Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67
Contact

Pseudonymisation et RGPD : la CJUE tranche sur le statut des données

par | Sep 16, 2025 | RGPD

Illustration professionnelle sur la CJUE confirmant que les données pseudonymisées restent des données personnelles selon le RGPD

MDP Data Protection analyse l’arrêt de la CJUE pour comprendre ses impacts et renforcer votre conformité RGPD

 

Le 4 septembre 2025, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt très attendu dans l’affaire C-413/23 P (EDPS c. SRB). Cette décision apporte une clarification majeure : les données pseudonymisées restent bel et bien considérées comme des données personnelles, dès lors que l’organisme qui les détient dispose – directement ou indirectement – des moyens permettant de réidentifier la personne concernée.

Cette décision renforce le cadre d’interprétation du RGPD et confirme la vigilance de la Cour sur la protection des droits fondamentaux.

 

Qu’est-ce que la pseudonymisation ?

La pseudonymisation est une technique qui consiste à remplacer des identifiants directs (nom, numéro de sécurité sociale, adresse e-mail, etc.) par des informations de substitution (codes, numéros aléatoires, hachages). L’objectif est de réduire les risques d’identification directe en cas de fuite ou d’utilisation abusive.

Toutefois, contrairement à l’anonymisation, la pseudonymisation n’efface pas complètement le lien entre la donnée et l’individu. Avec un accès aux clés ou aux informations complémentaires, la réidentification reste possible.

Le RGPD (article 4 §5) définit déjà la pseudonymisation comme une mesure de sécurité, mais sans la considérer comme une technique qui exclurait les données de son champ d’application.

 

Ce que dit l’arrêt CJUE du 4 septembre 2025

Logo officiel de la Cour de justice de l’Union européenne, représentant une balance de la justice sur un livre ouvert avec une épée et la mention CVRIA

Logo officiel de la CJUE

Dans cette affaire, le Contrôleur européen de la protection des données (EDPS) contestait la position du Comité de résolution unique (SRB), qui avait estimé que les données pseudonymisées ne constituaient plus des données personnelles.

La CJUE a tranché :

  • Les données pseudonymisées restent des données à caractère personnel tant que l’organisme conserve les moyens de réidentification, même indirectement.
  • Le simple fait d’effacer des identifiants directs ne suffit pas à exclure l’application du RGPD.
  • La pseudonymisation doit être comprise comme une mesure de protection complémentaire, et non comme une garantie d’anonymat.

Cette clarification a un impact direct sur la manière dont les organisations gèrent leurs données et évaluent leur conformité.

 

Conséquences pratiques pour les organisations

  1. Pseudonymisation ≠ anonymisation
    Les entreprises, administrations et associations ne peuvent plus invoquer la pseudonymisation pour exclure certaines bases de données du RGPD.
  2. Obligations renforcées
    Les données pseudonymisées continuent de relever :
    • des principes de base (minimisation, limitation des finalités, sécurité),
    • des droits des personnes (accès, rectification, effacement, opposition),
    • des exigences de documentation (registre de traitement, PIA).
  3. Cybersécurité et gouvernance
    La décision incite à renforcer les politiques de sécurité des accès, de gestion des clés et d’authentification, afin d’éviter toute réidentification non autorisée.

 

Impact sur les secteurs sensibles

  • Médico-social et santé : les données pseudonymisées des patients (codes d’étude clinique, dossiers pseudonymisés) restent soumises au RGPD, avec des obligations de sécurité renforcées (ex. chiffrement, cloisonnement).
  • Secteur financier : les informations pseudonymisées des clients (profils, historiques de transactions) doivent être traitées comme des données personnelles.
  • Recherche et innovation : les projets utilisant de grandes bases pseudonymisées (big data, IA, statistiques) devront intégrer des garanties juridiques et techniques de conformité.

 

MDP Data Protection accompagne vos projets de conformité

Chez MDP Data Protection, nous aidons les structures à sécuriser et gouverner leurs données sensibles, qu’elles soient identifiables ou pseudonymisées.

Grâce à nos outils et solutions intelligentes, nous vous accompagnons pour :

    • cartographier vos traitements,
    • documenter vos mesures de pseudonymisation,
    • sécuriser vos accès et vos clés de réidentification,
    • assurer la conformité continue face aux évolutions réglementaires.

 

En résumé 

L’arrêt CJUE du 4 septembre 2025 confirme que les données pseudonymisées restent des données personnelles au sens du RGPD. Les organisations doivent donc continuer à appliquer l’ensemble des obligations de protection, de gouvernance et de transparence.

 

Pour aller plus loin

Solutions MDP Data Protection

🔒 Besoin d’un logiciel RGPD simple, complet et adapté à votre activité ? MDP Data Protection vous accompagne à chaque étape, de l’idée à la gouvernance.

Découvrez nos solutions intelligentes : audit, automatisation, agents IA, conformité multi-règlementaire (RGPD, NIS2, IA Act)… tout est pensé pour les PME françaises.

Contactez nos experts pour structurer vos pratiques, anticiper les évolutions réglementaires et bâtir une confiance durable. Prêt à transformer votre conformité RGPD en levier stratégique ?

Découvrir SimplyRGPD

À propos de l’auteur

Christophe SAINT-PIERRE – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.

Sommaire

Sommaire