Arrêt de la CJUE 2026 : La pseudonymisation n’exonère plus de la conformité au RGPD

Le 4 mars 2026, le Conseil d’État français a confirmé une amende de 40 millions d’euros infligée par la CNIL à la société adtech Criteo SA (NASDAQ : CRTO) pour de multiples violations du RGPD liées à ses pratiques de publicité comportementale. La mise à jour d’avril 2026 sur la protection des données en Europe de Gibson Dunn replace cette décision dans une vague plus large de sanctions et, surtout, met en avant la clarification de la CJUE : les identifiants de cookies pseudonymisés associés à des données de navigation, adresses IP et historiques d’achats restent des données personnelles dès lors qu’une réidentification est possible sans effort disproportionné.

Résumé des points clés

1. La CJUE referme la brèche de la pseudonymisation pour les identifiants en ligne. La Cour de justice de l’Union européenne a précisé que les identifiants de cookies pseudonymisés liés à des données de navigation, adresses IP et historiques d’achats restent des données personnelles au sens du RGPD si une réidentification est possible sans effort disproportionné. Cette qualification déclenche toutes les obligations de conformité en aval.
2. La France applique la décision par la sanction, non par la recommandation. Le Conseil d’État a confirmé le 4 mars 2026 l’amende de 40 millions d’euros infligée par la CNIL à Criteo SA, mettant fin à une bataille juridique débutée avec la sanction de la CNIL en 2023. La posture française d’application du RGPD dans l’adtech n’est plus théorique.
3. Les implications pour les données d’entraînement de l’IA sont majeures. Les organisations ayant classé les identifiants de cookies, identifiants d’appareils ou empreintes comportementales comme « non personnelles » et ayant utilisé ces données pour l’entraînement de modèles s’exposent désormais à un risque rétroactif. L’EDPB a déjà affirmé que les modèles d’IA entraînés sur des données personnelles ne peuvent pas être considérés comme anonymes par défaut.
4. La défense des demandes d’accès devient un nouveau terrain réglementaire. La CJUE a également précisé que les responsables de traitement peuvent refuser les demandes d’accès abusives au RGPD — mais uniquement avec des critères documentés et défendables. Les refus systématiques face à des demandes automatisées en masse deviendront eux-mêmes des déclencheurs de sanctions.
5. La classification des données, et non l’anonymisation, devient le contrôle exigible. La réponse à cette décision n’est pas d’inventer de nouveaux schémas de pseudonymisation. Il s’agit de traiter les identifiants en ligne comme des données personnelles dans les inventaires, d’appliquer des contrôles d’accès basés sur les attributs, de garantir la résidence des données dans l’UE et de produire des journaux d’audit infalsifiables pour justifier les décisions de traitement.

En résumé, ces deux évolutions redéfinissent les contours de la conformité RGPD pour toute organisation traitant des identifiants en ligne à grande échelle. Pour celles qui opèrent dans l’adtech, l’analyse comportementale, l’entraînement de l’IA sur des données clients ou les flux de données transfrontaliers impliquant des résidents de l’UE, les conséquences se chiffrent désormais en dizaines de millions d’euros d’amendes.

La porte de sortie de la pseudonymisation — la théorie selon laquelle « nous ne détenons pas de noms, seulement des identifiants hachés, donc le RGPD ne s’applique pas » — vient de se refermer.

Ce que la CJUE a réellement décidé et pourquoi la classification est essentielle

La CJUE a confirmé que le critère pour déterminer si une donnée est « personnelle » au sens de l’article 4(1) du RGPD n’est pas de savoir si le responsable de traitement détient une information directement identifiante, mais si la réidentification est possible avec des moyens raisonnablement susceptibles d’être utilisés. Les identifiants de cookies associés à des comportements de navigation, adresses IP et données d’achats remplissent ce critère, car leur combinaison crée un profil unique, même sans nom ni adresse e-mail. Cette position s’inscrit dans la continuité des recommandations de l’EDPB et de l’arrêt SRB de la CJUE de septembre 2025 affaire SRB, qui adopte une approche relative de la dé-identification.

L’impact opérationnel est direct. Tout jeu de données contenant des identifiants de cookies, empreintes d’appareils ou autres identifiants en ligne pseudonymes combinés à des données comportementales relève désormais sans ambiguïté du champ du RGPD. Toutes les dispositions applicables aux données personnelles s’appliquent : exigence de base légale (article 6), minimisation des données (article 5(1)(c)), droits d’accès des personnes concernées (articles 15 à 22), mesures de sécurité (article 32) et notification des violations (articles 33 et 34). Une organisation qui traitait ces jeux de données hors de son programme de gouvernance RGPD se retrouve rétroactivement non conforme sur l’ensemble de ces points.

L’arrêt précise aussi l’interprétation de « raisonnablement susceptible ». Il ne s’agit pas d’un exercice théorique visant à savoir si la réidentification est possible en principe. Il s’agit d’évaluer si la combinaison des éléments, les techniques de rapprochement disponibles et les incitations économiques rendent la réidentification concrètement réalisable. Dans les écosystèmes adtech, conçus précisément pour identifier et suivre les utilisateurs entre sessions et sites, la réponse est presque toujours oui. L’architecture de la publicité comportementale exige la réidentification. Cette exigence classe désormais toute la chaîne de traitement comme traitement de données personnelles.

La France applique la décision à grande échelle

L’amende de 40 millions d’euros infligée à Criteo par la CNIL, confirmée par le Conseil d’État, n’est pas un cas isolé. Le total des amendes RGPD en Europe pour 2025 a dépassé 1,2 milliard d’euros selon le DLA Piper GDPR Fines and Data Breach Survey, avec un cumul de plus de 5,88 milliards d’euros depuis 2018 et une édition 2026 qui recense une hausse de 22 % des notifications de violation d’une année sur l’autre.

Le schéma de sanction cible principalement les articles 5(1)(a) — licéité, loyauté et transparence — et 5(1)(f) — intégrité et confidentialité. Ces articles reposent sur la qualification des données comme personnelles. Dès lors que les identifiants pseudonymisés entrent dans cette catégorie, chaque chaîne de publicité comportementale devient un problème de base légale, de transparence et de droits d’accès en même temps.

La rapidité d’exécution française a un impact mondial, car d’autres autorités européennes de protection des données suivent traditionnellement la position de la France sur l’adtech et le tracking. La Data Protection Commission irlandaise, le Garante italien et le Landesdatenschutzbeauftragte allemand ont tous affiché leur alignement sur la CNIL. Les organisations qui considéraient les 40 millions d’euros comme une exception française et non une référence européenne voient désormais des procédures similaires s’accumuler à Dublin, Rome et Berlin.

Les conséquences pour l’entraînement de l’IA sont rétroactives

L’effet le plus marquant de la décision de la CJUE pourrait concerner l’entraînement de l’IA. Depuis trois ans, de nombreuses entreprises ont constitué de grands jeux de données d’entraînement à partir de données que leurs juristes qualifiaient de « non personnelles » : identifiants de cookies, empreintes d’appareils, télémétrie comportementale, logs de navigation, historiques d’achats sans nom associé. Ces jeux de données ont servi à l’affinage, au développement de moteurs de recommandation et à l’entraînement de modèles personnalisés pour le marketing, la détection de fraude ou la personnalisation.

L’Avis 28/2024 de l’EDPB a déjà affirmé que les modèles d’IA entraînés sur des données personnelles ne peuvent pas être considérés comme anonymes par défaut, et que chaque cas doit démontrer une résistance à l’extraction et aux attaques par requête. Combiné à la confirmation par la CJUE que les identifiants en ligne pseudonymisés restent des données personnelles, cela aboutit à une requalification de conformité : si les données d’entraînement étaient personnelles, le modèle lui-même doit être évalué pour les risques de mémorisation et d’extraction, et l’entraînement initial manquait probablement de base légale adéquate au sens de l’article 6.

Il s’agit d’une exposition rétroactive. L’amende infligée à OpenAI par le Garante italien en 2024 (annulée ensuite par un tribunal italien en mars 2026, selon Reuters) a posé le modèle réglementaire : amendes massives pour traitement illicite de données d’entraînement, sans solution pratique autre qu’un réentraînement du modèle. Les organisations ayant bâti des capacités d’IA en production sur des jeux d’entraînement « pseudonymes » portent désormais une dette de conformité difficile à résorber sans refonte architecturale. Réentraîner sur une base de données juridiquement défendable coûte cher. Continuer à exploiter des modèles entraînés sur des données désormais qualifiées de personnelles expose à des risques.

La décision de justice allemande de novembre 2025 aggrave encore la situation. Comme le documente l’analyse 2026 du Future of Privacy Forum, un tribunal allemand a jugé que des paroles de chansons étaient « reproductibles et fixées dans les poids du modèle », assimilant les modèles à des copies au sens de la propriété intellectuelle. Cette logique a des conséquences évidentes pour les données personnelles. Si un modèle peut restituer le contenu d’entraînement, et si ce contenu contenait des données personnelles, alors le modèle lui-même contient des données personnelles — avec toutes les obligations que cela implique.

Pourquoi les entreprises se sont trompées sur la pseudonymisation

L’idée largement répandue selon laquelle la pseudonymisation fait automatiquement sortir les données du champ du RGPD traduit un raccourci de conformité qui a survécu bien au-delà de sa pertinence. La pseudonymisation, selon l’article 4(5) du RGPD, est définie comme un traitement rendant les données personnelles non attribuables à une personne sans informations supplémentaires. La clause clé est la dernière. Les données pseudonymisées restent des données personnelles — elles sont simplement soumises à des garanties supplémentaires. Elles ne sont pas anonymisées, et ne l’ont jamais été.

La confusion vient du positionnement rhétorique de l’adtech. Les écosystèmes de publicité comportementale présentaient leurs chaînes de traitement comme opérant sur des données « anonymisées » ou « pseudonymisées » comme si ces termes étaient interchangeables. Les juristes d’entreprise, cherchant à exclure ces jeux de données du périmètre RGPD, ont accepté ce raisonnement. La CJUE vient de le rejeter définitivement pour la combinaison d’identifiants et de données comportementales qui caractérise la plupart des usages adtech en entreprise.

Le rapport Kiteworks Data Security and Compliance Risk : 2026 Data Sovereignty Report révèle qu’environ 15 % des répondants européens se disent « extrêmement préoccupés » par le risque d’amende RGPD, un chiffre qui reflète le poids de sanctions cumulées dépassant 5,88 milliards d’euros. Mais cette préoccupation ne s’est pas encore traduite dans l’architecture. Beaucoup d’organisations gèrent encore en parallèle des programmes de gouvernance où les jeux de données « personnelles » sont soumis à des contrôles stricts, tandis que les jeux « pseudonymes » bénéficient de contrôles allégés. Cette architecture devient aujourd’hui un risque.

Les demandes d’accès : prochain terrain de la conformité

L’arrêt de la CJUE ne s’est pas contenté de restreindre la défense par pseudonymisation. Il a aussi précisé dans quels cas les responsables de traitement peuvent refuser des demandes d’accès au RGPD pour abus — et la marge de manœuvre est plus étroite que beaucoup ne l’imaginaient. Les responsables peuvent considérer certaines demandes comme abusives en cas de charge disproportionnée, d’intention manifestement infondée ou d’automatisation coordonnée rendant le traitement individuel réellement déraisonnable. Mais la Cour insiste : la charge de la preuve de l’abus incombe au responsable, et les refus systématiques ne satisferont pas l’article 12(5).

Cela a son importance, car les demandes d’accès automatisées et en masse sont devenues un véritable levier de contrôle. Les associations de défense de la vie privée, les journalistes et, de plus en plus, les consommateurs générant des demandes via des assistants IA exercent leurs droits de l’article 15 à un volume qui met à mal les processus manuels. Certaines organisations ont répondu par des refus catégoriques. La CJUE indique désormais que cette approche crée elle-même un risque de sanction.

Conséquence : l’infrastructure de gestion des demandes d’accès n’est plus une simple commodité opérationnelle. C’est un processus réglementé où chaque refus doit être documenté, chaque justification doit être fondée, et chaque délai doit respecter l’article 12(3). Les organisations qui s’appuient sur des processus manuels et ad hoc se retrouveront soit à devoir traiter des volumes ingérables, soit à générer des refus qui deviendront la base de plaintes auprès des autorités de contrôle.

Comment la gouvernance au niveau des données répond au problème de classification

La réponse architecturale à la décision de la CJUE n’est pas de reclassifier les données a posteriori. Il s’agit de bâtir une gouvernance qui traite les combinaisons identifiant + comportement comme des données personnelles dès la collecte et applique les obligations qui en découlent au niveau des données. Cela implique des inventaires de données qui reconnaissent les identifiants de cookies, empreintes d’appareils et empreintes comportementales comme des données personnelles ; des contrôles d’accès basés sur les attributs pour limiter les requêtes ou extractions à ceux qui disposent d’une base légale ; le respect de la résidence des données pour conserver les données personnelles de l’UE dans la juridiction UE ; et des journaux d’audit capables de justifier chaque décision de traitement auprès de l’autorité de contrôle sur demande.

Kiteworks applique cette gouvernance au niveau des données, et non de l’application. Quatre fonctions sont particulièrement pertinentes au regard de la décision de la CJUE. Premièrement, le Data Policy Engine de Kiteworks applique des contrôles d’accès basés sur les attributs à chaque interaction — les données peuvent être étiquetées comme personnelles, soumises à des restrictions de résidence ou d’usage, avec contrôle appliqué au moment de l’accès et non au niveau applicatif. Deuxièmement, l’intégration DSPM avec les labels de sensibilité Microsoft Information Protection permet de faire circuler la classification depuis les outils de gouvernance externes vers la politique opérationnelle, garantissant que les jeux de données identifiant + comportement conservent leur statut de données personnelles sur l’ensemble des systèmes. Troisièmement, le géofencing et les contrôles de souveraineté des données configurent les systèmes distribués pour stocker les données personnelles UE uniquement dans les juridictions désignées et ne permettre l’accès qu’à travers ces juridictions, répondant ainsi aux obligations de l’article 44 sur les transferts internationaux sans recourir à une revue contractuelle au cas par cas. Quatrièmement, le rapport de conformité RGPD produit un dossier de preuves structuré qui fait le lien entre les contrôles opérationnels et les articles du RGPD — c’est la base probante pour défendre les décisions de traitement et la gestion des demandes d’accès lors des audits de l’autorité de contrôle.

L’argument architectural est que les débats sur la classification vont s’intensifier à mesure que l’application du RGPD s’accélère, et la position défendable n’est pas de contester la classification mais de bâtir des contrôles qui s’appliquent uniformément à tout ce qui pourrait être qualifié de données personnelles. Cela déplace la charge de conformité de l’interprétation juridique vers l’application opérationnelle, et cette approche résiste à la prochaine décision de la CJUE, au prochain avis de l’EDPB ou à la prochaine mise à jour d’un régulateur national.

Ce que la décision implique pour votre programme de conformité cette année

Première étape : auditez la classification et l’inventaire de vos données à la lumière du périmètre clarifié par la CJUE. Tout jeu de données combinant des identifiants en ligne (cookies, empreintes d’appareils, identifiants publicitaires, adresses IP, e-mails hachés) et des signaux comportementaux (navigation, achats, interactions de contenu) doit être étiqueté comme données personnelles. Les lignes directrices 04/2022 de l’EDPB sur le calcul des amendes RGPD considèrent la présence de mesures techniques et organisationnelles documentées comme un facteur atténuant — mais uniquement si la classification sous-jacente est correcte.

Deuxième étape : évaluez la traçabilité de vos données d’entraînement IA. Pour chaque modèle entraîné ou affiné sur des données que votre programme de conformité a classées comme « pseudonymes » ou « non personnelles », réévaluez la classification à la lumière du raisonnement de la CJUE et de l’avis de l’EDPB de décembre 2024 sur l’anonymat des modèles IA. Les modèles entraînés sur des données désormais requalifiées comme personnelles font face à un double problème : base légale et statut du modèle lui-même comme donnée personnelle.

Troisième étape : refondez votre infrastructure de gestion des demandes d’accès pour gérer à la fois le volume et la défense contre les abus. Les processus manuels générant des refus systématiques entraîneront des plaintes auprès des autorités. Documentez chaque refus avec une justification solide. Automatisez le traitement des demandes légitimes. Suivez des indicateurs sur les délais de réponse, le taux de complétion et le taux de refus, car les régulateurs demanderont ces métriques lors des enquêtes.

Quatrième étape : centralisez les échanges de données sensibles sous une gouvernance unifiée. Le rapport Kiteworks Data Security and Compliance Risk : 2026 Forecast Report montre que les organisations utilisant des outils fragmentés pour l’échange sécurisé de données présentent un risque de conformité plus élevé et une réactivité réglementaire plus lente. Un plan de contrôle consolidé permet une application uniforme des politiques, une preuve d’audit homogène et un respect cohérent de la résidence des données — ce qui correspond à la cohérence architecturale implicitement exigée par la CJUE.

Cinquième étape : traitez la discipline des transferts de données à l’international comme un contrôle prioritaire. La décision de la CJUE s’inscrit dans une trajectoire qui inclut aussi le Data Act (applicable depuis septembre 2025) et l’AI Act européen, dont l’application s’étale jusqu’en 2027. Les mécanismes de transfert (décisions d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes) exigent une application opérationnelle au niveau des données, pas seulement une documentation juridique dans un DPA. Les contrôles de souveraineté et de géofencing qui assurent le stockage et le routage effectif des données personnelles UE dans l’UE sont ceux qui résistent à l’audit.

Sixième étape : préparez votre dossier de preuves avant d’en avoir besoin. La différence entre une amende de 40 millions d’euros et une lettre d’avertissement tient souvent aux mesures techniques et organisationnelles que l’organisation peut démontrer dès le début de la procédure. Une organisation capable de produire un rapport de conformité RGPD, des journaux d’accès basés sur les attributs, des preuves de résidence des données et des journaux d’audit sur la gestion des demandes d’accès en moins de 24 heures se trouve dans une position bien différente de celle qui rassemble ces preuves après six semaines de crise.

La décision de la CJUE ne clôt pas le débat sur la pseudonymisation. Elle inaugure un nouveau cycle réglementaire où la sanction précède la recommandation, l’amende précède la clarté politique, et les organisations dotées d’une gouvernance opérationnelle traversent ce cycle avec bien moins de friction que celles qui débattent encore de la classification dans des notes juridiques.