Accueil > Adtechs & Martechs > Pseudonymisation : comment la décision de la CJUE dans l’affaire CRU/CEPD impacte l’industrie de l’adtech Pseudonymisation : comment la décision de la CJUE dans l’affaire CRU/CEPD impacte l’industrie de l’adtech La Cour de Justice de l’Union européenne a tranché début septembre : une donnée pseudonymisée n’est pas toujours considérée comme personnelle, du point de vue d’un tiers. Une évolution majeure de la jurisprudence, qui pourrait redéfinir le cadre d’application du RGPD et offrir davantage de souplesse aux acteurs de l’adtech. mind Media publie un décryptage de l’arrêt et de ses implications avec Benoît Oberlé (Sirdata), Marion Boige (Samman) et Nathalie Laneret (Criteo). Par Chiara De Martino. Publié le 11 septembre 2025 à 14h45 - Mis à jour le 11 septembre 2025 à 17h25 Ressources Jeudi 4 septembre, la Cour de Justice de l’Union européenne (CJUE) a rendu son arrêt dans l’affaire opposant le Conseil de résolution unique (CRU) au Contrôleur européen de la protection des données (CEPD) sur la notion de données personnelles. Dans sa décision, la Cour estime que les données pseudonymisées ne doivent pas être considérées comme constituant des données à caractère personnel du point de vue d’un tiers. Une décision aux conséquences majeures pour l’adtech, qui recourt largement à la pseudonymisation, notamment pour le transfert de données entre entreprises dans le cadre des pratiques de ciblage publicitaire. D’après la CJUE, il ressort en effet que la pseudonymisation peut, “selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable”, détaille l’arrêt. Un changement important par rapport à l’approche restrictive du CEPD (Comité européen de la protection des données ou EDBP) , vivement critiqué par les sociétés du secteur, ainsi que par les organisations professionnelles, dont Alliance Digitale. La pseudonymisation, c’est quoi ? Dans le secteur de l’adtech, la qualification d’une donnée en tant que personnelle, ou non, est essentielle, explique Benoît Oberlé, CEO et fondateur de Sirdata, entreprise spécialisée dans la gestion des données et la publicité. “Quand on traite une donnée à des fins publicitaires, si cette donnée est qualifiée de personnelle, le RGPD s’applique immédiatement”. Au contraire, lorsqu’une donnée est estimée être anonyme, il n’y a “pas besoin de base légale, ni de protection particulière”, détaille-t-il. Dans ce cadre, une donnée est dite pseudonymisée lorsqu’elle ne constitue plus une donnée à caractère personnel du point de vue d’un tiers. Une technique de hachage est alors utilisée afin de transférer des données dont les identifiants personnels (comme le nom, prénom, adresse, etc.) ont été remplacés par des pseudonymes. L’algorithme de hachage appliqué ne fonctionne que dans un sens, ne permettant pas aux tiers ayant accès à la donnée, de retrouver les identifiants d’origine. Data privacy framework : vers une invalidation ? – mind Media La pseudonymisation “est la réponse technique qui permet de réduire la tension entre le développement de nouvelles technologies dans le monde de l’adtech et le respect de la vie privée”, précise Nathalie Laneret, VP government affairs and public policy chez Criteo. En effet, il s’agit d’une technique très répandue dans l’écosystème adtech, notamment pour la transmission et l’analyse de données entre entreprises à des fins de ciblage publicitaire. Elle est également utilisée par des plateformes comme Google Analytics lors du transfert des données entre l’Union Européenne et les États-Unis. Une ouverture importante de la CJUE Pour Marion Boige, avocate spécialisée en tech, data et IA au sein du cabinet Samman, la décision de la CJUE constitue “une évolution majeure de la jurisprudence”, puisque l’arrêt rendu tranche le débat sur la définition de la donnée personnelle dans le cadre de la pseudonymisation, en adoptant l’approche subjectiviste. Historiquement, deux approches existent en effet pour l’interprétation d’une donnée pseudonymisée. Selon la première, dite absolue, une donnée pseudonymisée reste toujours une donnée personnelle. Au contraire, l’approche relative, ou subjectiviste, estime que les données pseudonymisées ne doivent pas être considérées comme constituant des données à caractère personnel du point de vue d’un tiers. Jusqu’alors, “la Cour de Justice avait employé une approche très large de la notion de données personnelles”, poursuit l’avocate. Ainsi, “à partir du moment où une entité avait des moyens légaux d’identification, la donnée était considérée comme personnelle”. L’historique de l’affaire L’affaire CEPD/CRU oppose le Contrôleur européen de la protection des données (CEPD, ou EDPS en anglais) au Conseil de résolution unique (CRU, ou SRB en anglais). En 2017, le CRU met en place un plan de résolution bancaire, permettant aux actionnaires et créanciers concernés d’exprimer leurs opinions sous forme électronique. Le SRB confie ensuite à Deloitte, en qualité de sous-traitant, l’analyse de ces avis, transmis sous forme de données pseudonymisées. Saisi de cinq plaintes, le CEPD — autorité de contrôle de l’Union européenne chargée de veiller au respect du RGPD par les institutions et organes européens — conclut à une violation par le CRU de ses obligations d’information envers les personnes concernées. L’affaire est ensuite portée devant le Tribunal de l’Union européenne (TUE) par le Conseil de résolution unique. En avril 2023, le TUE annule la décision du CEPD, estimant que les données confiées à Deloitte étaient bien pseudonymisées. En juillet 2023, le CEPD a présenté appel auprès de la CJUE afin de contester la décision du Tribunal de l’Union européenne. Le fait que la CJUE ait retenu l’approche subjectiviste est, selon elle, une “excellente nouvelle” pour les acteurs de l’adtech utilisant des technologies publicitaires liées à la pseudonymisation. Plus largement, “la règle de droit qui a été affirmée est un véritable changement dans la mentalité sur la définition de la donnée personnelle par rapport à la pseudonymisation”, explique Marion Boige. Dans ce contexte, le CEPD, qui avait introduit en janvier son projet de lignes directrices sur la pseudomysation en adoptant une approche absolue, devrait les réviser à la lumière de la décision de la CJUE. L’impact pourrait être significatif, puisque les autorités européennes de protection de données personnelles devront elles aussi s’adapter à ce changement. Une analyse au cas par cas Toutefois, pour rassurer les entreprises sur le cadre technique, il serait avant tout nécessaire de définir des standards permettant de clarifier ce que la CJUE entend par des moyens “raisonnablement susceptibles d’être utilisés” pour identifier la personne physique directement ou indirectement dans le cadre des données à caractère personnel faisant l’objet d’une pseudonymisation. Cela afin qu’“on puisse avoir une sécurité juridique qui permet aux entreprises et aux institutions publiques de pouvoir clairement savoir lorsque les données qu’ils traitent tombent sous le RGPD ou non”, illustre Nathalie Laneret (Criteo). Pour l’instant, l’arrêt de la CJUE renvoie à une analyse au cas par cas, qui demande de vérifier dans chaque situation quelles mesures de pseudonymisation ont été mises en œuvre afin d’empêcher la réidentification. De même, “la Cour n’a pas confirmé de manière évidente que le procédé technique utilisé dans l’affaire jugée était le bon, ce qui ne permet pas à ce stade de l’ériger à cas général, mais ouvre déjà la voie à des appréciations au cas par cas”, met également en évidence Marine Gossa, directrice générale adjointe en charge des affaires publiques et juridiques d’Alliance Digitale. Pourquoi le secteur du marketing numérique craint l’intervention de la Cnil sur les pixels de tracking – mind Media Si l’adaptation juridique va prendre du temps, “l’arrêt de la CJUE envoie un signal très clair aux autorités de protection des données personnelles”, se réjouit Nathalie Laneret (Criteo). Par ailleurs, l’adoption de l’approche subjectiviste par la CJUE pourrait permettre une réduction des amendes dans les cas de traitement de données pseudonymisées, en raison du risque moindre de réidentification. Pour l’heure, les décisions de la Cnil ne sont pas allées dans cette direction, observe Nathalie Laneret (Criteo). Elle cite notamment l’amende de 40 millions d’euros qui a sanctionné Criteo en 2023 pour non-respect du RGPD. À l’époque, l’adtech avait demandé une réduction de la sanction pour avoir utilisé des données pseudonymisées. Un autre cas similaire est celui de la sanction infligée à la société Cedegim Santé, condamnée en septembre 2024 à une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation. Chiara De Martino AdtechDonnées personnellesPublicité programmatiqueRGPD Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind À lire “Pay or consent” : un modèle toujours en cours d’évaluation Droits voisins / Meta : l’avis de avocat général de la CJUE partiellement favorable aux éditeurs Confidentiels INFO MIND MEDIA - Le comparateur de prix Acheter moins cher fait condamner Google à 2,2 millions d’euros de dommages et intérêts Deux tribunaux américains accordent partiellement le “fair use” à Meta et Anthropic Entretiens David Nahum (DNAvocats) : “Pourquoi le comparateur Acheter Moins Cher réclame 266 millions d’euros à Google” essentiels Nos synthèses et chiffres sur les principales thématiques du marché Les mutations du search à l'ère de l'IA générative L'application inaboutie de la loi sur les droits voisins Google vs DOJ : tout ce qu'il faut savoir sur le procès qui pourrait redéfinir l'adtech L’essentiel sur les identifiants publicitaires La transformation du marché publicitaire en 2024 2023 : le marché publicitaire doit se préparer à la fin du tracking utilisateur Comment l’intelligence artificielle générative bouleverse les médias Les enjeux réglementaires des médias en 2023 analyses Les articles d'approfondissement réalisés par la rédaction Julien Rosanvallon (Médiamétrie) : “L’un des enjeux clés de la mesure d’audience hybride porte sur la qualité et la certification des données utilisées” TV linéaire : comment Addside veut unifier le mediaplanning Patrick Pérez (Kyutai) : “Synthèse vocale, traduction, transcription... plusieurs de nos projets IA sont applicables aux médias” François Loviton (Google France) : "Les annonceurs ont plus de chance d'apparaître en lien sponsorisé sur AI Overviews s'ils utilisent AI Max" Pierre Louette (Apig / Les Échos-Le Parisien) : “Nous devons rendre les textes législatifs plus contraignants pour les plateformes” Comment l'IA peut-elle contribuer à l'efficacité des stratégies de monétisation publicitaire des régies ? Comment l'adtech innove avec l'IA ? Protection et valorisation des contenus des médias : des discussions très laborieuses entre éditeurs et fournisseurs IA INFO MIND MEDIA - Les Échos veut faire un premier pas vers les contenus en anglais L’Apig et le SEPM fustigent le discours de Google concernant l’absence de l’AI Mode en France data Les baromètres, panoramas et chiffres sur l'évolution du marché Le classement des éditeurs français qui ont le plus d'abonnés purs numériques Les données récoltées par les acteurs de la publicité en ligne La liste des sociétés présentes dans les fichiers ads.txt des éditeurs français Les gains de budget des agences médias Opt-out : quels éditeurs français interdisent les robots crawlers de l'IA générative ? Le panorama des sociétés spécialisées dans les technologies de l’e-retail media La liste des outils utilisés par les équipes éditoriales, marketing et techniques des éditeurs français Le détail des aides à la presse, année par année La liste des CMP choisies par les principaux médias en France Digital Ad Trust : quels sites ont été labellisés, pour quelles vagues et sur quel périmètre ?
