Le texte précise d’abord la définition des données à caractère personnel en cas de « pseudonymisation ». La proposition prévoit qu’une information ne devrait pas être considérée comme une donnée à caractère personnel si l’entité qui en dispose ne dispose pas de moyens raisonnablement susceptibles d’identifier la personne concernée. Cette précision reprend la solution de l’arrêt de la CJUE du 4 septembre 2025 [1].

Par ailleurs, le texte prévoit la possibilité pour la Commission, conjointement avec le CEPD, d’assister les responsables de traitement dans la qualification de données à caractère personnel des données pseudonymisées : des actes d’exécution pourront préciser les moyens et critères pertinents, incluant l’état de l’art des techniques disponibles et l’évaluation du risque de réidentification.

Cette précision de la définition de donnée à caractère personnel devrait venir limiter le champ d’application du RGPD et apporter une certaine souplesse pour certains traitements portant sur des données considérées comme non personnelles en application de cette nouvelle définition.

Introduction de nouvelles exceptions au traitement de données sensibles

L’article 9 du RGPD prévoit une interdiction expresse du traitement de données dites « sensibles » sauf dans des cas très limités qu’il énumère.

La proposition de règlement apporte quelques aménagements à cette interdiction.

En matière de données biométriques, le traitement serait exempté lorsqu’il est nécessaire pour confirmer l’identité de la personne concernée et que les données et moyens de vérification sont sous le contrôle exclusif de cette personne.

En matière d’intelligence artificielle, une exception est prévue pour le traitement résiduel des données sensibles dans le cadre du développement et du fonctionnement d’un...