RGPD - DONNEES DE SANTE : LA PSEUDONYMISATION N'ECARTE PAS L' APPLICATION DU RGPD

  • 20/02/2026
RGPD - DONNEES DE SANTE : LA PSEUDONYMISATION N'ECARTE PAS L' APPLICATION DU RGPD

Le Conseil d’État confirme les amendes CNIL infligées à GERS, Cegedim Santé et Santestat

Le Conseil d’État vient de rejeter le recours de GERS, Cegedim Santé et Santestat concernant les amendes prononcées par la CNIL pour traitement massif de données de santé.

Concrètement, que s’est-il passé ?

  • La société GERS exploite deux bases de données majeures :
    - « Thin » : alimentée par des données issues du logiciel médical Crossway (Cegedim Santé), utilisé par les médecins pour gérer dossiers, agendas et prescriptions.
    - « Gers Études Clients » : alimentée par les données collectées auprès des pharmacies via les logiciels gérés par Santestat.
  • L’objectif de GERS : réaliser des études statistiques sur la santé et les commercialiser auprès de clients publics et privés.
  • Les volumes : 13,4 millions de consultations pour 4 millions de codes patients, et 78 millions d’identifiants clients pour 8 500 pharmacies.

Le point clé du contentieux : la pseudonymisation

Les sociétés ont soutenu que « les données en cause ne seraient pas des données personnelles au sens du RGPD dans la mesure où elles font l'objet d'une pseudonymisation, les données collectées auprès des médecins ne mentionnant qu'un code patient et celles collectées auprès des officines pharmaceutiques qu'un code client ».

Mais la CNIL et le Conseil d’État ont confirmé :

  • Les données contiennent âge, sexe, catégorie socio-professionnelle, pathologies, prescriptions, médicaments achetés, et même horaires précis et identifiants des professionnels de santé.
  • Avec ces informations, il est possible de retracer des parcours de soins et identifier les patients ou les prescripteurs avec peu d’efforts, par exemple via un tableur et la nomenclature fournie.

Le message pour les acteurs de la santé:
La pseudonymisation ne suffit pas si l’identification reste possible en pratique. Selon le RGPD et la CJUE (arrêt OC c/ Commission, 7 mars 2024) : Une donnée n’est considérée anonymisée que si le risque d’identification est insignifiant et irréalisable dans la pratique.

En résumé : Collecter, croiser et revendre des données de santé, même pseudonymisées, reste sous le coup du RGPD si l’identification des personnes est réalisable. La conformité ne se limite pas à masquer des noms : il faut évaluer le risque réel d’identification.

Télécharger le document