Les faits
Le 7 juin 2017, conformément au règlement MRU, le Conseil de résolution unique (CRU) a déclenché la procédure de résolution de la banque espagnole Banco Popular. Cette décision, approuvée par la Commission européenne, a entraîné la dépréciation et la conversion des instruments de capital de la banque, ainsi que leur transfert à Banco Santander.
L'évaluation du préjudice
Le CRU a chargé le cabinet Deloitte de réaliser une étude (« valorisation 3 ») pour déterminer la valorisation de la différence de traitement conformément au règlement MRU, à savoir si les actionnaires et créanciers auraient été mieux traités dans le cadre d'une procédure d'insolvabilité classique. Les conclusions de cette étude devaient décider de l'octroi ou non d'un dédommagement à ces derniers.
La mise en œuvre du droit d'être entendu
Pour respecter les droits fondamentaux des actionnaires et créanciers concernés conformément à la Charte de l'UE, le CRU a lancé une procédure permettant aux parties affectées de se déterminer avant sa décision finale. Cette procédure s'est déroulée en deux phases :
Phase d'inscription : Les actionnaires et créanciers devaient justifier de leur identité et fournir une preuve de la propriété d'instruments de capital à la date du 6 juin 2017, via un formulaire en ligne. Le CRU a pu ainsi vérifier si chaque personne ayant manifesté son intérêt avait effectivement le statut d'actionnaire ou de créancier affecté.
Phase de consultation : Les personnes dont le statut d'actionnaire ou créancier affecté a été vérifié par le CRU pouvaient soumettre leurs commentaires écrits, via un formulaire en ligne de sept questions, sur la décision préliminaire du CRU, à laquelle était annexée la version non confidentielle de la « valorisation 3 ».
La pseudonymisation
Un dispositif technique strict a été mis en place pour le traitement des réponses reçues lors de la consultation :
Dissociation des données : Les données collectées lors de la phase d'inscription, à savoir les preuves de l'identité des actionnaires et créanciers, étaient accessibles à un nombre limité de membres du personnel du CRU, chargés de déterminer l'éligibilité à un dédommagement. En revanche, le personnel du CRU analysant les commentaires n'avait accès ni aux données identifiantes fournies lors de la phase d'inscription, ni à la clé d'identification, ni à d'autres informations permettant de retrouver l'identité d'un actionnaire ou créancier affecté.
Le code alphanumérique : Chaque commentaire s'est vu attribuer automatiquement un code unique à 33 chiffres, généré aléatoirement au moment de sa réception. Ce code permettait au CRU de conserver une trace d'audit sans exposer l'identité des auteurs aux analystes.
Filtrage et transfert à Deloitte : Sur les milliers de commentaires reçus, le CRU a identifié les plus pertinents. Ceux concernant la valorisation financière ont été transmis à Deloitte pour analyse, mais seulement après avoir été filtrés, catégorisés et agrégés, de sorte que le personnel de Deloitte n'avait pas la possibilité de savoir si un commentaire avait été formulé par un ou plusieurs participants.
Plainte des personnes concernées
Le CRU possédant seul la « clé » permettant de relier les codes alphanumériques aux identités des actionnaires et créanciers concernés, Deloitte n'avait accès ni à la base de données d'inscription, ni aux informations d'identification. Pour le cabinet d'audit, il était techniquement impossible de ré-identifier les auteurs des commentaires.
Des actionnaires et créanciers affectés ayant répondu au formulaire ont toutefois déposé plainte auprès du Contrôleur européen de la protection des données (CEPD), estimant que leurs données personnelles avaient été transmises à un tiers (Deloitte et Banco Santander), sans information préalable au sens du règlement (UE) 2018/1725 (l'équivalent du RGPD pour les institutions de l'UE) et en violation des termes de la déclaration de confidentialité.
Décisions du CEPD et du Tribunal de l'UE (première instance)
Le CEPD a conclu que les informations transmises à Deloitte étaient des données pseudonymisées et donc des données à caractère personnel. Il a blâmé le CRU pour violation de l'obligation d'information, plus précisément pour le fait que Deloitte n'ait pas été mentionné dans sa déclaration de confidentialité en tant que destinataire potentiel des données à caractère personnel collectées au sens de l'art. 15 du règlement (UE) 2018/1725.
Le CRU a contesté cette décision devant le Tribunal. Ce dernier a annulé la décision du CEPD, estimant qu'il n'avait pas prouvé que les personnes concernées étaient identifiables pour Deloitte, qui ne disposait d'aucun moyen juridique ou technique raisonnablement susceptible d'être utilisé pour identifier les auteurs des commentaires.
Les questions juridiques portées devant la Cour (CJUE)
Le CEPD a introduit un pourvoi devant la Cour, soulevant deux points principaux :
- Une donnée pseudonymisée est-elle intrinsèquement une donnée à caractère personnel, peu importe qui la détient ?
- Comment évaluer si une personne est identifiable pour un destinataire tiers ?
La décision de la Cour
A. Le caractère relatif de la donnée personnelle
La Cour confirme la position du Tribunal : la notion de donnée à caractère personnel est relative. Pour déterminer si des données transmises à un tiers sont des données personnelles, il faut se placer du point de vue de ce tiers destinataire (en l'occurrence Deloitte).
B. Le critère des « moyens raisonnablement susceptibles d'être utilisés »
Se basant sur le considérant 16 du règlement 2018/1725, la Cour considère que :
Pour qu'une donnée soit qualifiée de « personnelle », la personne physique doit être identifiable. Pour déterminer si elle est identifiable, il convient de prendre en compte tous les moyens « raisonnablement susceptibles d'être utilisés » par le responsable du traitement ou par toute autre personne. Si le destinataire des données n'a pas accès aux informations supplémentaires permettant l'identification et qu'il n'existe pour lui aucun moyen juridique ou technique raisonnablement susceptible d'être utilisé pour les obtenir, alors les données sont considérées comme anonymes de son point de vue.
La Cour conclut que le simple fait que des données répondent à la définition de la « pseudonymisation » du point de vue de l'expéditeur ne signifie pas automatiquement qu'elles constituent des « données à caractère personnel » pour le destinataire. Ainsi :
- Pour le CRU, les données sont personnelles, car il détient la clé d'identification. Partant, la Cour confirme son manquement, en tant que responsable du traitement, à l'obligation d'informer de manière complète, loyale et transparente les personnes concernées lors de la collecte des données.
- Pour Deloitte, les données peuvent être anonymes, dans la mesure où l'identification serait impossible avec des moyens raisonnables.
Commentaire
Cet arrêt constitue un tournant pour la pratique du droit de la protection des données au sein de l'UE et en Suisse (par analogie).
Il renforce la sécurité juridique pour le responsable du traitement et le sous-traitant. Car, il valide le partage de données pseudonymisées avec des tiers (chercheurs, auditeurs, sous-traitants), une pratique largement répandue, en assimilant ces informations à des données anonymes pour le destinataire, à condition que ce dernier ne soit raisonnablement pas en mesure, techniquement et contractuellement, de ré-identifier les personnes concernées.
Ce faisant, la Cour adopte une approche contextuelle et rejette une définition « objective » ou « absolue » de la donnée personnelle. Une même information peut ainsi être une donnée personnelle pour une entité A et une donnée anonyme pour une entité B.
Cela a également un impact sur le travail des autorités de contrôle, qui ne peuvent plus se contenter de qualifier systématiquement une donnée pseudonymisée de donnée personnelle. Elles doivent désormais analyser concrètement si le destinataire a la capacité réelle de ré-identifier les personnes concernées.
Facts
On 7 June 2017, in accordance with the SRM Regulation, the Single Resolution Board (SRB) initiated resolution proceedings for the Spanish bank Banco Popular. This decision, approved by the European Commission, led to the write-down and conversion of the bank's capital instruments and their transfer to Banco Santander.
Assessment of prejudice
The SRB commissioned Deloitte to carry out a study ("valuation 3") to determine the valuation of the difference in treatment under the SRM Regulation — namely whether shareholders and creditors would have fared better under standard insolvency proceedings. The conclusions of this study were to determine whether compensation would be granted to those parties.
Implementation of the right to be heard
In order to respect the fundamental rights of the affected shareholders and creditors under the EU Charter, the SRB launched a procedure allowing affected parties to submit observations before its final decision. This procedure took place in two phases:
Registration phase: Shareholders and creditors were required to prove their identity and provide evidence of ownership of capital instruments as at 6 June 2017, via an online form. The SRB was thus able to verify whether each person who had expressed interest actually had the status of an affected shareholder or creditor.
Consultation phase: Persons whose status as an affected shareholder or creditor had been verified by the SRB could submit written comments, via a seven-question online form, on the SRB's preliminary decision, to which the non-confidential version of "valuation 3" was annexed.
Pseudonymisation
A strict technical arrangement was put in place for processing the responses received during the consultation:
Data separation: The data collected during the registration phase — i.e. proof of the identity of shareholders and creditors — was accessible to a limited number of SRB staff responsible for determining eligibility for compensation. The SRB staff analysing the comments, however, had no access to the identifying data provided during the registration phase, the identification key, or any other information that would allow the identity of an affected shareholder or creditor to be traced.
The alphanumeric code: Each comment was automatically assigned a unique 33-digit code, randomly generated at the time of receipt. This code allowed the SRB to maintain an audit trail without exposing the identity of authors to the analysts.
Filtering and transfer to Deloitte: From the thousands of comments received, the SRB identified the most relevant ones. Those concerning financial valuation were transmitted to Deloitte for analysis, but only after being filtered, categorised and aggregated, such that Deloitte staff had no way of knowing whether a comment had been made by one or more participants.
Complaint by data subjects
Since only the SRB held the "key" linking the alphanumeric codes to the identities of the affected shareholders and creditors, Deloitte had no access to the registration database or identifying information. It was technically impossible for the audit firm to re-identify the authors of the comments.
However, affected shareholders and creditors who had responded to the form lodged a complaint with the European Data Protection Supervisor (EDPS), arguing that their personal data had been transferred to a third party (Deloitte and Banco Santander) without prior information as required under Regulation (EU) 2018/1725 (the GDPR equivalent for EU institutions) and in breach of the privacy statement.
Decisions of the EDPS and the EU General Court (first instance)
The EDPS concluded that the information transmitted to Deloitte was pseudonymised data and therefore personal data. It criticised the SRB for breaching its information obligation — specifically for failing to mention Deloitte in its privacy statement as a potential recipient of the personal data collected, within the meaning of Art. 15 of Regulation (EU) 2018/1725.
The SRB challenged this decision before the General Court, which annulled the EDPS decision on the grounds that the EDPS had not proven that the data subjects were identifiable to Deloitte, which had no legal or technical means reasonably likely to be used to identify the authors of the comments.
Legal questions before the Court of Justice (CJEU)
The EDPS brought an appeal before the Court, raising two main points:
- Is pseudonymised data intrinsically personal data, regardless of who holds it?
- How should one assess whether a person is identifiable to a third-party recipient?
The Court's decision
A. The relative nature of personal data
The Court confirmed the position of the General Court: the concept of personal data is relative. To determine whether data transmitted to a third party constitutes personal data, it is necessary to adopt the perspective of that third-party recipient (in this case, Deloitte).
B. The criterion of "means reasonably likely to be used"
Relying on recital 16 of Regulation 2018/1725, the Court held that:
For data to qualify as "personal", the natural person must be identifiable. To determine whether they are identifiable, account must be taken of all means "reasonably likely to be used" by the controller or by any other person. If the recipient of the data has no access to the additional information enabling identification and has no legal or technical means reasonably likely to be used to obtain it, then the data are to be regarded as anonymous from that recipient's perspective.
The Court concluded that the mere fact that data meets the definition of "pseudonymisation" from the sender's perspective does not automatically mean that it constitutes "personal data" for the recipient. Accordingly:
- For the SRB, the data is personal, since it holds the identification key. The Court therefore confirmed the SRB's failure, as data controller, to inform data subjects fully, fairly and transparently at the point of data collection.
- For Deloitte, the data may be anonymous, to the extent that identification would be impossible by reasonable means.
Commentary
This ruling marks a turning point for data protection law practice within the EU and in Switzerland (by analogy).
It strengthens legal certainty for data controllers and processors. It validates the sharing of pseudonymised data with third parties (researchers, auditors, sub-processors) — a widespread practice — by treating this information as anonymous for the recipient, provided that the recipient is not reasonably able, technically and contractually, to re-identify the data subjects.
In doing so, the Court adopts a contextual approach and rejects an "objective" or "absolute" definition of personal data. The same piece of information may thus be personal data for entity A and anonymous data for entity B.
This also has an impact on the work of supervisory authorities, which can no longer simply classify pseudonymised data as personal data as a matter of course. They must now concretely analyse whether the recipient has the actual capacity to re-identify the data subjects.
Sachverhalt
Am 7. Juni 2017 leitete der Einheitliche Abwicklungsausschuss (SRB) gemäss der SRM-Verordnung das Abwicklungsverfahren für die spanische Bank Banco Popular ein. Diese von der Europäischen Kommission genehmigte Entscheidung führte zur Abschreibung und Umwandlung der Kapitalinstrumente der Bank sowie zu deren Übertragung auf Banco Santander.
Schadensbeurteilung
Der SRB beauftragte Deloitte mit der Durchführung einer Studie („Bewertung 3"), um die Bewertung der Ungleichbehandlung gemäss der SRM-Verordnung zu bestimmen — nämlich ob Aktionäre und Gläubiger im Rahmen eines regulären Insolvenzverfahrens besser gestellt worden wären. Die Schlussfolgerungen dieser Studie sollten darüber entscheiden, ob diesen Personen eine Entschädigung gewährt wird.
Umsetzung des Rechts auf Anhörung
Um die Grundrechte der betroffenen Aktionäre und Gläubiger gemäss der EU-Charta zu wahren, lancierte der SRB ein Verfahren, das es den betroffenen Parteien ermöglichte, vor seiner endgültigen Entscheidung Stellung zu nehmen. Dieses Verfahren verlief in zwei Phasen:
Anmeldephase: Aktionäre und Gläubiger mussten ihre Identität nachweisen und den Nachweis des Besitzes von Kapitalinstrumenten zum 6. Juni 2017 über ein Online-Formular erbringen. Der SRB konnte so überprüfen, ob jede Person, die ihr Interesse bekundet hatte, tatsächlich den Status eines betroffenen Aktionärs oder Gläubigers innehatte.
Konsultationsphase: Personen, deren Status als betroffener Aktionär oder Gläubiger vom SRB verifiziert worden war, konnten ihre schriftlichen Stellungnahmen über ein sieben Fragen umfassendes Online-Formular zur vorläufigen Entscheidung des SRB einreichen, der die nicht vertrauliche Version der „Bewertung 3" beigefügt war.
Pseudonymisierung
Für die Verarbeitung der während der Konsultation eingegangenen Antworten wurde eine strenge technische Regelung eingeführt:
Datentrennung: Die in der Anmeldephase erhobenen Daten — d.h. die Identitätsnachweise der Aktionäre und Gläubiger — waren nur einem begrenzten Kreis von SRB-Mitarbeitern zugänglich, die für die Feststellung der Entschädigungsberechtigung zuständig waren. Das SRB-Personal, das die Stellungnahmen analysierte, hatte hingegen keinen Zugang zu den in der Anmeldephase bereitgestellten Identifizierungsdaten, dem Identifizierungsschlüssel oder anderen Informationen, die eine Rückverfolgung der Identität eines betroffenen Aktionärs oder Gläubigers ermöglicht hätten.
Der alphanumerische Code: Jeder Stellungnahme wurde automatisch ein eindeutiger 33-stelliger Code zugewiesen, der zum Zeitpunkt des Eingangs zufällig generiert wurde. Dieser Code ermöglichte es dem SRB, einen Prüfpfad zu führen, ohne die Identität der Verfasser gegenüber den Analysten offenzulegen.
Filterung und Übermittlung an Deloitte: Von den Tausenden eingegangener Stellungnahmen identifizierte der SRB die relevantesten. Jene zur Finanzbewertung wurden erst nach Filterung, Kategorisierung und Aggregierung an Deloitte zur Analyse weitergeleitet, sodass das Deloitte-Personal nicht feststellen konnte, ob eine Stellungnahme von einem oder mehreren Teilnehmern stammte.
Beschwerde der betroffenen Personen
Da nur der SRB den „Schlüssel" besass, mit dem die alphanumerischen Codes den Identitäten der betroffenen Aktionäre und Gläubiger zugeordnet werden konnten, hatte Deloitte weder Zugang zur Anmeldedatenbank noch zu Identifizierungsinformationen. Für die Wirtschaftsprüfungsgesellschaft war es technisch unmöglich, die Verfasser der Stellungnahmen zu re-identifizieren.
Betroffene Aktionäre und Gläubiger, die das Formular ausgefüllt hatten, reichten jedoch beim Europäischen Datenschutzbeauftragten (EDSB) Beschwerde ein. Sie machten geltend, ihre personenbezogenen Daten seien ohne vorherige Information im Sinne der Verordnung (EU) 2018/1725 (dem DSGVO-Äquivalent für EU-Institutionen) an Dritte (Deloitte und Banco Santander) weitergegeben worden, was gegen die Datenschutzerklärung verstosse.
Entscheidungen des EDSB und des Gerichts der EU (erste Instanz)
Der EDSB kam zu dem Schluss, dass die an Deloitte übermittelten Informationen pseudonymisierte Daten und damit personenbezogene Daten darstellten. Er rügte den SRB wegen Verletzung der Informationspflicht — insbesondere dafür, dass Deloitte in seiner Datenschutzerklärung nicht als potenzieller Empfänger der erhobenen personenbezogenen Daten im Sinne von Art. 15 der Verordnung (EU) 2018/1725 genannt worden war.
Der SRB focht diese Entscheidung vor dem Gericht an. Dieses hob die EDSB-Entscheidung auf mit der Begründung, der EDSB habe nicht nachgewiesen, dass die betroffenen Personen für Deloitte identifizierbar seien, das über keine rechtlichen oder technischen Mittel verfüge, die vernünftigerweise zur Identifizierung der Verfasser der Stellungnahmen eingesetzt werden könnten.
Rechtsfragen vor dem Gerichtshof (EuGH)
Der EDSB legte beim Gerichtshof Rechtsmittel ein und brachte zwei Hauptpunkte vor:
- Sind pseudonymisierte Daten unabhängig davon, wer sie besitzt, intrinsisch personenbezogene Daten?
- Wie ist zu beurteilen, ob eine Person für einen dritten Empfänger identifizierbar ist?
Die Entscheidung des Gerichtshofs
A. Der relative Charakter personenbezogener Daten
Der Gerichtshof bestätigte die Position des Gerichts: Der Begriff der personenbezogenen Daten ist relativ. Um zu bestimmen, ob an einen Dritten übermittelte Daten personenbezogene Daten darstellen, ist die Perspektive dieses dritten Empfängers (im vorliegenden Fall Deloitte) einzunehmen.
B. Das Kriterium der „vernünftigerweise einzusetzenden Mittel"
Gestützt auf Erwägungsgrund 16 der Verordnung 2018/1725 befand der Gerichtshof:
Damit Daten als „personenbezogen" eingestuft werden können, muss die natürliche Person identifizierbar sein. Zur Beurteilung der Identifizierbarkeit sind alle Mittel zu berücksichtigen, die vom Verantwortlichen oder einer anderen Person „vernünftigerweise eingesetzt werden" könnten. Hat der Empfänger der Daten keinen Zugang zu den zusätzlichen Identifizierungsinformationen und bestehen für ihn keine rechtlichen oder technischen Mittel, die vernünftigerweise zur Erlangung dieser Informationen eingesetzt werden könnten, so gelten die Daten aus seiner Sicht als anonym.
Der Gerichtshof schloss daraus, dass der blosse Umstand, dass Daten aus Sicht des Absenders der Definition der „Pseudonymisierung" entsprechen, nicht automatisch bedeutet, dass sie für den Empfänger „personenbezogene Daten" darstellen. Demnach:
- Für den SRB sind die Daten personenbezogen, da er den Identifizierungsschlüssel besitzt. Der Gerichtshof bestätigte daher dessen Versäumnis, die betroffenen Personen bei der Datenerhebung vollständig, fair und transparent zu informieren.
- Für Deloitte können die Daten anonym sein, da eine Identifizierung mit vernünftigen Mitteln unmöglich wäre.
Kommentar
Dieses Urteil stellt einen Wendepunkt für die Praxis des Datenschutzrechts innerhalb der EU und in der Schweiz (sinngemäss) dar.
Es stärkt die Rechtssicherheit für Verantwortliche und Auftragsverarbeiter. Es validiert die weitverbreitete Praxis der Weitergabe pseudonymisierter Daten an Dritte (Forscher, Prüfer, Unterauftragsverarbeiter), indem diese Informationen für den Empfänger als anonym behandelt werden, sofern dieser technisch und vertraglich nicht in der Lage ist, die betroffenen Personen zu re-identifizieren.
Damit verfolgt der Gerichtshof einen kontextuellen Ansatz und lehnt eine „objektive" oder „absolute" Definition personenbezogener Daten ab. Ein und dieselbe Information kann somit für Einheit A personenbezogen und für Einheit B anonym sein.
Dies hat auch Auswirkungen auf die Arbeit der Aufsichtsbehörden, die pseudonymisierte Daten nicht mehr pauschal als personenbezogen qualifizieren können. Sie müssen nun konkret prüfen, ob der Empfänger tatsächlich in der Lage ist, die betroffenen Personen zu re-identifizieren.