Une donnée à caractère personnel est anonyme par pseudonymisation si le risque d’identification de la personne concernée est insignifiant et irréalisable en raison d’un effort démesuré en termes de temps, de coût et de main-d’œuvre.
Une société propose des services de reciblage publicitaire sur des sites internet gérés et hébergés par des tiers avec lesquels elle a conclu des accords de partenariat rémunérés. Pour exercer cette activité, elle collecte et traite les données de navigation des personnes visitant ces sites, à l’aide des traceurs de connexion que sont les cookies. La société attribue à chaque personne dont elle collecte les données un identifiant sous pseudonyme lié à l’adresse IP du terminal.
Retenant à son encontre plusieurs manquements au RGPD (Règl. UE 2016/679 du 27-4-2016), notamment pour défaut d’anonymisation par pseudonymisation des données personnelles et non-respect de ses obligations en sa qualité de responsable conjoint du traitement, la Cnil la condamne au paiement d’une amende.
Le Conseil d’État confirme la décision de la Cnil aux motifs suivants.
1° En ce qui concerne la question de l’anonymisation des données, il rappelle que :
- la donnée personnelle est la donnée qui se rapporte à une personne physique identifiée ou identifiable, même directement, notamment par référence à un identifiant (RGPD art. 4, 1°) ;
- la pseudonymisation est définie comme le traitement de données de telle façon que celles-ci ne puissent plus être attribuées à une personne physique précise sans avoir recours à des informations supplémentaires, pour autant que ces informations soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données personnelles ne sont pas attribuées à ladite personne physique (RGPD art. 4, 5°).
Il juge qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d'identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu'elle impliquerait un effort démesuré en termes de temps, de coût et de main-d'œuvre. Tel n’est pas le cas en l’espèce puisque l’identifiant sous forme de pseudonyme est notamment associé à l'adresse IP du terminal du visiteur du site, à l'emplacement géographique qui y est lié, à l'identifiant du terminal, aux identifiants propres des personnes se rendant sur les sites des partenaires de la société, ainsi qu’à des éléments liés à l'activité de navigation (sites visités, achats effectués, publicités consultées et donnant lieu à un achat). L’absence de clé de réidentification permettant d’identifier les personnes concernées importe peu dès lors de très nombreuses personnes concernées étaient identifiables par la société sans impliquer un effort démesuré en termes de temps, de coût et de main-d'œuvre.
2° Le Conseil d’État reconnaît par ailleurs à la société la qualité de responsable conjoint du traitement avec ses partenaires gestionnaires des sites et retient une violation de ses obligations sur le fondement de l’article 26 du RGPD, en vertu duquel la convention la liant à ces partenaires aurait dû préciser les obligations respectives de chaque responsable du traitement aux fins d’assurer le respect du RGPD.
Document et lien associés :
CE 4-3-2026 n° 482872, Sté Criteo c/ Cnil
Grâce à GenIA‑L, transformez vos heures de travail répétitives en valeur ajoutée pour vos clients.
Votre nouvel assistant juridique intelligent GenIA‑L vous aide à :
> Analysez vos contrats ou pièces en un temps record : détection d’erreurs, incohérences et risques.
> Rédigez des clauses, mémos, conclusions ou emails selon vos propres modèles.
> Comparez plusieurs documents, définitions, taux et indices en un seul clic.
GenIA‑L s’appuie exclusivement sur les fonds Lefebvre Dalloz, validés par plus de 300 rédacteurs, pour vous offrir des réponses fiables et opérationnelles.
