Une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main d’oeuvre.
Mais cette problématique est aussi en droit à croiser avec d’autres notamment sur les difficultés d’anonymisation de données massives.
Il est à noter qu’en l’espèce, schématiquement, des données, certes massives, mais sensibles, parce qu’elle n’empêchaient pas la reconstitution de parcours de soin, ne pouvaient selon le juge pas être considérées comme bien anonymisées par pseudonymisation.
La Cour de justice de l’Union européenne a précisé en septembre 2025 la portée de la notion de « données à caractère personnel » dans le contexte d’un transfert de données pseudonymisées à des tiers. Et, schématiquement, une fois pseudonymisées, des données peuvent assez rapidement, et assez logiquement, perdre leur caractère personnel.
Et ce avec au moins quatre apports que l’on peut ainsi schématiser :
- 1/ nul besoin d’examiner si le contenu, la finalité et l’effet d’opinions exprimées par des personnes sont liées à celles-ci.. puisque par définition des opinions sont liées à ces personnes.
- 2/ des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725.
- 3/ la perspective pertinente pour apprécier le caractère identifiable de la personne concernée dépend essentiellement des circonstances caractérisant le traitement des données dans chaque cas particulier.
- 4/ l’obligation d’information s’inscrit dans la relation juridique existant entre la personne concernée et le responsable du traitement et, de ce fait, elle a pour objet les informations en lien avec cette personne telles qu’elles ont été transmises à ce responsable, donc avant tout éventuel transfert à un tiers. Partant, la Cour considère que le caractère identifiable de la personne concernée doit être apprécié au moment de la collecte des données et du point de vue du responsable du traitement.
Le Conseil d’Etat vient d’en tirer les conséquences, ou une partie des conséquences, en jugeant (ce qui suit correspond au résumé des futures tables du rec.) qu’il :
« résulte des dispositions du paragraphe 5 de l’article 4 du RGPD, telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt du 7 mars 2024, OC c/ Commission (C-479/22), qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main d’oeuvre. »
Attention ceci n’est pas sans lien — quand il s’agit de documents administratifs communicables — avec les limites de l’anonymisation par ailleurs en cas de données massives… Sujet pour lequel j’ai ci-dessous brossé une synthèse de la jurisprudence :
En l’espèce la SAS GERS demandait au Conseil d’Etat d’annuler une délibération de la CNIL la condamnant à une amende administrative de 800 000 euros.
Cette société :
« est responsable des deux bases de données, ainsi alimentées par des données provenant de médecins, transmises par la société Cegedim, et par des données provenant de pharmaciens, transmises par la société Santestat. Il ressort des délibérations attaquées, et n’est pas contesté par les sociétés requérantes, que fin mars 2021, la société GERS disposait, dans la base de données » Thin « , de données relatives à 13,4 millions de consultations associées à 4 millions de codes patients et, dans la base de données » Gers Etudes Clients « , d’environ 78 millions d’identifiants de clients pour les 8 500 pharmacies dont elle recueillait les données. A partir de ces données, la société GERS réalise des études quantitatives et commercialise des données statistiques dans le domaine de la santé auprès de clients publics et privés. »
La CNIL estimait que faute de consentement des personnes concernées, les traitements en cause devaient être autorisés dans les conditions prévues par l’article 66 de la loi du 6 janvier 1978.
La société estimait pouvoir être libérée de cette obligation en raison de la pseudonymisation effectuée.
Le Conseil d’Etat se fonde donc sur cette nouvelle définition de l’anonymisation par pseudonymisation :
« 9. Il résulte de ces dispositions du RGPD, telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt du 7 mars 2024, OC c/ Commission (C-479/22), qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main d’oeuvre.»
Or en l’espèce, au terme d’un raisonnement fouillé, le juge constate que ces données de santé, sensibles, certes pseudonymisée, pouvaient quand même permettre de reconstituer des parcours de santé (entre autres) et, donc, ne pas être réellement anonymisées
« 10. Ainsi qu’il a été dit au point 4, les sociétés requérantes détenaient une quantité massive de données, recueillies auprès de cabinets médicaux ou de pharmacies. Il n’est pas contesté que les données en cause incluaient des éléments d’identification comme l’âge, le sexe ou la catégorie socio-professionnelle, ainsi que des données de santé telles que, notamment, le dossier médical, les prescriptions, les arrêts de travail, les vaccinations, pour les données transmises par les médecins, et les médicaments achetés et le prescripteur, pour les données transmises par les pharmacies. De telles données de santé sont des données sensibles spécialement protégées par l’article 9 du RGPD.
« 11. Les sociétés requérantes font valoir que les données en cause ne seraient pas des données personnelles au sens du RGPD dans la mesure où elles font l’objet d’une pseudonymisation, les données collectées auprès des médecins ne mentionnant qu’un code patient et celles collectées auprès des officines pharmaceutiques qu’un code client. Il résulte toutefois de l’instruction qu’outre les données précises sur les personnes concernées, telles que l’âge, le sexe, les pathologies et les médicaments prescrits et achetés, les données recueillies comprennent des éléments comme la date et parfois l’heure exacte de la visite médicale ou de l’achat ainsi que des éléments directs ou indirects de localisation ou d’indentification des professionnels de santé qui sont intervenus. Si les requérantes contestent détenir des informations géographiques, la CNIL relève, sans que ce soit sérieusement contesté, s’agissant des données des pharmacies, que la société GERS collecte les données des prescripteurs, notamment leurs identifiants ADELI et RPPS, qui permettent de connaître l’identité du professionnel de santé par simple recours à un moteur de recherche publiquement accessible en ligne. Elle relève également qu’un code région était collecté jusqu’en 2022 par la société Cegedim Santé. Il résulte de l’instruction que, comme l’a relevé la formation restreinte de la CNIL, il est possible, à partir de ces données, de retracer des parcours de soins et d’individualiser des clients et leurs pathologies. Une telle individualisation dans l’ensemble des données n’a, selon le constat dressé par la formation restreinte de la CNIL, et non utilement démenti par les sociétés requérantes, nécessité que peu de temps et peu de moyens, notamment l’utilisation d’un logiciel tableur d’usage courant et la nomenclature communiquée par les sociétés afin d’associer les codes alphanumériques à des informations sur le patient et les actes médicaux prodigués. Il ressort notamment des exemples cités par la délibération attaquée que le risque de réidentification est élevé, notamment lorsque les traitements prescrits sont rares et que le recours à des informations détenues par ailleurs par les sociétés, comme les données identifiant les professionnels de santé, ou le recours éventuel à des données tierces, notamment des données de géolocalisation, sont susceptibles d’accroître ce risque de réidentification. Enfin, la circonstance que les sociétés ne procèdent elles-mêmes à aucune inférence de données est sans incidence sur l’appréciation des possibilités d’identification des personnes physiques permises par ces données.
« 12. Il résulte de ce qui précède que la CNIL a procédé à une évaluation concrète du risque de réidentification des données et établi qu’il était possible de lever le pseudonymat de personnes concernées par des moyens raisonnables. Par suite, et sans qu’il y ait lieu, en l’absence de difficulté sérieuse sur l’interprétation des dispositions en cause, de saisir à titre préjudiciel la Cour de justice de l’Union européenne, les moyens tirés de ce que la CNIL aurait commis une erreur de droit et inexactement qualifié les faits de l’espèce en retenant que les données en cause, bien que pseudonymisées, n’étaient pas anonymisées doivent être écartés.»
Après analyse de nombreux autres moyens, le recours est donc rejeté.
Source :
Conseil d’État, 13 février 2026, SAS GERS, n° 498628, aux tables du recueil Lebon
