Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 25 mai 2026
Accueil/RGPD/Article 11 RGPD : traitement sans identification décrypté
RGPD

Article 11 RGPD : traitement sans identification décrypté

Article 11 RGPD décrypté paragraphe par paragraphe : conditions de l'exemption d'identification, jurisprudence CJUE et plan opérationnel 2026.

Par Thiebaut DevergrannePublie le 21 mai 2026Mis a jour le 21 mai 202614 min de lecture
Sommaire
  1. Le texte de l’article 11 du RGPD
  2. Article 11(1) : la dispense d’identification surnuméraire
  3. Article 11(2) : l’inopposabilité conditionnelle des articles 15 à 20
  4. L’articulation avec l’article 12(2) RGPD
  5. La jurisprudence structurante
  6. Les zones de risque opérationnel
  7. Plan opérationnel en six chantiers
  8. Sanctions et exposition
  9. Ce qu’il faut retenir
  10. FAQ

Un utilisateur réclame l’accès à toutes ses données sur la base de l’article 15 RGPD. Vos logs serveur contiennent des identifiants techniques, mais aucun rattachement à une personne physique — vous ne pouvez tout simplement pas savoir si cet utilisateur correspond à tel cookie, tel fingerprint, tel hash. Devez-vous reconstruire l’identité pour répondre ? L’article 11 RGPD répond non — mais à des conditions que la CJUE et la CNIL ont précisées avec une exigence forte. Voici l’analyse paragraphe par paragraphe.

Le texte de l’article 11 du RGPD

L’article 11 du RGPD, intitulé « Traitement ne nécessitant pas l’identification », se compose de deux paragraphes :

1. Si les finalités pour lesquelles des données à caractère personnel sont traitées par un responsable du traitement n’imposent pas ou n’imposent plus à celui-ci d’identifier une personne concernée, le responsable du traitement n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le présent règlement.

2. Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est en mesure de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 15 à 20 ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d’exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent son identification.

Le considérant 57 précise la logique : on ne saurait imposer à un responsable de réintroduire de l’identifiabilité dans son traitement à la seule fin de satisfaire ses obligations. Le considérant 26 rappelle quant à lui que le RGPD ne s’applique qu’aux informations concernant une personne physique identifiée ou identifiable.

Article 11(1) : la dispense d’identification surnuméraire

Ce premier paragraphe pose une règle d’économie. Lorsque les finalités du traitement ne nécessitent pas — ou ne nécessitent plus — l’identification de la personne concernée, le responsable n’a pas à conserver, obtenir ou traiter des informations supplémentaires pour la seule conformité au RGPD.

Le critère central : la nécessité fonctionnelle de l’identification

L’article 11(1) raisonne par la finalité réelle du traitement, pas par la nature des données. Trois situations typiques tombent dans son champ :

  • Données pseudonymisées sans clé accessible au responsable. La clé est détenue par un tiers ou détruite. Le responsable traite des identifiants techniques (un hash, un ID interne) sans pouvoir, par ses moyens propres, revenir à la personne. La pseudonymisation, distincte de l’anonymisation, n’éteint pas l’application du RGPD — mais elle peut activer l’article 11.
  • Identifiants en ligne orphelins : cookies, device IDs, fingerprints, TC strings émis dans le cadre du framework TCF analysé par CJUE C-604/22 IAB Europe 7 mars 2024. Tant que le responsable ne fait pas de rattachement actif à un compte ou à un profil rapprochable d’une personne physique, l’article 11 peut s’appliquer.
  • Traitements statistiques et de recherche où la finalité elle-même exclut l’identification individuelle. Les agrégats, les modèles entraînés sur des données pseudonymisées, certains logs de cybersécurité.

Ce que l’article 11(1) n’autorise pas

Il faut éviter trois confusions structurantes.

Premièrement, l’article 11(1) ne dispense d’aucune obligation matérielle du RGPD — base légale, principes Art. 5 RGPD, sécurité Art. 32 RGPD, notification de violations Art. 33 RGPD, registre des activités de traitement. Il dispense uniquement d’ajouter de l’identifiabilité que la finalité ne réclame pas.

Deuxièmement, l’article 11(1) ne joue pas si un tiers peut identifier la personne et que le responsable peut raisonnablement obtenir cette identification. La CJUE C-582/14 Breyer 19 octobre 2016 a posé le critère des « moyens raisonnablement susceptibles d’être utilisés » : il faut tenir compte des moyens combinés du responsable et de tout tiers. La CJUE C-413/23 P EDPS contre SRB 7 mars 2025 a affiné cette approche en confirmant la lecture relative — l’identifiabilité s’apprécie à l’aune des moyens accessibles au destinataire concret des données, pas dans l’absolu — mais elle exige du responsable une analyse documentée des canaux de rapprochement possibles.

Troisièmement, l’article 11(1) ne dispense pas de l’information des personnes concernées sur le traitement, lorsque celle-ci est due au titre des articles 13 et 14 RGPD. Si l’information est techniquement impossible parce qu’aucun canal d’adresse n’existe, on bascule sur les exceptions de l’article 14(5).

Article 11(2) : l’inopposabilité conditionnelle des articles 15 à 20

C’est la disposition opérationnellement la plus importante. Lorsque les conditions du paragraphe 1 sont réunies et que le responsable peut démontrer son incapacité à identifier la personne, les articles 15 à 20 (accès, rectification, effacement, limitation, notification, portabilité) ne s’appliquent pas — sauf si la personne fournit les informations complémentaires permettant son identification.

Trois conditions cumulatives

L’inopposabilité repose sur trois conditions strictes, et la charge de la preuve repose sur le responsable au titre du principe d’accountability — Art. 24 RGPD renforcé par CJUE C-340/21 Natsionalna agentsia za prihodite 14 décembre 2023.

  1. La finalité du traitement n’impose pas l’identification (renvoi à Art. 11(1)). Si la finalité réclame d’identifier la personne — facturation, gestion d’un compte, prospection ciblée — l’article 11(2) est inapplicable.
  2. Le responsable démontre qu’il n’est pas en mesure d’identifier la personne. Il ne suffit pas d’affirmer l’impossibilité ; il faut la documenter techniquement et juridiquement : architecture, clés, absence de rattachement, moyens raisonnablement utilisables — y compris par des tiers.
  3. Le responsable informe la personne, si possible, qu’il n’est pas en mesure de l’identifier. Cette obligation d’information, prévue par l’article 11(2) lui-même, est souvent oubliée. La CNIL et le CEPD attendent une réponse écrite au demandeur, motivée, dans le délai d’un mois fixé par l’article 12(3) RGPD.

Le mécanisme d’« informations complémentaires »

L’article 11(2) prévoit une porte de réintégration : si la personne fournit elle-même les informations permettant son identification, les articles 15 à 20 redeviennent applicables. Le considérant 57 in fine confirme que « le responsable du traitement ne devrait pas refuser d’utiliser les informations supplémentaires fournies par la personne concernée pour étayer l’exercice de ses droits ».

Cela signifie qu’on ne peut pas opposer mécaniquement l’article 11(2). Le responsable doit :

  • expliquer à la personne ce qu’il lui faudrait comme information complémentaire (un identifiant de cookie, un horodatage de session, un email de référence) pour permettre l’identification ;
  • traiter ensuite la demande dans le délai initial d’un mois, conformément à l’article 12.

Dans mon expérience de conseil, c’est sur ce point que les sanctions tombent. Refuser une demande au motif de l’article 11(2) sans inviter la personne à fournir les éléments complémentaires expose à une violation de l’article 12(2) RGPD — qui interdit précisément ce type de refus.

L’articulation avec l’article 12(2) RGPD

L’article 12(2) RGPD pose une règle générale : « Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée. »

Trois enseignements pratiques en découlent :

  • Le refus est l’exception, étroitement encadrée. La charge de la preuve repose sur le responsable.
  • La démonstration doit être documentée a priori dans le registre Art. 30 et l’AIPD (Art. 35 RGPD), pas reconstruite après coup en réponse à la demande.
  • Le refus doit être motivé par écrit dans le délai d’un mois (Art. 12(3)), avec mention du droit de réclamation auprès de la CNIL (Art. 77 RGPD) et du recours juridictionnel (Art. 79 RGPD).

La jurisprudence structurante

Trois lignes jurisprudentielles cadrent l’application de l’article 11.

CJUE C-582/14 Breyer 19 octobre 2016. Les adresses IP dynamiques constituent des données personnelles pour l’opérateur du site qui peut, par voie légale, obtenir leur attribution auprès du fournisseur d’accès. Lecture relative de l’identifiabilité : on tient compte des moyens raisonnablement susceptibles d’être utilisés. Cette grille a été reprise par la CNIL pour qualifier la portée de l’article 11.

CJUE C-604/22 IAB Europe 7 mars 2024. La TC string générée par le TCF constitue une donnée personnelle dès lors que des moyens raisonnables permettent de la rattacher à un utilisateur. L’article 11 ne peut pas servir à requalifier en non-personnelles des données techniques dont l’identifiabilité est en réalité activée par l’écosystème adtech.

CJUE C-413/23 P EDPS contre Conseil de résolution unique (SRB) 7 mars 2025. Confirme l’approche relative : pour le destinataire d’un transfert de données pseudonymisées, l’identifiabilité s’apprécie à l’aune de ses moyens propres. Mais la Cour insiste : l’évaluation doit être documentée par le responsable de transfert, et la perte d’identifiabilité ne peut être présumée — elle se prouve.

À ces décisions s’ajoute la CJUE C-184/20 Vyriausioji tarnybinės etikos komisija 1er août 2022, qui rappelle que l’identification indirecte par croisement reste de la donnée personnelle au sens de l’article 4(1) RGPD — limitant le champ utile de l’article 11(1).

Les zones de risque opérationnel

Plusieurs cas pratiques mobilisent l’article 11 et exposent à des erreurs récurrentes.

Cookies et trackers. Une CMP rejette une demande d’accès au motif que l’identifiant de cookie ne permet pas l’identification. Risque : si le visiteur fournit son cookie ID, ses horodatages de visite ou un IP partagé avec un compte, la demande redevient exécutable au titre de l’article 11(2) in fine. La CNIL attend une procédure documentée pour traiter ces cas.

Logs de cybersécurité. SIEM, IDS, EDR — souvent traités comme « pseudonymisés » et donc inaccessibles aux droits Art. 15-20. Vérifier : l’identifiabilité n’est pas annulée par la seule structure technique du log si l’organisation peut le corréler à un user account.

Données d’entraînement IA. Datasets pseudonymisés ou prétendument anonymisés. Vérifier la résistance au re-identification attack à l’aune des moyens « raisonnables » Breyer. Articulation forte avec l’AI Act qui impose une analyse propre de qualité des données.

Datasets de recherche scientifique. Régime de l’article 89 RGPD (garanties spécifiques aux fins de recherche) + dérogations nationales article 23 RGPD. L’article 11 peut soutenir la non-applicabilité des droits Art. 15-20, mais cela suppose une analyse documentée et une information collective de la cohorte.

Plan opérationnel en six chantiers

Pour s’appuyer valablement sur l’article 11 dans une procédure de réponse aux droits, je recommande six chantiers structurants. C’est exactement ce type de cartographie que Legiscope automatise — mais qui doit être pensé en interne d’abord.

Chantier 1 — Cartographie des traitements concernés. Identifier au registre Art. 30 les traitements dont la finalité n’impose pas l’identification. Marquer le flag « article 11 applicable » avec justification.

Chantier 2 — Documentation de l’incapacité d’identification. Pour chaque traitement flaggué, un mémo technico-juridique précise : moyens du responsable, moyens des sous-traitants, moyens de tiers raisonnablement mobilisables. Inclure le test Breyer/SRB.

Chantier 3 — Procédure de réponse type article 11(2). Modèle de réponse à un demandeur : reconnaissance de la demande, explication de l’impossibilité d’identification, invitation à fournir des éléments complémentaires, délai et voies de recours.

Chantier 4 — Articulation avec l’AIPD. Lorsqu’une analyse d’impact est conduite, intégrer le raisonnement article 11 : la limitation d’identifiabilité est une mesure de minimisation au sens de l’article 25 RGPD et un facteur de réduction du risque.

Chantier 5 — Information collective des personnes concernées. Pour les traitements concernés, intégrer dans la politique de confidentialité une mention article 11 : « nous ne sommes pas en mesure de vous identifier dans le cadre de tel traitement ; si vous souhaitez exercer vos droits, vous pouvez nous fournir les éléments suivants… ».

Chantier 6 — Audit annuel. Vérifier que l’environnement technique n’a pas évolué et qu’aucun nouveau canal de rapprochement n’a été introduit (par exemple : intégration CRM, nouveau sous-traitant qui détient une clé de réconciliation).

Sanctions et exposition

L’article 11 lui-même ne pose pas d’obligation autonome sanctionnable au plafond haut. Mais ses mauvais usages activent plusieurs régimes :

  • Refus indu de donner suite à une demande de droit : violation de l’article 12(2) RGPD et des articles 15 à 22 invocables, plafond haut 20 M€ ou 4 % du chiffre d’affaires mondial au titre de l’article 83(5)(b) RGPD.
  • Défaut de documentation de l’incapacité d’identifier : violation du principe d’accountability — Art. 24, plafond bas 10 M€ ou 2 % du CA, Art. 83(4)(a).
  • Qualification erronée en « non-personnelle » pour échapper au RGPD : ouverture de l’ensemble du dispositif sanctionnateur, principe et bases légales Art. 5/6 inclus.

La CNIL a fréquemment retenu ces qualifications dans ses délibérations récentes, notamment SAN-2022-022 Free Mobile 300 k€ et SAN-2024-001 Hubside 525 k€ sur des défauts d’identification dans le cadre de demandes de droits.

Ce qu’il faut retenir

  • L’article 11(1) du RGPD dispense le responsable d’ajouter de l’identifiabilité que la finalité du traitement ne réclame pas — il ne dispense d’aucune autre obligation du règlement.
  • L’article 11(2) rend les articles 15 à 20 inapplicables, mais à trois conditions cumulatives : finalité non identifiante, démonstration documentée de l’incapacité, information de la personne lorsqu’elle est possible.
  • Le refus de donner suite à une demande au titre de l’article 11(2) n’est jamais automatique : il faut inviter la personne à fournir des informations complémentaires et traiter la demande dans le délai d’un mois.
  • Trois arrêts CJUE — Breyer (C-582/14), IAB Europe (C-604/22), EDPS c/ SRB (C-413/23 P) — cadrent l’approche relative et exigent une documentation rigoureuse de l’analyse d’identifiabilité.
  • L’exposition financière en cas de mauvais usage de l’article 11 atteint 20 M€ ou 4 % du CA mondial via l’article 83(5)(b) RGPD.

FAQ

L’article 11 RGPD permet-il d’échapper au RGPD ?

Non. L’article 11 ne fait pas sortir les données du champ du règlement. Il dispense le responsable d’ajouter de l’identifiabilité que sa finalité ne réclame pas, et il restreint conditionnellement l’application des articles 15 à 20. Toutes les autres obligations — principes Art. 5, base légale Art. 6, sécurité Art. 32, notification Art. 33, registre Art. 30 — restent dues.

Faut-il toujours répondre à une demande de droit avant d’invoquer l’article 11(2) ?

Oui, dans le délai d’un mois de l’article 12(3) RGPD. La réponse expose les raisons techniques pour lesquelles la personne ne peut être identifiée et invite la personne à fournir des éléments complémentaires (cookie ID, horodatage, identifiant fourni dans un email précédent…). Le refus pur et simple sans information sur cette possibilité expose à une sanction au titre de l’article 12(2).

Quels traitements relèvent typiquement de l’article 11 ?

Trois grandes familles : les identifiants en ligne sans rattachement actif à un compte (cookies, device IDs, fingerprints), les données pseudonymisées sans clé accessible au responsable, et les traitements statistiques ou de recherche dont la finalité exclut l’identification individuelle. La qualification doit être étudiée traitement par traitement, à partir du test des moyens « raisonnablement utilisables » CJUE Breyer C-582/14.

Comment démontrer l’incapacité d’identifier au sens de l’article 11(2) ?

Par une documentation technico-juridique versée à l’AIPD et au registre Art. 30 : architecture du traitement, séparation et localisation des clés de pseudonymisation, sous-traitants ayant accès, moyens raisonnablement mobilisables par des tiers, mises à jour suite à toute évolution du système. La charge de la preuve incombe au responsable au titre de l’article 24 RGPD et de la jurisprudence CJUE C-340/21 NAP.

L’article 11 RGPD s’applique-t-il aux données pseudonymisées ?

Oui, mais seulement si le responsable n’a pas accès aux moyens raisonnables de ré-identifier la personne — clé détenue par un tiers indépendant, ou détruite, ou inaccessible. Si le responsable conserve la clé ou peut l’obtenir, les données restent pleinement identifiables au sens de l’article 4(1) RGPD et l’article 11 ne joue pas. La distinction avec l’anonymisation reste centrale : seule l’anonymisation au sens strict fait sortir du RGPD.

Restez à jour sur la conformité RGPD. Chaque semaine, je publie une analyse des décisions CNIL, de la jurisprudence CJUE et des textes en préparation. Inscrivez-vous à la newsletter pour recevoir ces analyses directement par email.

Articles lies

RGPD

Article 63 RGPD : le mécanisme de cohérence décrypté

25 mai 2026 · 18 min
RGPD

Article 64 RGPD : l'avis du CEPD décrypté

24 mai 2026 · 18 min
RGPD

Article 65 RGPD : la décision contraignante du CEPD

24 mai 2026 · 18 min