Données pseudonymisées, RGPD et Digital Omnibus : ce qui vient de changer.

Vous voulez entraîner un modèle d’IA sur vos données clients.
=> Vous les pseudonymisez d’abord, car vous pensez que ces données pseudonymisées sortent du champ du RGPD. Vous pensez être en règle.

Mais patatras, votre DPO vous rappelle que des données pseudonymisées restent des données personnelles au sens du RGPD : consentement, base légale, AIPD, registre, tout s’applique.

Cette règle est en train de changer. Pas complètement. Pas tout de suite. Mais elle change.

Voici l’état exact du dossier en mai 2026, et ce que vous pouvez anticiper dès aujourd’hui.

Données pseudonymisées et RGPD: le problème de fond :

Depuis 2018, le RGPD s’applique à toute information se rapportant à une personne physique « identifiable ». Le problème : identifiable par qui ? Dans quelles circonstances ? Avec quels moyens ?

La réponse des autorités de protection des données était jusqu’ici large : si quelqu’un, quelque part dans la chaîne (y compris l’émetteur des données pseudonymisées), peut réidentifier, alors ces données sont personnelles pour tout le monde.

2 exemples de conséquences concrètes :

• Conséquence #1 : vous transmettez à un prestataire des données pseudonymisées, par exemple des paniers d’achats liés à des codes, sans les noms. Votre prestataire ne peut pas savoir qui se cache derrière les codes. Vous, si. Résultat : le RGPD s’applique intégralement à votre prestataire, même s’il lui est techniquement impossible d’identifier quiconque.
• Conséquence #2 : pour vos projets IA, c’est encore plus bloquant. Vous pseudonymisez un jeu de données d’entraînement. Votre sous-traitant qui fait tourner le modèle doit malgré tout traiter ces données comme personnelles. AIPD, DPA, registre, obligations de sécurité, tout le dispositif RGPD s’applique à des données que personne dans la chaîne ne peut lire.

Phase 1 : La CJUE a changé la donne le 4 septembre 2025.

Dans l’affaire C-413/23 P (CEPD c. Conseil de résolution unique), la Cour a répondu clairement : des données pseudonymisées ne sont pas des données personnelles pour un destinataire qui n’a aucun moyen raisonnable de réidentifier les personnes.

Trois conditions cumulatives doivent être présentes :

• La méthode de pseudonymisation est efficace ;
• Le destinataire ne peut pas raisonnablement obtenir la réidentification ;
• Le destinataire ne transmet pas les données à quelqu’un qui pourrait le faire.

C’est un changement de paradigme. La notion de donnée personnelle devient alors relative à chaque entité qui traite les données, et n’est pas une qualification absolue valable pour toute la chaîne.

Phase 2 : La Commission a voulu inscrire cette logique dans le RGPD.

Sa proposition du 19 novembre 2025 (dans le Digital Omnibus Regulation, COM(2025) 837) ajoutait un nouveau paragraphe à l’article 4(1) du RGPD : une information ne serait pas une donnée personnelle pour une entité donnée si cette entité ne dispose pas des moyens raisonnablement susceptibles d’identifier la personne concernée.

Phase 3 : les autorités de protection des données de l’UE réagissent.

Le Comité européen de la protection des données (EDPB, qui réunit toutes les CNIL européennes) et le Contrôleur européen de la protection des données (EDPS) ont réagi dans leur avis conjoint du 11 février 2026 (voir aussi ici).

Leur position est sans ambiguïté : cette modification va bien au-delà d’une clarification technique. Elle réduirait significativement la notion de données personnelles, et donnerait à la Commission le pouvoir de décider par un simple acte d’exécution de ce qui est ou n’est plus une donnée personnelle après pseudonymisation. Ce n’est pas son rôle.

Phase 4 : le Conseil a retiré la disposition en février 2026.

Le texte de compromis du Conseil, selon des informations relayées par la presse spécialisée fin février 2026 publiées fin février, supprime intégralement cette redéfinition de « donnée personnelle ».

À la place, pour encadrer l’interprétation du concept, il renvoie aux guidelines de l’EDPB sur la pseudonymisation qui sont en cours de finalisation depuis janvier 2025.

Le message est clair : on clarifie par la doctrine, pas par la réécriture législative.

Ce que ça change concrètement pour votre organisation :

L’arrêt de la CJUE de septembre 2025 s’applique dès maintenant. Il n’attend pas le Digital Omnibus.

Si vous transmettez des données pseudonymisées à un tiers qui n’a aucun moyen raisonnable de réidentifier, vous pouvez documenter cette analyse et revoir les obligations qui s’imposent à lui, c’est-à-dire le laisser travailler sur un ensemble autonome de données pseudonymisées (aux trois conditions cumulatives près, bien sûr).

Ce n’est pas une exemption automatique : c’est une analyse à faire, à documenter, et à contractualiser (c’est exactement le type de travail que nous menons dans nos missions de gouvernance cybersécurité).

Pour vos projets IA : les jeux de données pseudonymisés utilisés pour l’entraînement peuvent, sous certaines conditions, être traités hors du champ du RGPD par les entités qui ne détiennent pas la clé de réidentification. C’est un allègement réel, mais qui demande là aussi une analyse rigoureuse, pas une application automatique.

Point d’attention : il faut surveiller la publication des guidelines finales de l’EDPB sur la pseudonymisation, qui constitueront le référentiel de référence. Leur publication est attendue en 2026.

Notre lecture :

La définition du droit comme terrain de jeu politique : voilà ce que révèle cet épisode. La Commission cherche à simplifier en légiférant, les autorités de protection des données préfèrent clarifier par la doctrine. Même sujet, même objectif affiché : deux méthodes incompatibles.

Pourtant le chemin est bon. Le résultat est plus lent, mais probablement plus solide. Une redéfinition législative aurait créé une insécurité juridique massive pendant des années de contentieux. Les guidelines EDPB, même imparfaites, ont l’avantage d’être révisables au fil des évolutions technologiques.

Pour votre organisation, la conclusion pratique est simple : n’attendez pas l’adoption du Digital Omnibus pour revoir vos analyses de pseudonymisation. L’arrêt CJUE de septembre 2025 est déjà du droit positif.

Plus d’infos ?

Vous souhaitez valider votre positionnement RGPD / IA avec nous ? Prenez rendez-vous avec nos experts pour une consultation de sécurité sans engagement.

Plus d’infos ? Des questions ? Contactez-nous !