Les données de santé pseudonymisées mais non anonymisées restent soumises au respect du règlement général sur la protection des données (RGPD)

Le Conseil d’État a rendu une décision récente le 13 février 2026 (n° 498628) portant sur la caractérisation des données de santé « pseudonymisées » et, par conséquent, sur l’application ou non des règles relatives au RGPD aux sociétés qui collectent et exploitent ces données.

Les faits sont les suivants : trois sociétés appartenant à un même groupe exploitent deux grandes bases de données afin de produire et vendre des statistiques dans le domaine de la santé. La première base contient des données collectées auprès de médecins utilisant un logiciel de gestion édité par l’une de ces sociétés, permettant de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions. Cette base comprenait 13,4 millions de consultations associées à 4 millions de codes patients. La seconde base est alimentée par des données récoltées auprès d’officines pharmaceutiques et contient environ 78 millions d’identifiants de clients pour les 8 500 pharmacies concernées.

La formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a contrôlé l’utilisation et la mise en œuvre de ces données par les sociétés. Au motif de la violation du règlement UE 2016/679 du parlement européen et du conseil du 27 avril 2016 et de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, la CNIL a prononcé trois sanctions administratives : deux amendes de 800 000 euros, dont l’une devant être rendue publique pendant deux ans sans possibilité d’anonymisation, et une amende de 200 000 euros.

Les sociétés ont formé un pourvoi en cassation en demandant l’annulation de la décision, faisant valoir que les données étaient pseudonymisées et, par conséquent, anonymes, et qu’elles ne pouvaient donc pas être considérées comme des données à caractère personnel, entraînant ainsi la non-application des règles relatives au RGPD.

La haute juridiction a précisé que les données récoltées dans ce cadre sont des données à caractère personnel, et plus précisément des données de santé au sens du paragraphe 15 de l’article 4 du règlement (UE) 2016/679 : « les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ».

Le caractère anonyme d’une donnée réalisé par pseudonymisation n’est possible que si le risque d’identification est « insignifiant », notamment lorsque, en pratique, l’identification serait irréalisable car elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre. Cette interprétation résulte de la Cour de justice de l'Union européenne dans son arrêt du 7 mars 2024, OC c/ Commission (C-479/22).

Les juges ont confirmé, comme la CNIL, que les règles relatives au RGPD s’appliquent aux données récoltées par ces sociétés : « Il résulte de ce qui précède que la CNIL a procédé à une évaluation concrète du risque de réidentification des données et établi qu’il était possible de lever le pseudonymat des personnes concernées par des moyens raisonnables ». Ainsi, les obligations prévues par le RGPD, comme le recueil du consentement et l’application de sanctions en cas de non-respect, restent applicables à ces sociétés en raison du caractère non anonymisé des données de santé exploitées.

Au regard de tous ces éléments, le montant des sanctions infligées ne peut être regardé comme disproportionné.