<= Revenir à la Lettre d'actualités juridiques
Droit des données
le 13/03/2026
Hemma RIPONHemma RIPON

Données de santé : le Conseil d’État confirme que la pseudonymisation n’équivaut pas à l’anonymisation

CE, 13 février 2026, n° 498628

Par une décision en date du 13 février 2026, le Conseil d’État rejette les recours formés par les sociétés GERS, Santestat et Cegedim Santé contre les sanctions prononcées par la CNIL en août et septembre 2024. Les amendes, d’un montant respectif de 800.000 euros, 200.000 euros et 800.000 euros, sont intégralement confirmées, de même que la publication de la sanction concernant Cegedim Santé.

Cette décision présente un intérêt particulier en ce qu’elle clarifie les critères permettant de distinguer pseudonymisation et anonymisation.

 

L’anonymisation écartée en raison du risque de réidentification

Les contrôles de la CNIL portaient sur deux bases de données alimentées par des logiciels utilisés par des médecins et des officines pharmaceutiques (bases Thin et GERS Études clients).

Ces bases contenaient des volumes particulièrement importants de données relatives à des patients. Les sociétés requérantes soutenaient que ces données étaient pseudonymisées, les patients étant identifiés uniquement par des codes, et qu’elles ne constituaient donc pas des données à caractère personnel au sens du RGPD.

Le Conseil d’État écarte cette analyse et il souligne qu’une donnée ne peut être regardée comme anonymisée que si le risque de réidentification est insignifiant, c’est-à-dire irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre. Il s’inscrit ainsi dans la ligne de la jurisprudence récente de la Cour de justice de l’Union européenne (CJUE, 7 mars 2024, C-479/22).

En l’espèce, la CNIL avait procédé à une appréciation concrète du risque de réidentification. Elle avait relevé qu’à partir des éléments détenus (il était possible, à l’aide d’outils courants et sans moyens techniques sophistiqués, de retracer des parcours de soins et d’individualiser certaines personnes et leurs pathologies, en particulier lorsque les traitements prescrits étaient rares.

Le Conseil d’État valide cette analyse et estime que la possibilité de lever le pseudonymat par des moyens raisonnablement accessibles suffit à maintenir les données dans le champ d’application du RGPD.

 

Des traitements de données de santé soumis au régime d’autorisation

Les données en cause relevant manifestement de la catégorie des données de santé, spécialement protégées par l’article 9 du RGPD, la question de leur fondement juridique était déterminante. En l’absence de recueil du consentement des personnes concernées, les traitements relevaient du régime spécifique prévu par l’article 66 de la loi du 6 janvier 1978. Ce dispositif impose soit une mise en conformité avec un référentiel de la CNIL assortie d’une déclaration préalable, soit l’obtention d’une autorisation.

Les sociétés n’avaient pas sollicité une telle autorisation avant les contrôles. Le Conseil d’État confirme donc le manquement retenu.

 

La collecte des données issues du téléservice HRi : un manquement au principe de licéité

S’agissant plus spécifiquement de Cegedim Santé, le Conseil d’État valide également l’analyse de la CNIL. Le logiciel édité par la société intégrait automatiquement, dans les dossiers patients, les données issues du téléservice HRi, dès lors que le médecin procédait à leur consultation. Or, les textes applicables du Code de la sécurité sociale réservent cette consultation aux seuls médecins. Le mécanisme technique aboutissait, en pratique, à permettre à l’éditeur du logiciel de collecter ces données.

Le Conseil d’état juge que cette collecte intervenait en méconnaissance des dispositions légales encadrant l’accès au téléservice et caractérisait, par voie de conséquence, un traitement illicite au regard du RGPD.

 

Des sanctions jugées proportionnées

Enfin, le Conseil d’État estime que les montants retenus par la CNIL ne présentent pas de caractère disproportionné. Il relève que l’autorité de contrôle a pris en considération la gravité des manquements, le nombre important de personnes concernées, la nature particulièrement sensible des données traitées ainsi que le caractère négligent des violations.

Les plafonds légaux n’ayant pas été dépassés, les amendes, calculées par référence au chiffre d’affaires des sociétés, sont jugées conformes aux exigences d’effectivité, de proportionnalité et de dissuasion.

La publication de la sanction concernant Cegedim Santé est également validée, au regard de la portée des traitements en cause et de la gravité des manquements constatés.

 

Une décision structurante pour tous les responsables de traitement

Cette décision consolide la ligne de la CNIL sur deux points essentiels.

D’une part, la pseudonymisation ne saurait être assimilée à une anonymisation, sauf à démontrer concrètement que la réidentification est, en pratique, irréalisable. La charge de la démonstration pèse, en réalité, sur le responsable de traitement.

D’autre part, les traitements massifs de données de santé, notamment à des fins d’études ou de valorisation statistique, demeurent soumis à un encadrement particulièrement exigeant. Les responsables de traitement doivent donc identifier en amont le régime applicable.

Pour tous les opérateurs traitant des données pseudonymisées, cette décision invite à vérifier concrètement si les données traitées peuvent réellement être regardées comme anonymes et si le fondement juridique retenu pour les traitements est juridiquement sécurisé.