Les décisions de la CNIL en matière de données de santé sont souvent commentées au prisme du montant des amendes. Mais, dans ce dossier, l’essentiel est ailleurs : la frontière toujours difficile entre pseudonymisation et anonymisation, et ses conséquences très concrètes pour les acteurs qui réutilisent ces données, notamment à des fins statistiques.
Par une décision du 13 février 2026, le Conseil d’État rejette les recours formés par GERS, GERS venant aux droits de Santestat et Cegedim Santé (groupe CEGEDIM) et confirme les sanctions prononcées par la formation restreinte de la CNIL en 2024.
1. Rappel du contexte : deux bases, trois délibérations CNIL, et une question centrale
Les contrôles CNIL portaient sur deux bases de données :
- la base “Thin”, alimentée par des données collectées auprès de médecins utilisant le logiciel Crossway (édité par Cegedim Santé) ;
- la base “Gers Études clients”, alimentée par des données issues d’officines, extraites via un module développé par Santestat et intégré aux logiciels de pharmacie.
Le Conseil d’État relève aussi des volumétries qui donnent immédiatement la mesure du risque : fin mars 2021, 13,4 millions de consultations associées à 4 millions de codes patients (base Thin) et environ 78 millions d’identifiants de clients pour les 8 500 pharmacies concernées (base Gers Études clients).
À partir de ces données, GERS réalise des études quantitatives et commercialise des données statistiques dans le domaine de la santé.
Les sociétés demandaient l’annulation de trois délibérations :
- SAN-2024-010 (28 août 2024) : 800 000 € d’amende contre GERS ;
- SAN-2024-011 (28 août 2024) : 200 000 € d’amende contre GERS venant aux droits de Santestat ;
- SAN-2024-013 (5 septembre 2024) : 800 000 € d’amende contre Cegedim Santé, avec publicité de la sanction sans anonymisation pendant deux ans.
La CNIL a, en outre, largement explicité sa position dans une communication publique : les données en cause n’étaient pas anonymes mais seulement pseudonymes, la réidentification étant techniquement possible, et le traitement aurait dû respecter le régime d’autorisation / référentiel applicable aux traitements de données de santé (art. 66 LIL).
2. L’analyse juridique et les motifs de la décision
A) L’anonymisation exige un risque d’identification « insignifiant »
Dans sa décision, le Conseil d’État s’appuie sur des notions très classiques du RGPD :
- la définition de la donnée personnelle et de la personne « identifiable » ;
- celle de pseudonymisation (art. 4(5)) ;
- et surtout le considérant 26 selon lequel l’identifiabilité doit être appréciée au regard de l’ensemble des moyens raisonnablement susceptibles d’être utilisés, en tenant compte de facteurs objectifs (coût, temps, technologies disponibles, etc.).
Dans ce cadre, il convient de noter que le Conseil d’État reprend explicitement la grille issue de la CJUE (OC c/ Commission, 7 mars 2024) : une donnée pseudonymisée ne peut être regardée comme rendue anonyme que si le risque d’identification est insignifiant, l’identification devant être irréalisable en pratique (effort démesuré en temps/coût/main-d’œuvre).
Autrement dit, le débat n’est pas : « disposons-nous, oui ou non, de la clé de correspondance permettant de réidentifier les personnes concernées par le traitement ? », mais quel est le risque réel de réidentification, compte tenu des données et de l’environnement informationnel.
En l’espèce, le Conseil d’État valide l’analyse factuelle de la CNIL en insistant sur des éléments opérationnels très parlants :
- la quantité massive de données ;
- la présence de données contenant des éléments d’identification tels que l’âge, sexe, catégorie socio-professionnelle, ainsi que des données de santé (dossier médical, prescriptions, arrêts de travail, vaccinations ; côté officines : médicaments achetés et prescripteur), ces dernières étant sensibles au sens de l’article 9 RGPD ;
- des horodatages fins (date et parfois heure exacte de la visite ou de l’achat) ;
- des éléments directs ou indirects de localisation ou d’identification des professionnels intervenants ; côté pharmacies, la collecte des identifiants ADELI/RPPS, qui permettent d’identifier le prescripteur via un moteur de recherche public ;
- la possibilité de retracer des parcours de soins et « d’individualiser des clients et leurs pathologies ».
Surtout, le Conseil d’État reprend un constat de la formation restreinte de la CNIL : l’« individualisation » aurait nécessité peu de temps et peu de moyens, notamment via un tableur et la nomenclature communiquée par les sociétés pour interpréter les codes.
Deux précisions méritent par ailleurs d’être soulignées :
- Le risque augmente quand les traitements prescrits sont rares et lorsque l’on peut croiser avec d’autres informations (y compris des données tierces, comme de la géolocalisation).
- Le fait que les sociétés ne procèdent pas elles-mêmes à des inférences est sans incidence : ce qui compte, ce sont les possibilités d’identification permises par le jeu de données.
Enfin, le Conseil d’État refuse le renvoi préjudiciel à la CJUE en considérant qu’il n’existe pas de difficulté sérieuse d’interprétation en l’espèce.
En conséquence, une fois le caractère personnel des données acté, la suite de la décision est assez mécanique. Dès lors qu’il s’agit de données de santé, collectées sans consentement, celles-ci sont soumises au régime de la loi Informatique et Libertés applicable aux traitements de données de santé, ce qui implique pour le responsable du traitement de s’inscrire en conformité avec le référentiel applicable ou d’obtenir une autorisation auprès de la CNIL.
B) Le volet « HRi / Crossway » : un grief de licéité fondé sur les modalités de collecte des données
S’agissant du volet « HRi / Crossway » concernant Cegedim Santé, le Conseil d’État valide un manquement au principe de licéité (art. 5(1)(a) du RGPD) lié à la collecte de données issues du téléservice Hri.
Pour mémoire, HRi permet aux médecins, avec l’accord du patient, de consulter des données d’assurance maladie. Or, bien que seul le médecin puisse consulter HRi, le logiciel Crossway téléchargeait automatiquement les données HRi dans le dossier informatisé dès la consultation, sans que le médecin puisse consulter « sans télécharger ».
Cela avait pour effet de permettre à Cegedim, en tant qu’éditeur du logiciel Crossway, de collecter l’ensemble des données HRi consultées par les professionnels de santé.
Le Conseil d’État relève en outre que, même si la délibération de la CNIL n’explicitait pas exhaustivement son analyse au regard de l’article 6 du RGPD, la société n’apportait pas d’élément établissant qu’une condition de licéité (mission d’intérêt public, etc.) aurait été remplie.
C) S’agissant des sanctions
Les sociétés requérantes contestaient notamment la motivation des amendes au regard des lignes directrices du CEPD (2022) sur le calcul des amendes : le Conseil d’État répond que la CNIL a mobilisé les critères de l’article 83 RGPD, les lignes directrices ne faisant que les préciser.
Il valide également la publicité de la sanction visant Cegedim Santé (non anonymisée pendant deux ans), justifiée par la gravité des manquements, la portée du traitement et le nombre de personnes concernées.
3. Les apports de la décision
- La formule « risque insignifiant » / « irréalisable en pratique » est un rappel utile : en matière de données de santé, il est nécessaire de documenter un réel process d’anonymisation, même lorsque la réutilisation envisagée est exclusivement statistique.
- La multitude de facteurs parmi lesquels : Horodatage fin / granularité / identifiants professionnels / nomenclatures impliquent une capacité d’individualisation, ce qui entraine un risque de réidentification important.
- Dès lors que l’on traite des données de santé personnelles sans consentement, il faut entrer dans le régime “référentiel ou autorisation”, et le “pari” consistant à se déclarer hors RGPD par une anonymisation insuffisamment démontrée devient une stratégie à très haut risque.
- L’affaire HRi montre qu’un choix d’architecture impliquant un import automatique des données HRi par défaut peut faire basculer un usage médecin/patient vers une collecte par un tiers non habilité.
La décision est cohérente et, sur le fond, difficilement contestable au regard des faits retenus (volumétrie, horodatages, identifiants ADELI/RPPS, tableur + nomenclature).
Par ailleurs, elle rappelle une difficulté pratique liée à la notion d’anonymisation : quand un acteur peut-il raisonnablement considérer avoir franchi le seuil de l’anonymisation ?
En parallèle : la fuite de données liée au logiciel MLM (MonLogicielMedical) — un rappel brutal des enjeux de sécurité
Quelques jours après cette décision, Cegedim a fait l’objet d’une actualité d’une tout autre nature : une fuite massive de données liée au logiciel MLM (MonLogicielMedical.com).
Selon le communiqué du groupe, fin 2025 un « comportement anormal de requêtes applicatives » a été détecté sur des comptes médecins utilisateurs de MLM ; le logiciel est utilisé par 3 800 médecins, dont 1 500 concernés par l’attaque. Cegedim indique avoir procédé aux démarches réglementaires (dont notification CNIL) et déposé plainte auprès du procureur de la République.
Sur la nature des données, Cegedim affirme qu’elles proviennent du dossier administratif (identité/coordonnées, et un champ de « commentaire administratif » en texte libre) ; ce champ a pu contenir, pour un nombre limité de patients, des informations sensibles, tandis que les « dossiers médicaux structurés » seraient restés intègres.
Le ministère de la Santé évoque, de son côté, 15 millions de personnes concernées et environ 164 000 patients pour lesquels les annotations en texte libre relèveraient de « données sensibles ».
Pourquoi cette actualité résonne avec la décision du Conseil d’État ?
Elle illustre, très concrètement, que la frontière entre « administratif » et « sensible » est parfois artificielle, notamment dès qu’un champ de texte libre existe. Elle rappelle aussi que, dans l’écosystème santé, la question n’est pas seulement la licéité d’un traitement, mais aussi la robustesse des mesures de sécurité et la maîtrise des flux — autrement dit, la conformité RGPD “en production”.
Mark SURMAN, Avocat
