A propos de la Décision no 498628 du Conseil d’Etat (13 février 2026) [https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2026-02-13/498628] :

Par une décision du 13 février 2026, le Conseil d’État statue sur trois recours formés par des sociétés d’un même groupe (GERS, GERS venant aux droits de Santestat, et Cegedim Santé) contre trois délibérations de sanction de la formation restreinte de la CNIL, prises les 28 août et 5 septembre 2024. La CNIL avait infligé des amendes de 800 000 euros à GERS, 200 000 euros à GERS venant aux droits de Santestat, et 800 000 euros à Cegedim Santé, en rendant en outre publique la sanction visant cette dernière sans anonymisation pendant deux ans. Les sanctions faisaient suite à des contrôles portant sur deux bases de données exploitées dans le secteur de la santé, dénommées « Thin » et « Gers Études clients ». Comme les trois requêtes soulevaient des questions semblables, le Conseil d’État les joint pour y répondre par une seule décision.

Le Conseil d’État examine notamment le fond des manquements retenus par la CNIL. Il rappelle d’abord les faits et le fonctionnement des bases. La base « Thin » est alimentée par des données issues de médecins utilisateurs d’un logiciel de gestion de cabinet (« Crossway ») édité par Cegedim Santé ; la base « Gers Études clients » est alimentée par des données issues des officines pharmaceutiques, extraites via un module développé par Santestat et intégré aux logiciels de gestion des pharmacies. GERS est responsable de traitement des deux bases, recevant les flux de données transmis par Cegedim (côté médecins) et par Santestat (côté pharmacies). Le Conseil d’État relève l’ampleur des données : au printemps 2021, la base « Thin » contenait notamment 13,4 millions de consultations associées à 4 millions de codes patients, et « Gers Études clients » environ 78 millions d’identifiants clients pour 8 500 pharmacies. À partir de ces données, GERS réalise des études quantitatives et commercialise des statistiques dans le domaine de la santé auprès d’acteurs publics et privés.

Le cœur du litige portait sur la qualification des données : les sociétés soutenaient que, parce que les données étaient « pseudonymisées » (code patient, code client), elles ne seraient pas des données personnelles au sens du RGPD, et que le régime spécifique français applicable aux traitements de données de santé sans consentement ne leur serait donc pas opposable.

Le Conseil d’État rappelle les définitions pertinentes du RGPD : la donnée personnelle est une information se rapportant à une personne identifiée ou identifiable ; les données de santé constituent une catégorie particulièrement protégée ; la pseudonymisation est une technique qui empêche l’attribution directe à une personne sans informations supplémentaires conservées séparément. Il insiste sur le considérant 26 du RGPD, qui conduit à raisonner en termes de « moyens raisonnablement susceptibles d’être utilisés » pour identifier une personne, en tenant compte de facteurs objectifs (coût, temps, technologies disponibles). Il s’appuie aussi sur un arrêt de la CJUE du 7 mars 2024 (affaire C-479/22) pour préciser qu’une pseudonymisation ne peut conduire à considérer des données comme réellement anonymes que si le risque d’identification est insignifiant, c’est-à-dire si l’identification est irréalisable en pratique car elle exigerait un effort démesuré en temps, coût et main-d’œuvre.

Appliquant ces principes, le Conseil d’État constate d’abord que les sociétés détenaient un volume massif de données provenant de cabinets médicaux et de pharmacies, comprenant des informations d’identification (par exemple âge, sexe, catégorie socioprofessionnelle) et surtout des données de santé (dossier médical, prescriptions, arrêts de travail, vaccinations côté médecins ; médicaments achetés et prescripteur côté pharmacies), donc des données sensibles au sens de l’article 9 du RGPD. Il examine ensuite l’argument tiré de la pseudonymisation par « codes ». Il relève que les jeux de données contenaient, en plus des variables cliniques, des éléments comme la date et parfois l’heure exacte d’une consultation ou d’un achat, ainsi que des éléments directs ou indirects de localisation ou d’identification des professionnels de santé intervenants. S’agissant des pharmacies, il retient notamment que GERS collectait des données sur les prescripteurs, dont des identifiants (ADELI et RPPS) permettant de retrouver l’identité du professionnel via une simple recherche en ligne sur des ressources publiques ; il note aussi qu’un code région était collecté jusqu’en 2022 par Cegedim Santé. Sur cette base, il estime, comme la CNIL, qu’il est possible de reconstituer des parcours de soins et d’individualiser des personnes et leurs pathologies. Il insiste sur un point pratique décisif : selon les constats de la CNIL, non utilement contestés, cette individualisation n’exigeait que peu de temps et peu de moyens, par exemple l’utilisation d’un tableur courant et des nomenclatures fournies par les sociétés pour interpréter les codes et les actes. Il ajoute que le risque de réidentification augmente encore lorsque les traitements sont rares, ou si l’on combine ces données avec d’autres informations détenues par les sociétés (comme l’identification des professionnels de santé) ou avec des données tierces (par exemple de géolocalisation). Enfin, il précise que le fait que les sociétés ne réaliseraient pas elles-mêmes d’inférences n’est pas pertinent : ce qui compte est la possibilité objective d’identifier les personnes à partir des données et de moyens raisonnables.

De ces éléments, le Conseil d’État conclut que la CNIL a bien procédé à une évaluation concrète du risque et a établi que le pseudonymat pouvait être levé par des moyens raisonnables. Il en déduit que les données, bien que pseudonymisées, n’étaient pas anonymisées et restaient des données personnelles. Il refuse en conséquence de saisir la CJUE d’une question préjudicielle, estimant qu’il n’existait pas de difficulté sérieuse d’interprétation sur ce point.

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et Intelligence artificielle, CAS en Protection des données – Entreprise et administration