Le Conseil d’État rappelle qu’une pseudonymisation ne rend pas automatiquement une donnée anonyme. Tant qu’un risque raisonnable d’identification subsiste, les données demeurent des données à caractère personnel, soumises au Règlement général sur la protection des données (RGPD) et aux règles spécifiques applicables aux données de santé.
Conseil d’État, 10ème – 9ème chambres réunies, 13/02/2026, 498628.
Pseudonymisation et anonymisation des données de santé : deux notions juridiques distinctes
Le droit européen distingue clairement pseudonymisation et anonymisation des données.
Le RGPD définit la pseudonymisation comme un traitement consistant à remplacer les données identifiantes par un identifiant artificiel (par exemple un code patient). Cette technique vise principalement à réduire les risques d’identification tout en permettant de continuer à exploiter les données.
Toutefois, une donnée pseudonymisée demeure une donnée personnelle si une réidentification reste possible, directement ou indirectement.
À l’inverse, l’anonymisation implique une transformation irréversible des données. Une donnée anonymisée ne doit plus permettre d’identifier une personne physique, même indirectement.
La jurisprudence et la doctrine européennes retiennent ainsi un critère central :
une donnée ne peut être considérée comme anonyme que si toute identification devient pratiquement impossible.
Cette distinction revêt une importance particulière en matière de données de santé, lesquelles bénéficient d’un niveau de protection renforcé dans le RGPD et dans la loi Informatique et Libertés du 6 janvier 1978.
Pseudonymisation et anonymisation des données de santé : les faits à l’origine de la décision du 13 février 2026
L’affaire concernait plusieurs sociétés du groupe Cegedim exploitant des bases statistiques issues de logiciels médicaux et pharmaceutiques.
Ces bases de données regroupaient des informations concernant des millions de patients, issues notamment :
-
des prescriptions réalisées par les médecins ;
-
des délivrances de médicaments par les pharmaciens.
Les données collectées avaient été pseudonymisées, notamment par l’attribution de codes patients ou de codes clients en remplacement de l’identité civile.
Les sociétés soutenaient dès lors que les informations traitées étaient anonymes, ce qui leur permettait, selon elles, d’échapper aux obligations du RGPD et au régime spécifique applicable aux données de santé.
La Commission nationale de l’informatique et des libertés a toutefois considéré que ces données demeuraient des données personnelles et a prononcé plusieurs sanctions pour traitement irrégulier.
La CNIL a infligé une amende de 800 000 euros à la société GERS et une sanction de 200 000 euros à la société Santestat, ultérieurement absorbée par GERS. La société Cegedim Santé a également fait l’objet d’une sanction de 800 000 euros, assortie de la publication de la décision pendant deux ans.
Au total, les sanctions prononcées par l’autorité de contrôle ont atteint 1,8 million d’euros. Les sociétés concernées ont contesté ces décisions devant le Conseil d’État, en soutenant que les données traitées devaient être regardées comme anonymisées en raison des techniques de pseudonymisation mises en œuvre.
Les sociétés concernées ont alors contesté ces décisions devant le Conseil d’État.
Pseudonymisation et anonymisation des données de santé : la solution retenue par le Conseil d’État
Dans sa décision du 13 février 2026, le Conseil d’État confirme l’analyse de la CNIL.
La Haute juridiction rappelle que la pseudonymisation ne suffit pas à anonymiser une donnée. Une donnée ne peut être considérée comme anonymisée que si le risque d’identification est insignifiant.
Autrement dit, l’identification d’une personne doit être pratiquement irréalisable, notamment parce qu’elle impliquerait :
-
un effort disproportionné,
-
des coûts excessifs,
-
ou des moyens techniques démesurés.
Cette approche s’inscrit dans la ligne de la jurisprudence de la Cour de justice de l’Union européenne, dont notamment les arrêts « OC« (CJUE, 7 mars 2024, aff. C-479/22, OC c/ Commission) et « SRB » (CJUE, 4 septembre 2025, aff. C-413/23 P, CEPD c/ CRU), ce dernier modérant le premier dans la mesure où il reconnaît que la pseudonymisation peut, selon les circonstances, empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable.
En l’espèce, le Conseil d’État relève que la combinaison de différentes informations permettait de reconstituer des parcours de soins et d’individualiser certains patients.
Par exemple, les données incluaient :
-
l’âge,
-
le sexe,
-
certaines pathologies,
-
les prescriptions,
-
les dates d’actes médicaux,
-
ou encore des identifiants professionnels.
Même sans identification directe, la possibilité de réidentification indirecte suffisait à qualifier les informations de données personnelles de santé.
Pseudonymisation et anonymisation des données de santé : les conséquences juridiques pour les entreprises
La décision du Conseil d’État rappelle un principe essentiel : la pseudonymisation constitue une mesure de sécurité, mais elle ne transforme pas automatiquement une donnée personnelle en donnée anonyme.
Dès lors que les données demeurent personnelles, leur traitement doit respecter l’ensemble du cadre juridique applicable.
En matière de données de santé, ce cadre s’avère particulièrement strict.
Les responsables de traitement doivent notamment :
-
obtenir le consentement des personnes concernées, ou
-
bénéficier d’une autorisation légale ou réglementaire spécifique.
À défaut, le traitement peut être considéré comme illicite, ce qui expose les entreprises à des sanctions administratives prononcées par la CNIL.
La décision du 13 février 2026 rappelle ainsi que les acteurs exploitant des bases de données médicales, pharmaceutiques ou statistiques doivent procéder à une analyse rigoureuse du risque de réidentification.
Pseudonymisation et anonymisation des données de santé : un enjeu majeur de conformité au RGPD
La distinction entre pseudonymisation et anonymisation s’inscrit dans la logique générale du RGPD : garantir un niveau élevé de protection des personnes physiques.
Pour les entreprises du secteur de la santé, les laboratoires, les éditeurs de logiciels médicaux ou les sociétés d’analyse de données, la conformité suppose notamment :
-
une évaluation du risque de réidentification ;
-
la mise en place de mesures techniques et organisationnelles appropriées ;
-
la réalisation, lorsque nécessaire, d’une analyse d’impact relative à la protection des données (AIPD).
La jurisprudence récente confirme que les autorités de contrôle et les juridictions administratives adoptent une approche concrète et exigeante de ces obligations.
Conclusion
La décision du 13 février 2026 du Conseil d’État apporte une clarification importante : pseudonymiser une donnée ne suffit pas à l’anonymiser.
Tant qu’une réidentification demeure raisonnablement possible, les données doivent être considérées comme des données personnelles de santé et rester soumises au cadre du RGPD et de la loi Informatique et Libertés.
Cette décision constitue un rappel essentiel pour les entreprises exploitant des données médicales : la gestion du risque de réidentification devient un élément central de la conformité juridique.
