Le Conseil d’État confirme une ligne désormais nette : une donnée pseudonymisée n’échappe pas automatiquement au RGPD. Dès lors qu’une réidentification reste possible sans effort démesuré, la donnée conserve son caractère personnel. Avec sa décision du 4 mars 2026, rendue dans l’affaire CRITEO, la haute juridiction valide l’analyse de la CNIL et apporte un éclairage précieux sur une distinction devenue centrale pour les acteurs du numérique.
L’affaire CRITEO illustre un débat devenu stratégique
Dans cette affaire, CRITEO soutenait que les données exploitées dans le cadre de ses activités de reciblage publicitaire n’étaient que des données pseudonymisées, ne permettant pas d’identifier directement les internautes. L’entreprise estimait donc que, hors demande spécifique d’accès, le risque de réidentification restait très faible. La CNIL n’a pas suivi ce raisonnement. Elle a considéré que, même sans identité directement visible, certaines personnes pouvaient être retrouvées à partir d’informations complémentaires, comme l’adresse électronique dans un environnement authentifié, l’adresse IP ou encore l’agent utilisateur du terminal. Pour elle, ces données restaient donc bien des données personnelles au sens du RGPD.
Le critère décisif reste celui des moyens raisonnables
Le Conseil d’État confirme cette approche en rappelant les définitions du RGPD. Une donnée pseudonymisée n’est pas une donnée devenue anonyme par nature. Elle peut rester une donnée personnelle si la personne concernée demeure identifiable grâce à des informations supplémentaires accessibles sans effort démesuré en temps, en coût ou en main-d’œuvre. Le juge administratif précise ainsi un point essentiel pour les professionnels : ce n’est pas l’intention de réidentifier qui compte uniquement, mais la possibilité technique réelle de le faire dans des conditions raisonnables. En d’autres termes, la pseudonymisation réduit le risque, mais elle ne fait pas disparaître automatiquement l’application du RGPD.
Une décision française alignée sur la dynamique européenne
Cette décision s’inscrit dans la continuité de la jurisprudence européenne. La Cour de justice de l’Union européenne a déjà jugé qu’une donnée ne peut être regardée comme véritablement anonyme que si le risque d’identification est insignifiant ou pratiquement irréalisable. Le Conseil d’État reprend clairement cette logique. La décision intervient aussi dans un moment particulier, alors qu’un projet de règlement Omnibus numérique envisage de redéfinir plus finement la notion de donnée personnelle pour tenir compte des moyens raisonnablement utilisables par une entité donnée. Le débat n’est donc pas clos. Il pourrait même rebattre les cartes si le texte venait à être adopté dans une version favorable à une sortie plus large du champ du RGPD pour certaines données pseudonymisées.
Cette décision du 4 mars 2026 envoie un message clair aux responsables de traitement et aux DPO : la pseudonymisation n’est pas un refuge automatique contre les obligations du RGPD. Tant qu’une réidentification demeure techniquement possible dans des conditions raisonnables, la prudence s’impose. La frontière entre anonymisation et pseudonymisation continue ainsi de se préciser, mais elle reste exigeante pour les entreprises qui manipulent de grands volumes de données.
Réf : CE 4 mars 2026, n° 482872 | 
Le cabinet est spécialisé dans le conseil et le suivi juridique des sociétés. Nous déployons tous nos efforts à chaque dossier pour obtenir les meilleurs résultats.
