Le 13 février 2026[1], le Conseil d’Etat s’est prononcé sur les contours de la notion de données pseudonymisées et ses conséquences dans le cadre du traitement de données de santé. En substance, il a considéré, en application des dispositions du Règlement général sur la protection des données (le « RGPD »)[2], qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main d’œuvre.
Dans cette affaire, la société GERS spécialisée dans l’étude quantitative et la commercialisation de données dans le domaine de santé à des fins de statistique, exploitait deux bases de données :
- La base de données « Thin », alimentée par des données collectées auprès de médecins utilisant le logiciel de gestion « Crossway » édité par la société Cegedim Santé ;
- La base de données « Gers Etude clients », alimentée par des données collectées auprès d’officines pharmaceutiques extraites des logiciels assurant leur gestion par un module développé par la société Santestat.
En 2021, la Commission nationale de l’informatique et des libertés (« CNIL ») a diligenté des contrôles visant ces traitements. En substance, la CNIL a estimé que les données traitées demeuraient des données à caractère personnel malgré la pseudonymisation appliquée et que les obligations fixées par le RGPD n’avaient pas été respectées dès lors que les données de santé avaient été collectées sans le consentement des patients concernés. Aussi, par plusieurs délibérations[3], la CNIL a prononcé plusieurs amendes administratives : 800 000 euros à l’encontre de la société GERS, 200 000 euros à l’encontre de la société GERS venant aux droits de la société Santestat et 800 000 euros à l’encontre de la société Cegedim Santé.
Les sociétés GERS, Cegedim Santé et Santestat ont contesté ces délibérations en soutenant que les données en cause ne constituaient pas des données à caractère personnel, dès lors qu’elles étaient pseudonymisées, les identifiants directs des patients ayant été remplacés par des codes (patient ou client).
Dans ces conditions, les sociétés précitées ont saisi le Conseil d’État, par plusieurs requêtes (n° 498628, n° 498629 et n° 498749), afin d’obtenir l’annulation des délibérations par lesquelles la CNIL les avait sanctionnées. Le Conseil d’État, dans son arrêt du 13 février 2026 a rejeté l’ensemble des requêtes et a donc confirmé intégralement les sanctions de la CNIL.
Le Conseil d’État a rappelé qu’au sens de l’article 4 (§5) du RGPD, la pseudonymisation consiste à traiter des données de manière à ce qu’elles ne puissent plus être attribuées à une personne sans recourir à des informations supplémentaires, celles‑ci devant être conservées séparément et protégées par des mesures techniques et organisationnelles appropriées.
Le Conseil d’état souligne ensuite, en application du Considérant 26 du RGPD :
- Que les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ;
- Qu’il convient de prendre en considération l’ensemble des moyens raisonnables et susceptibles d’être utilisés pour identifier la personne physique directement ou indirectement ;
- Que pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ;
- Que le RGPD ne s’applique pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.
A l’appui de ces précisions, telles qu’interprétées par la CJUE, notamment dans son arrêt du 7 mars 2024 cité[4], le Conseil d’état a donc réaffirmé la distinction entre pseudonymisation et anonymisation et énoncé qu’une donnée ne peut être considérée comme anonymisée que si le risque d’identification est insignifiant, l’identification devant être irréalisable en pratique (effort démesuré en temps, coût, main‑d’œuvre).
En l’occurrence, dans cette affaire, les données collectées comprenaient différents éléments permettant d’établir des profils individuels : âge, sexe, pathologies, médicaments prescrits et achetés, prescriptions, dates et parfois heures de visites médicales ou d’achats, ainsi que des éléments relatifs aux professionnels de santé (notamment des identifiants professionnels).
Le Conseil d’État confirme l’analyse de la CNIL selon laquelle la combinaison de ces informations permettait de reconstituer des parcours de soins et de rattacher des données à des personnes physiques avec des moyens techniques simples. Il retient que la réidentification pouvait en pratique intervenir avec un effort limité avec « peu de temps et peu de moyens »[5], ce dont il résultait que le risque de réidentification était donc élevé. En l’espèce, les données en cause demeuraient donc des données à caractère personnel, de surcroît des données de santé, soumises aux obligations prévues par le RGPD.
Il ressort de ces éléments que la pseudonymisation ne suffit jamais en tant que tel à sortir du champ du RGPD mais nécessite toujours une évaluation concrète et circonstanciée des capacités réelles des acteurs à réidentifier les personnes concernées.
Cette décision s’inscrit dans la continuité de plusieurs arrêts récents de la CJUE, notamment l’arrêt du 4 septembre 2025[6] qui a notamment précisé que :
- Les données pseudonymisées ne constituent pas « en toutes hypothèses » et « pour toute personne », des données à caractère personnel : une même donnée pseudonymisée peut rester personnelle pour un responsable de traitement disposant de la clé de réidentification, tout en cessant de l’être pour un destinataire ne disposant d’aucun moyen raisonnable d’identifier les personnes.
- La pseudonymisation est une mesure de réduction du risque, mais n’entraîne pas automatiquement la qualification ou la disqualification de « donnée à caractère personnel ». La question centrale demeure l’évaluation au cas par cas du caractère « raisonnablement probable » de la réidentification.
A l’aune de ces récentes décisions, les acteurs manipulant des données pseudonymisées, en particulier dans le domaine de la santé, devraient donc particulièrement veiller à évaluer de manière précise et documentée les risques de réidentification, adapter, lorsque nécessaire, et documenter leurs mesures techniques et organisationnelles, vérifier les capacités des différents acteurs impliqués dans les traitements (responsable, sous-traitant, destinataire) à accéder à des informations permettant une réidentification et à intégrer ces éléments dans leurs dispositifs de conformité et leurs relations contractuelles.
[1] Conseil d’État, 10ème – 9ème chambres réunies, 13/02/2026, 498628 – Légifrance.
[2] Règlement 2016/680 relatif à la protection des personnes physique à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données.
[3] Délibérations n° SAN-2024 010 du 28 août 2024, n° SAN-2024-011 du 28 août 2024, et n° SAN-2024-013 du 5 septembre 2024.
[4] CJUE, 7 mars 2024, OC c/ Commission RGPD (C-479/22).
[5] Point 11 de l’arrêt.
[6] CJUE, 4 septembre 2025, Affaire C-413/23 P, Contrôleur Européen à la Protection des données (CEPD) c. Conseil de Résolution Unique (CRU).
