En confirmant sans réserve les trois sanctions de la CNIL, le Conseil d’État ancre définitivement dans la jurisprudence administrative française le principe selon lequel la pseudonymisation, aussi sophistiquée soit-elle, ne fait pas sortir les données du champ du RGPD dès lors que le risque de réidentification n’est pas « insignifiant ». L’évaluation de ce risque doit être concrète, fondée sur l’ensemble des données disponibles et des sources accessibles, et non sur les seules intentions du responsable de traitement.
Pour les acteurs du secteur de la santé, le message est clair : toute exploitation de données de santé pseudonymisées à des fins statistiques ou commerciales doit impérativement respecter le cadre d’autorisation prévu par la loi, et la conception même des outils de collecte doit intégrer les exigences de protection des données dès l’origine.
Dans une décision du 13 février 2026 (n° 498628, 498629 et 498749), le Conseil d’État a rejeté les requêtes des sociétés GERS et Cegedim Santé contre trois sanctions prononcées par la formation restreinte de la CNIL, pour un montant total de 1,8 million d’euros. Cette décision, mentionnée aux tables du recueil Lebon, constitue un jalon majeur dans la jurisprudence française sur la frontière entre pseudonymisation et anonymisation des données de santé.
Les faits : des bases de données massives alimentées par les professionnels de santé
L’affaire concerne deux bases de données exploitées par le groupe Cegedim. La base « Thin », alimentée par les données collectées auprès de médecins via le logiciel de gestion Crossway (édité par Cegedim Santé), contenait fin mars 2021 des données relatives à 13,4 millions de consultations associées à 4 millions de codes patients. La base « Gers Études Clients », alimentée par des données extraites des logiciels de gestion de 8 500 officines pharmaceutiques via un module développé par Santestat, contenait environ 78 millions d’identifiants clients.
La société GERS exploitait ces deux bases pour réaliser des études quantitatives et commercialiser des données statistiques dans le domaine de la santé auprès de clients publics et privés.
Les sociétés estimaient que ces données, remplacées par de simples codes patients ou clients, étaient anonymisées et échappaient donc au RGPD. La CNIL, puis le Conseil d’État, en ont jugé autrement.
L’apport central : le test concret du risque de réidentification
Le Conseil d’État rappelle d’abord le cadre juridique applicable. Il s’appuie sur le considérant 26 du RGPD et sur l’article 4, paragraphe 5, pour distinguer clairement pseudonymisation et anonymisation. Il intègre également l’arrêt de la Cour de justice de l’Union européenne du 7 mars 2024, OC c/ Commission (C-479/22), selon lequel une donnée ne peut être considérée comme anonyme que si le risque d’identification est « insignifiant », l’identification étant « irréalisable en pratique ».
Appliquant ce standard au cas d’espèce, le Conseil d’État valide l’analyse de la CNIL en relevant plusieurs éléments déterminants :
- La richesse des données associées aux codes : au-delà du simple code patient, les bases contenaient l’âge, le sexe, la catégorie socio-professionnelle, le dossier médical complet, les prescriptions, les arrêts de travail, les vaccinations, les médicaments achetés, la date et parfois l’heure exacte de la consultation ou de l’achat.
- Les éléments indirects de localisation : les identifiants ADELI et RPPS des prescripteurs, accessibles par simple recherche en ligne, permettaient d’identifier le professionnel de santé et donc de localiser géographiquement le patient. Un code région était également collecté jusqu’en 2022.
- La facilité de réidentification démontrée : la CNIL a établi qu’il était possible de retracer des parcours de soins et d’individualiser des patients avec peu de moyens, en utilisant simplement un logiciel tableur courant et la nomenclature communiquée par les sociétés elles-mêmes.
- Le risque accru pour les traitements rares : le Conseil d’État souligne que le risque de réidentification est particulièrement élevé lorsque les traitements prescrits sont rares, ce qui réduit mécaniquement le nombre de personnes susceptibles de correspondre à un profil.
Point important : le Conseil d’État précise que la circonstance que les sociétés ne procèdent elles-mêmes à aucune inférence de données est « sans incidence » sur l’appréciation des possibilités d’identification. Ce n’est pas l’usage effectif qui compte, mais le potentiel de réidentification par des « moyens raisonnables ».
L’absence de consentement et le régime de l’article 66 de la loi Informatique et Libertés
Les données n’ayant pas été collectées avec le consentement des personnes concernées, le Conseil d’État confirme que les traitements relevaient du régime spécifique de l’article 66 de la loi du 6 janvier 1978, qui impose soit une conformité à un référentiel CNIL, soit une autorisation préalable de la CNIL. Les sociétés n’avaient accompli aucune de ces démarches.
Le Conseil d’État écarte par ailleurs l’argument selon lequel le droit applicable aurait manqué de clarté à l’époque des faits.
La collecte automatique via le téléservice HRi : un manquement à la licéité
Le Conseil d’État valide également le grief spécifique retenu contre Cegedim Santé concernant le téléservice HRi de l’assurance maladie. Ce service permet aux médecins, avec l’accord du patient, de consulter les données de remboursement. Or le logiciel Crossway intégrait automatiquement ces données dans le dossier patient dès leur consultation par le médecin, sans possibilité de les consulter sans les télécharger. Cette collecte automatique permettait à Cegedim Santé de récupérer des données auxquelles seuls les médecins étaient légalement autorisés à accéder.
Cette analyse est particulièrement significative pour tous les éditeurs de logiciels métier dans le secteur de la santé : la conception technique d’un logiciel peut constituer en elle-même un manquement au RGPD si elle conduit à collecter des données au-delà de ce que le cadre juridique autorise.
Des sanctions confirmées dans leur intégralité
Le Conseil d’État juge les amendes (800 000 euros pour GERS, 200 000 euros pour Santestat et 800 000 euros pour Cegedim Santé) proportionnées, en tenant compte de la gravité des manquements, de la nature sensible des données (données de santé), du nombre considérable de personnes concernées et du caractère négligent de la violation. La publication nominative de la décision concernant Cegedim Santé pendant deux ans est également validée.
Il est notable que la CNIL n’a pas prononcé d’injonction complémentaire, les sociétés ayant déposé en cours de procédure les demandes d’autorisation requises. Le Conseil d’État précise toutefois que cette régularisation est « sans incidence » sur l’appréciation du montant des sanctions.
Les enseignements pratiques pour les professionnels de la conformité
Cette décision a des implications directes et concrètes pour de nombreux acteurs.
Pour les responsables de traitement qui pseudonymisent des données de santé : le simple remplacement d’un identifiant par un code ne suffit jamais à qualifier les données d’anonymes. L’évaluation doit porter sur l’ensemble des données associées au code, les possibilités de croisement avec des sources externes et la singularité des profils dans la base. Si un parcours de soins peut être individualisé, les données restent personnelles.
Pour les éditeurs de logiciels de santé : la conception technique du logiciel engage leur responsabilité. Un logiciel qui collecte automatiquement des données au-delà de ce que le professionnel de santé est autorisé à partager crée un manquement structurel à la licéité du traitement. La conformité « by design » n’est pas une option mais une obligation qui conditionne la licéité même du traitement.
Pour les acteurs de la donnée de santé à des fins statistiques ou commerciales : l’exploitation de données de santé pseudonymisées sans passer par le régime d’autorisation de l’article 66 de la loi Informatique et Libertés (ou sans conformité à un référentiel CNIL) est un manquement sanctionnable, quel que soit le niveau de pseudonymisation appliqué. Les opérateurs du Health Data Hub et les acteurs du SNDS sont directement concernés par cette grille d’analyse.
Pour les DPO : cette décision fournit une grille d’évaluation concrète du risque de réidentification. Les critères à examiner incluent la granularité des données associées (temporelle, géographique, médicale), l’accessibilité d’informations complémentaires en sources ouvertes (annuaires RPPS/ADELI), la rareté des profils dans la base et la facilité technique de croisement. Le DPO doit documenter cette analyse dans le registre des traitements et dans l’AIPD lorsqu’elle est requise.
