

Je rappelle que, en vertu de l’article 4, paragraphe 1, sous a), du règlement 2018/1725, les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. L’article 4, paragraphe 2, de ce règlement prévoit que « le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté ». Il découle ainsi du principe de responsabilité, énoncé à l’article 4, paragraphe 2, et précisé à l’article 26, paragraphe 1, dudit règlement, que le responsable du traitement doit être en mesure de démontrer qu’il respecte les principes relatifs au traitement des données à caractère personnel énoncés au paragraphe 1 de l’article 4 ( 39 ).

93.

Dès lors que le responsable du traitement apporterait des éléments de preuve suffisants en ce sens, il pourrait être considéré comme ayant satisfait à la charge de la preuve lui incombant ( 40 ).

94.

En l’espèce, il me semble que le CRU a invoqué plusieurs éléments de fait (notamment les processus de filtrage, de catégorisation, d’agrégation des commentaires, décrits dans la décision litigieuse et l’arrêt attaqué) pour prouver, conformément au principe de responsabilité qui lui incombait, que l’identification par Deloitte des personnes concernées était impossible.

95.

Devant le Tribunal, le CEPD a opposé à cet égard une position de principe consistant à se placer du point de vue du CRU et non de Deloitte et, ainsi, à qualifier de « données à caractère personnel » les commentaires transférés à Deloitte.

96.

Si l’on admet, pour les besoins de l’examen subsidiaire du présent moyen, que le point de vue de Deloitte était pertinent en l’espèce ( 41 ), il pourrait être considéré que, comme le Tribunal l’a jugé, il incombait au CEPD de démontrer ( 42 ) pour quelle raison, juridique ou technique, le processus de pseudonymisation mis en œuvre par le CRU en l’espèce n’était pas suffisant et devait conduire à considérer que Deloitte traitait des données à caractère personnel.

97.

Je serais donc d’avis que, le cas échéant, il y aurait lieu de confirmer l’arrêt attaqué concernant ce second moyen.

98.

En vertu de l’article 61, premier alinéa, du statut de la Cour de justice de l’Union européenne, lorsque le pourvoi est fondé, la Cour annule la décision du Tribunal. Elle peut alors soit statuer elle-même définitivement sur le litige lorsque celui-ci est en état d’être jugé, soit renvoyer l’affaire devant le Tribunal pour qu’il statue.

99.

Le premier moyen soulevé par le CRU contre la décision litigieuse devant le Tribunal est tiré de la violation de l’article 3, point 1, du règlement 2018/1725. Il découle des points 63 à 82 des présentes conclusions que, le CRU ayant manqué à l’obligation d’information lui incombant en vertu de l’article 15, paragraphe 1, sous d), du règlement 2018/1725, la décision litigieuse devrait dès lors, selon moi, être confirmée.

100.

En revanche, le second moyen, tiré de la violation par le CEPD du droit à la bonne administration dans le cadre de la procédure ayant conduit à l’adoption de la décision litigieuse, ne me semble pas en état d’être jugé.

101.

En effet, le CRU soutient en particulier que, dans le cadre de la procédure administrative précédant l’adoption de la décision litigieuse, le CEPD a violé son droit d’accès au dossier, son droit d’être entendu, ainsi que le principe d’égalité des armes, en lui refusant l’accès au dossier, d’une part, et en ne lui communiquant pas les observations des réclamants ou leur contenu, d’autre part.

102.

Or, le Tribunal a estimé que, le premier moyen du recours ayant été accueilli, il n’y avait pas lieu d’examiner le second moyen soulevé devant lui. Par conséquent, ce moyen, qui implique notamment des appréciations factuelles, n’est pas en état d’être jugé. L’affaire me semble donc devoir être renvoyée au Tribunal pour qu’il statue à cet égard, les dépens étant réservés.

103.

Au vu des considérations qui précèdent, je propose à la Cour de statuer comme suit :