CNIL | SAN-2024-013 | 5 SEPTEMBRE 2024 | AFFAIRE CEGEDIM SANTÉ |
CEGEDIM SANTÉ SANCTIONNÉE POUR AVOIR COLLECTÉ AUTOMATIQUEMENT L’HISTORIQUE DES REMBOURSEMENTS DE SES PATIENTS-PANÉLISTES À LEUR INSU.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
FAITS ET PROCÉDURE
A. PRÉSENTATION DE LA SOCIÉTÉ CEGEDIM SANTÉ ET DE SON ÉCOSYSTÈME
La société par actions simplifiée Cegedim Santé, filiale du groupe Cegedim, est un éditeur de logiciels spécialisé dans la santé numérique, dont le produit phare est le logiciel de gestion « Crossway », destiné aux médecins. Ce logiciel de cabinet médical permet aux praticiens de gérer leur agenda, de constituer et de mettre à jour les dossiers de leurs patients, et d’éditer leurs prescriptions. Il est utilisé par un nombre considérable de médecins sur l’ensemble du territoire national.
Le groupe Cegedim comprend également la SAS GERS (Groupement pour l’élaboration et la réalisation de statistiques), spécialisée dans la production et la commercialisation d’études quantitatives et de données statistiques dans le domaine de la santé, auprès de clients publics et privés (laboratoires pharmaceutiques, organismes d’assurance maladie, agences sanitaires, etc.), ainsi que la SARL Santestat — filiale détenue à 100 % par GERS, désormais absorbée par cette dernière — qui développait et intégrait des modules de collecte de données au sein des logiciels de gestion des officines pharmaceutiques.
L’architecture du groupe révèle une chaîne intégrée de collecte, de traitement et de valorisation commerciale de données de santé : Cegedim Santé collecte les données issues des dossiers patients gérés par les médecins via le logiciel « Crossway » et les transmet à GERS ; Santestat collecte les données issues des officines pharmaceutiques via ses modules logiciels et les transmet également à GERS, qui exploite ces données agrégées pour produire et commercialiser des études statistiques.
Deux bases de données constituent le cœur de ce dispositif :
—-La base « Thin », alimentée par les données collectées auprès de médecins utilisant le logiciel « Crossway » et transmises par Cegedim Santé à GERS ;
—-La base « Gers Etudes Clients », alimentée par les données collectées auprès des officines pharmaceutiques via les modules développés par Santestat.
À la fin du mois de mars 2021, la société GERS disposait, dans la base « Thin », de données relatives à 13,4 millions de consultations associées à 4 millions de codes patients et, dans la base « Gers Etudes Clients », d’environ 78 millions d’identifiants de clients pour les 8 500 pharmacies dont elle recueillait les données.
B. LE TRAITEMENT SPÉCIFIQUE DE DONNÉES ISSUES DU TÉLÉSERVICE HRI
Au-delà de la base « Thin », la délibération SAN-2024-013 vise spécifiquement un traitement additionnel opéré par Cegedim Santé : la collecte systématique des données issues du téléservice HRi (Historique des Remboursements) par l’intermédiaire du logiciel « Crossway ».
Le téléservice HRi est un service de consultation électronique mis à disposition des médecins uniquement, leur permettant, à l’occasion des soins et avec l’accord du patient, de consulter les données issues des procédures de remboursement ou de prise en charge détenues par l’organisme gestionnaire dont relève chaque bénéficiaire de l’assurance maladie. Ce droit d’accès est strictement encadré par les articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale, ainsi que par l’article R. 1111-8-6 du code de la santé publique.
Or, le logiciel « Crossway » édité par Cegedim Santé est configuré de telle sorte que, lorsqu’un médecin consulte les données issues du téléservice HRi, le dossier informatisé du patient reçoit automatiquement ces données, sans que le médecin puisse décider de les consulter sans les télécharger. Ce mécanisme automatique de rapatriement des données HRi dans le logiciel permettait à Cegedim Santé d’accéder — et potentiellement de collecter et transmettre à GERS — des données auxquelles elle n’avait légalement aucun droit d’accès.
C. LA PROCÉDURE DE CONTRÔLE ET DE SANCTION
La CNIL a engagé des contrôles portant sur la mise en œuvre par les sociétés du groupe Cegedim des deux bases de données précitées. Ces vérifications ont conduit à l’ouverture de procédures de sanction distinctes et parallèles à l’encontre de chacune des entités concernées : GERS (délibération SAN-2024-010 du 28 août 2024, amende de 800 000 euros), GERS venant aux droits de Santestat (délibération SAN-2024-011 du 28 août 2024, amende de 200 000 euros), et Cegedim Santé (délibération SAN-2024-013 du 5 septembre 2024, amende de 800 000 euros).
Un rapporteur a été désigné et a notifié à Cegedim Santé un rapport de manquements, auquel la société a répondu en formulant ses observations écrites en défense. À l’issue de la procédure contradictoire, la formation restreinte de la CNIL a rendu la délibération SAN-2024-013 le 5 septembre 2024.
Cegedim Santé a exercé un recours en annulation devant le Conseil d’État (affaire n° 498749), conjointement aux recours formés par GERS (n° 498628) et GERS venant aux droits de Santestat (n° 498629). Par décision des 10ème et 9ème chambres réunies du 13 février 2026 (ECLI:FR:CECHR:2026:498628.20260213, mentionné aux tables du Recueil Lebon), le Conseil d’État a rejeté l’ensemble des requêtes, confirmant intégralement les délibérations de la CNIL.
MANQUEMENTS RETENUS PAR LA FORMATION RESTREINTE
La délibération SAN-2024-013 retient à l’encontre de Cegedim Santé deux manquements distincts, d’inégale nature mais cumulativement sanctionnés.
LA COLLECTE ET LA TRANSMISSION DE DONNÉES À CARACTÈRE PERSONNEL RELEVANT DES DONNÉES DE SANTÉ SANS AUTORISATION — ARTICLE 66 DE LA LOI DU 6 JANVIER 1978
1. LE TEXTE APPLICABLE
L’article 65 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose que :
« Les traitements contenant des données concernant la santé des personnes sont soumis, outre à celles du règlement (UE) 2016/679 du 27 avril 2016, aux dispositions de la présente section, à l’exception des catégories de traitements suivantes : / 1° Les traitements relevant du 1° de l’article 44 de la présente loi et des a et c à f du 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 (…) »
L’article 66 de la même loi dispose que :
« I.- Les traitements relevant de la présente section ne peuvent être mis en oeuvre qu’en considération de la finalité d’intérêt public qu’ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public. / II.- Des référentiels et règlements types (…) s’appliquant aux traitements relevant de la présente section sont établis par la Commission nationale de l’informatique et des libertés (…). / Les traitements conformes à ces référentiels peuvent être mis en oeuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l’informatique et des libertés une déclaration attestant de cette conformité (…). / III.- Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en oeuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés. La demande d’autorisation est présentée dans les formes prévues à l’article 33 (…) »
LE DÉBAT SUR LA PSEUDONYMISATION ET L’ANONYMISATION
Le premier enjeu juridique de la délibération — commun aux trois affaires du groupe Cegedim — réside dans la qualification des données contenues dans les bases « Thin » et « Gers Etudes Clients ». Les sociétés du groupe soutenaient que ces données, bien qu’issues de dossiers médicaux et d’ordonnances pharmaceutiques, auraient été anonymisées par le procédé de pseudonymisation appliqué à la source : les données collectées auprès des médecins ne mentionnaient qu’un code patient (et non le nom ou le numéro de sécurité sociale du patient), et celles collectées auprès des officines pharmaceutiques ne comportaient qu’un code client.
La formation restreinte a écarté cet argument. En effet, les données contenues dans les bases comportaient, au-delà du seul code patient ou client, des éléments particulièrement granulaires : l’âge, le sexe, la catégorie socio-professionnelle du patient, ainsi que des données de santé d’une extrême sensibilité telles que le dossier médical, les prescriptions, les arrêts de travail et les vaccinations pour les données médicales, et les médicaments achetés ainsi que l’identité du prescripteur pour les données pharmaceutiques. Surtout, les données recueillies comprennent la date et parfois l’heure exacte de la visite médicale ou de l’achat pharmaceutique, ainsi que des éléments directs ou indirects de localisation ou d’identification des professionnels de santé, notamment leurs identifiants ADELI et RPPS permettant de retrouver l’identité du praticien par simple recours à un moteur de recherche public. Un code région était collecté par Cegedim Santé jusqu’en 2022.
La CNIL a procédé à une évaluation concrète du risque de réidentification, démontrant que celui-ci était élevé et réalisable par des moyens raisonnables, notamment en utilisant un simple logiciel tableur et la nomenclature fournie par les sociétés elles-mêmes pour associer les codes alphanumériques aux informations patients. La formation restreinte a notamment relevé que le risque de réidentification s’accroît lorsque les traitements prescrits sont rares — un patient atteint d’une pathologie peu commune étant bien plus aisément individualisable — et que le recours à des données détenues par ailleurs par les sociétés, notamment les identifiants des professionnels de santé, renforce encore ce risque.
Le Conseil d’État, dans sa décision du 13 février 2026, a pleinement confirmé cette analyse en s’appuyant sur l’article 4, §1 du RGPD et sur l’arrêt CJUE, 7 mars 2024, OC c/ Commission (C-479/22), selon lequel :
« une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main d’œuvre »
Le Conseil d’État a en outre rejeté la demande de renvoi préjudiciel à la CJUE formulée par les requérantes, estimant qu’« en l’absence de difficulté sérieuse sur l’interprétation des dispositions en cause », un tel renvoi n’était pas justifié, dès lors que la CNIL avait procédé à « une évaluation concrète du risque de réidentification des données et établi qu’il était possible de lever le pseudonymat de personnes concernées par des moyens raisonnables ».
La qualification de données à caractère personnel, incluant des données de santé au sens de l’article 4, §15 du RGPD, étant ainsi établie, les traitements en cause étaient soumis au régime spécifique de l’article 66 de la loi du 6 janvier 1978.
3. L’ABSENCE D’AUTORISATION CNIL ET LE REFUS DE L’ARGUMENT TIRÉ DU MANQUE DE CLARTÉ DU DROIT
La formation restreinte a constaté que les données figurant dans les bases « Thin » et « Gers Etudes Clients » ont été collectées sans recueil du consentement des personnes concernées. Par conséquent, les traitements ne relevaient pas de l’exception prévue par l’article 65 de la loi (qui vise notamment le consentement explicite au titre de l’article 9, §2, a) du RGPD), mais bien du régime d’autorisation préalable prévu à l’article 66, III, dont les sociétés du groupe Cegedim ne bénéficiaient pas.
Cegedim Santé, à l’instar de GERS, a tenté de soulever un argument tiré du défaut de clarté du droit applicable à la date des vérifications effectuées par la CNIL, faisant valoir que l’articulation entre le RGPD et les dispositions spécifiques de la loi du 6 janvier 1978 relatives aux données de santé n’était pas suffisamment prévisible pour fonder une sanction. Cet argument a été rejeté avec fermeté par le Conseil d’État, qui a jugé qu’il « ne résulte pas des dispositions applicables que le droit en vigueur aurait manqué de clarté à la date des vérifications effectuées par la CNIL ».
LA VIOLATION DU PRINCIPE DE LICÉITÉ — ARTICLE 5, §1, A) DU RGPD ET COLLECTE ILLICITE DE DONNÉES HRI
Ce second manquement est propre à Cegedim Santé et ne concerne pas les autres entités du groupe. Il présente une dimension technique et fonctionnelle particulière liée à la conception même du logiciel « Crossway ».
1. LE CADRE TEXTUEL APPLICABLE
L’article 5, §1, a) du RGPD dispose que :
« Les données à caractère personnel doivent être : a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) »
La licéité du traitement est définie à l’article 6, §1 du RGPD, qui énumère les bases légales admissibles (consentement, exécution d’un contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêts légitimes prépondérants).
L’article L. 162-4-3 du code de la sécurité sociale dispose que les médecins peuvent, à l’occasion des soins et avec l’accord du patient, consulter les données issues des procédures de remboursement ou de prise en charge détenues par l’organisme d’assurance maladie. L’article R. 162-1-10 du même code et l’article R. 1111-8-6 du code de la santé publique précisent et encadrent ce droit de consultation, lequel est réservé aux seuls médecins, à l’exclusion de toute autre entité.
2. LE MÉCANISME DE COLLECTE ILLICITE PAR LE LOGICIEL « CROSSWAY »
La formation restreinte a établi le fait constitutif du manquement avec une précision chirurgicale : le dossier informatisé du patient dans le logiciel « Crossway » reçoit automatiquement les données issues du téléservice HRi dès lors que le médecin consulte ces données, sans que le médecin puisse décider de les consulter sans les télécharger. Ce mécanisme de collecte automatique est au cœur du manquement.
Le Conseil d’État, dans ses motifs du 13 février 2026, a synthétisé et validé ce raisonnement en des termes particulièrement explicites :
« Il résulte toutefois de ces dispositions du code de la sécurité sociale que seuls les médecins peuvent consulter les données issues des procédures de remboursement via le téléservice HRi. Il résulte cependant de l’instruction, sans que ce soit sérieusement contesté, que le dossier informatisé du patient dans le logiciel “Crossway” édité par la société Cegedim Santé reçoit automatiquement les données issues du téléservice HRi dès lors que le médecin consulte ces données, sans que le médecin puisse décider de les consulter sans les télécharger, de telle sorte que ce logiciel permet à la société Cegedim Santé de collecter toutes les données des patients issues du téléservice HRi que les médecins consultent. Dans ces conditions, la formation restreinte de la CNIL a pu retenir, sans erreur de droit ni erreur d’appréciation, que la collecte de données par la société requérante intervenait en méconnaissance des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique pour en déduire un manquement à l’article 5 du RGPD. »
La conséquence juridique en découle avec une logique implacable : aucune des bases légales de l’article 6 du RGPD ne saurait couvrir ce traitement. Cegedim Santé n’est pas médecin et ne preste pas de soins. Elle n’est pas soumise à une obligation légale de consulter les données de remboursement. Elle ne peut invoquer ni l’intérêt vital des patients, ni une mission d’intérêt public. Quant à l’intérêt légitime, il se heurte à l’obstacle dirimant que le droit d’accès au téléservice HRi est légalement réservé aux seuls médecins — ce qui exclut ipso facto que Cegedim Santé dispose d’un intérêt légitime à accéder à ces données. Le Conseil d’État a d’ailleurs relevé que « la société requérante n’apporte aucun élément de nature à établir que son traitement poursuivrait une mission d’intérêt public ou qu’une autre des conditions prévues à cet article serait remplie ».
Cegedim Santé a tenté de contester la motivation de la CNIL, lui reprochant de n’avoir pas expliqué expressément qu’aucune des conditions de licéité de l’article 6 du RGPD n’était remplie. Le Conseil d’État a écarté cet argument en considérant que la délibération n’était pas insuffisamment motivée, dès lors que la méconnaissance des textes du code de la sécurité sociale et du code de la santé publique suffisait à établir le défaut de licéité du traitement — le raisonnement sub-syllogistique s’imposant à l’évidence.
TABLEAU RÉCAPITULATIF DE LA JURISPRUDENCE ET DE LA RÉGLEMENTATION CITÉES
| Référence | Nature | Objet / Extrait pertinent | Localisation dans la délibération / la décision CE |
|---|---|---|---|
| RGPD, art. 4, §1 | Disposition règlementaire | Définition des données à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable » | CE, pt 6 |
| RGPD, art. 4, §15 | Disposition règlementaire | Définition des données de santé : données « relatives à la santé physique ou mentale d’une personne physique (…) qui révèlent des informations sur l’état de santé de cette personne » | CE, pt 7 |
| RGPD, art. 4, §5 et considérant 26 | Disposition règlementaire | Définition de la pseudonymisation et critère de l’anonymisation effective : le risque de réidentification doit être « insignifiant » et l’identification « irréalisable en pratique » | CE, pts 8-9 |
| RGPD, art. 5, §1, a) | Disposition règlementaire | Principe de licéité, loyauté et transparence du traitement | CE, pt 15 ; SAN-2024-013 |
| RGPD, art. 6, §1 | Disposition règlementaire | Conditions de licéité du traitement (liste exhaustive des bases légales) | CE, pt 15 |
| RGPD, art. 83, §1 et §2 | Disposition règlementaire | Critères de détermination du montant de l’amende administrative (effectivité, proportionnalité, caractère dissuasif) | CE, pt 21 |
| Loi n° 78-17 du 6 janv. 1978, art. 65 | Disposition législative nationale | Champ d’application du régime spécifique aux données de santé ; exception pour les traitements reposant sur le consentement | CE, pt 13 |
| Loi n° 78-17 du 6 janv. 1978, art. 66 | Disposition législative nationale | Régime d’autorisation préalable ou de conformité à référentiel pour les traitements de données de santé sans consentement | CE, pts 13-14 |
| Loi n° 78-17 du 6 janv. 1978, art. 20, IV | Disposition législative nationale | Pouvoirs de sanction de la formation restreinte de la CNIL, plafonds des amendes administratives | CE, pt 20 |
| Art. L. 162-4-3 CSS | Disposition législative nationale | Droit de consultation du téléservice HRi réservé aux seuls médecins, avec accord du patient | CE, pts 17-18 |
| Art. R. 162-1-10 CSS | Disposition règlementaire nationale | Modalités de la consultation électronique des données de remboursement par les médecins | CE, pts 17-18 |
| Art. R. 1111-8-6 CSP | Disposition règlementaire nationale | Cadre technique et juridique du téléservice HRi | CE, pt 18 |
| Décret n° 2019-536 du 29 mai 2019 | Décret d’application | Procédure devant la CNIL (délai d’observations, instruction) | CE (visa) ; CE, pt 3 |
| CJUE, 7 mars 2024, OC c/ Commission, C-479/22 | Arrêt préjudiciel | Critère de l’anonymisation effective par pseudonymisation : le risque de réidentification doit être « insignifiant » et l’identification « irréalisable en pratique » | CE, pt 9 |
PORTÉE
A. LA CONSÉCRATION DU CRITÈRE DE RÉIDENTIFICATION PAR « MOYENS RAISONNABLES »
La délibération SAN-2024-013 et les décisions connexes SAN-2024-010 et SAN-2024-011, dont la validité a été confirmée par le Conseil d’État, apportent une contribution de premier plan à la doctrine française et européenne sur la délimitation de la notion de donnée anonyme.
Le débat sur l’anonymisation effective des données de santé pseudonymisées n’est pas nouveau. Il oppose depuis plusieurs années les acteurs de la santé numérique, qui soutiennent que la substitution des identifiants directs (nom, numéro de sécurité sociale) par des codes alphanumériques suffit à rendre les données anonymes, et les autorités de protection des données, qui exigent une appréciation concrète et contextuelle du risque résiduel de réidentification.
La formation restreinte, dans les délibérations Cegedim/GERS, adopte la position la plus exigeante : elle démontre, par l’expérimentation et non par l’hypothèse, que le risque de réidentification des données contenues dans les bases litigieuses est élevé et réalisable par des moyens particulièrement ordinaires — « l’utilisation d’un logiciel tableur d’usage courant et la nomenclature communiquée par les sociétés afin d’associer les codes alphanumériques à des informations sur le patient et les actes médicaux prodigués ». Le Conseil d’État consacre et pérennise cette approche en la confirmant sans réserve, en s’appuyant sur la jurisprudence de la CJUE du 7 mars 2024 (C-479/22) qui exige que le risque soit « insignifiant » et l’identification « irréalisable en pratique » pour que la pseudonymisation emporte anonymisation.
Cette confirmation juridictionnelle est d’une portée considérable pour l’ensemble du secteur de la santé numérique et des données médico-économiques. Elle signifie qu’aucun acteur de la chaîne de valeur des données de santé ne peut se soustraire au régime protecteur du RGPD et de la loi Informatique et Libertés en invoquant une pseudonymisation partielle dès lors que les données pseudonymisées permettent, par croisement avec d’autres sources accessibles, d’individualiser des personnes physiques.
B. LA REMISE EN CAUSE D’UN MODÈLE D’AFFAIRES
L’affaire Cegedim/GERS met en lumière un modèle économique très répandu dans le secteur de la santé numérique : la valorisation commerciale des données de santé collectées en situation de soin, sous couvert de pseudonymisation, à des fins d’études statistiques et de data analytics. Ce modèle, qui génère des revenus substantiels pour ses opérateurs (les données de santé agrégées constituant un actif très prisé par les laboratoires pharmaceutiques, les assureurs, les organismes publics), est directement mis en cause par les délibérations du groupe Cegedim.
En affirmant que les traitements en cause constituent des traitements de données à caractère personnel de santé soumis à autorisation préalable, et non de simples traitements de données statistiques anonymes, la CNIL signifie que la commercialisation de telles données sans autorisation est illicite. Les opérateurs du secteur qui ont structuré leur modèle d’affaires sur des prémisses similaires sont donc directement exposés au risque d’une procédure de sanction.
C. LA QUESTION DE L’ABSORPTION ET DE LA CONTINUITÉ DE LA PROCÉDURE
L’affaire GERS/Santestat (SAN-2024-011) pose une question procédurale d’intérêt général relative à la continuité de la procédure de sanction en cas d’absorption de la société mise en cause par sa société-mère. La SARL Santestat ayant été dissoute et son patrimoine universellement transmis à la SAS GERS pendant la procédure, la CNIL a notifié à GERS la reprise de la procédure à son encontre.
Le Conseil d’État a validé la régularité de cette procédure en soulignant que GERS « ne pouvait ignorer la procédure ouverte contre sa filiale », dès lors qu’elle était « elle-même mise en cause dans une procédure parallèle pour des traitements similaires et étroitement liés » et que Santestat était « une filiale détenue à 100 % par la société GERS ». Cette solution, qui écarte toute possibilité d’extinction de la procédure par voie d’absorption et confirme la transmission universelle des obligations procédurales, devrait être pleinement intégrée par les opérateurs en situation de restructuration.
D. L’OBLIGATION DE CONCEPTION LOYALE DES LOGICIELS PROFESSIONNELS
Le manquement spécifique retenu à l’encontre de Cegedim Santé — la collecte automatique des données HRi sans possibilité pour le médecin de consulter sans télécharger — révèle une dimension nouvelle du contrôle exercé par la CNIL : le contrôle de la loyauté de la conception même des logiciels à usage professionnel.
En imposant techniquement aux médecins de télécharger les données HRi dès lors qu’ils les consultent, Cegedim Santé avait, en quelque sorte, capturé au profit de son propre système d’information des données auxquelles le droit ne lui conférait aucun accès. Ce mécanisme de collecte dissimulée au sein d’un logiciel de confiance utilisé dans le cadre de la relation de soin constitue une violation particulièrement grave du principe de loyauté du traitement consacré à l’article 5, §1, a) du RGPD. Il illustre la nécessité pour les éditeurs de logiciels utilisés dans des contextes sensibles de respecter scrupuleusement le principe de privacy by design et privacy by default (article 25 du RGPD), en s’interdisant toute collecte de données qui n’est pas strictement nécessaire à la fourniture du service attendu par l’utilisateur final.
Cette dimension technique s’inscrit dans la problématique plus large du contrôle des chaînes de sous-traitance et de co-responsabilité dans le secteur de la santé numérique : le médecin, responsable de traitement des données de ses patients, utilise un logiciel dont la conception même génère, à son insu ou sans qu’il puisse s’y opposer techniquement, une collecte de données au profit de l’éditeur. Ce dernier, en se comportant comme un responsable de traitement autonome accédant à des données sans base légale, viole simultanément les droits des patients concernés et les droits des médecins.
ANALYSE CRITIQUE
UNE DÉMONSTRATION RIGOUREUSE QUI CONFIRME LE DURCISSEMENT DOCTRINAL
La motivation de la CNIL et du Conseil d’État sur la qualification des données pseudonymisées comme données à caractère personnel est, sur le plan de la rigueur juridique, parfaitement fondée et juridiquement inattaquable. Elle applique avec une cohérence irréprochable la grille d’analyse imposée par le considérant 26 du RGPD — qui exige de « prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés » pour apprécier le risque de réidentification — et l’interprète conformément à la jurisprudence la plus récente de la CJUE (C-479/22 du 7 mars 2024).
On relèvera néanmoins que la démonstration du risque de réidentification s’appuie, en l’espèce, sur des tests réalisés par la CNIL en interne, dont les conditions précises et la reproductibilité ne sont pas intégralement détaillées dans les délibérations publiques. Si la validité de la démonstration n’est pas contestable au fond — le Conseil d’État ayant estimé que les sociétés requérantes n’avaient pas « sérieusement contesté » les constatations de la CNIL —, une transparence accrue sur la méthodologie des tests de réidentification renforcerait la valeur pédagogique et la portée normative de la décision.
UNE SANCTION BIEN FONDÉE MAIS QUI APPELLE DES CLARIFICATIONS NORMATIVES
La sanction au titre de l’article 66 de la loi du 6 janvier 1978 est juridiquement fondée. Cependant, la décision ouvre une question normative d’importance : quelles sont exactement les conditions dans lesquelles un acteur du secteur de la santé numérique peut exploiter des données pseudonymisées issues de la relation de soin à des fins commerciales légitimes ?
La CNIL dispose d’un pouvoir normatif lui permettant d’établir des référentiels et règlements types au titre de l’article 66, II. Or, le cadre référentiel applicable aux traitements de données de santé à des fins de recherche, d’études et d’évaluation présente des lacunes ou des difficultés d’interprétation qui ont pu entretenir une certaine incertitude chez les opérateurs. Les délibérations Cegedim/GERS constituent, de ce point de vue, une occasion manquée de clarification normative : la CNIL aurait pu assortir sa sanction d’une injonction de mise en conformité définissant précisément les conditions dans lesquelles un traitement tel que celui opéré par GERS pourrait être régularisé.
UNE QUALIFICATION PERTINENTE MAIS UNE MOTIVATION LACONIQUE
La qualification du manquement à l’article 5, §1, a) du RGPD du fait de la collecte automatique des données HRi est parfaitement pertinente, en ce qu’elle identifie avec précision le caractère illicite du traitement : Cegedim Santé, en configurant son logiciel de manière à collecter systématiquement des données auxquelles seuls les médecins sont légalement autorisés à accéder, opère un traitement dépourvu de toute base légale.
Toutefois, le Conseil d’État lui-même a relevé que « la délibération attaquée ne précise pas qu’aucune des conditions de licéité prévues à l’article 6 du RGPD n’était remplie ». Si le Conseil d’État a jugé que cette lacune motivationnelle n’entachait pas la légalité de la décision — au motif que Cegedim Santé « n’apporte aucun élément de nature à établir que son traitement poursuivrait une mission d’intérêt public ou qu’une autre des conditions prévues à cet article serait remplie » —, il n’en demeure pas moins qu’une motivation expresse et développée sur l’absence de base légale applicable aurait renforcé la solidité et la valeur normative de la délibération. La formation restreinte aurait utilement pu démontrer, pour chacune des bases légales de l’article 6, pourquoi elles ne pouvaient couvrir le traitement en cause, au-delà du seul constat de l’illicéité tirée de la violation des dispositions du code de la sécurité sociale et du code de la santé publique.
UNE AMENDE PROPORTIONNÉE, CONFIRMÉE ET RENDUE PUBLIQUE
La formation restreinte a prononcé une amende administrative de 800 000 euros à l’encontre de Cegedim Santé, assortie d’une mesure de publicité nominative pendant deux ans. Cette décision de rendre la délibération publique avec identification nominale de la société pendant deux ans constitue en elle-même une sanction particulièrement significative dans le contexte économique du secteur de la santé numérique, où la réputation de sérieux et de fiabilité dans la gestion des données est un actif déterminant.
Le Conseil d’État a confirmé la proportionnalité de la sanction au regard des critères de l’article 83, §2 du RGPD, notamment :
—-la nature, la gravité et la durée de la violation : traitement de données de santé particulièrement sensibles sur des millions de patients, sur une durée prolongée ;
—-le nombre de personnes concernées : 13,4 millions de consultations associées à 4 millions de codes patients dans la seule base « Thin » ;
—-les catégories de données concernées : données de santé, données de remboursement, pathologies, médicaments, arrêts de travail.
Le Conseil d’État a validé les amendes prononcées à l’encontre des trois entités du groupe en soulignant que les critères de l’article 83 avaient été dûment pris en compte, et ce sans réformation du quantum.
ANTÉCÉDENTS ET PROLONGEMENTS
A. LA JURISPRUDENCE ANTÉRIEURE DE LA CNIL EN MATIÈRE DE DONNÉES DE SANTÉ ET DE PSEUDONYMISATION
L’affaire Cegedim/GERS ne surgit pas dans un vide jurisprudentiel. La CNIL s’est à plusieurs reprises prononcée sur les conditions dans lesquelles des données de santé peuvent être traitées à des fins statistiques ou commerciales.
La délibération SAN-2019-001 du 21 janvier 2019 portant sanction de la société SERGIC (amende de 400 000 euros) avait déjà rappelé que la collecte de données sans base légale suffisante constitue une violation de l’article 5 du RGPD. La délibération SAN-2020-013 relative à la société Doctissimo avait quant à elle mis en évidence les risques liés à la collecte de données de santé par des acteurs ne disposant pas des autorisations requises. Plus généralement, la CNIL a adopté une ligne jurisprudentielle constante selon laquelle les données de santé bénéficient d’un niveau de protection renforcé qui ne saurait être contourné par des techniques de pseudonymisation insuffisantes.
La délibération SAN-2024-013, en s’inscrivant dans cette trajectoire, marque cependant un durcissement notable : elle sanctionne simultanément le traitement collectif et industriel de données de santé pseudonymisées à des fins de valorisation commerciale (manquement à l’article 66) et la collecte déloyale de données par une conception techniquement captative du logiciel (manquement à l’article 5). Cette double qualification constitue une première dans la jurisprudence sanction de la CNIL, qui témoigne d’une approche systémique et multi-dimensionnelle du contrôle des données de santé.
UNE VALIDATION JURISPRUDENTIELLE MAJEURE
La décision des 10ème et 9ème chambres réunies du Conseil d’État du 13 février 2026 (n° 498628, 498629, 498749) représente un jalon décisif dans le droit de la protection des données en France. En rejetant sans réformation les trois requêtes du groupe Cegedim, le Conseil d’État :
1. Consacre la compétence de la CNIL pour sanctionner les acteurs de la santé numérique qui traitent des données de santé pseudonymisées sans autorisation, confirmant l’interprétation stricte du régime de l’article 66 de la loi de 1978 ;
2. Adopte et intègre dans le droit positif français le critère de réidentification « par moyens raisonnables » tel que dégagé par la CJUE dans l’arrêt OC c/ Commission du 7 mars 2024 (C-479/22) ;
3. Valide le contrôle de la conception même des logiciels professionnels au titre du principe de loyauté du traitement, en confirmant que la configuration d’un logiciel permettant une collecte automatique et non contrôlable de données médicales réservées constitue un manquement à l’article 5 du RGPD ;
4. Écarte définitivement l’argument tiré du manque de clarté du droit, consolidant ainsi la sécurité juridique autour des obligations des responsables de traitement opérant dans le secteur de la santé numérique.
La mention de la décision « aux tables du Recueil Lebon » lui confère une autorité particulière, lui reconnaissant explicitement une valeur de précédent jurisprudentiel de référence.
C. L’AFFAIRE IQVIA | DONNÉES DE SANTÉ, ENTREPÔTS AUTORISÉS ET DÉFAILLANCES STRUCTURELLES (SAN-2026-008 DU 26 MAI 2026)
La délibération SAN-2026-008 du 26 mai 2026, par laquelle la CNIL prononce à l’encontre de IQVIA OPERATIONS FRANCE une amende administrative de cinq millions d’euros s’inscrit dans la continuité de CEGEDIM SANTÉ (SAN-2024-013, 800 000 euros) et de DEDALUS (SAN-2022-009, 1,5 million d’euros) tout en les amplifiant considérablement, et en envoyant un signal normatif majeur : dans l’économie de la donnée de santé, l’autorisation réglementaire est un cadre de conformité continue et non un sésame définitif.
Cette décision IQVIA marque l’ensemble de l’industrie de la health data : elle établit que la détention d’une autorisation CNIL pour constituer un entrepôt de données de santé n’emporte ni validation implicite des pratiques non commentées par les services instructeurs, ni autorisation de réaliser des études à partir de cet entrepôt, ni dispense du respect scrupuleux de l’intégralité des conditions imposées — étant rappelé:
—-qu’IQVIA a été « le premier acteur privé à être autorisé par la CNIL à mettre en uvre un entrepôt de données de santé en considération de la finalité d’intérêt public présentée »
—-qu’elle « aurait dû, à ce titre, se montrer d’autant plus irréprochable quant au respect des termes de l’autorisation délivrée » ;
—-que la pseudonymisation des données — dont la qualification au regard de l’arrêt CJUE du 4 septembre 2025 dit « arrêt SRB » avait été âprement débattue — constitue un facteur atténuant dans la fixation du quantum mais ne saurait opérer comme écran à l’application du RGPD, la formation restreinte ayant retenu, conformément au considérant 26 du Règlement,
—-que « le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour que les données traitées par la société soient considérées comme anonymes, compte tenu de l’existence d’un identifiant unique, de la profondeur des données collectées et de la possibilité d’identifier des personnes en combinant les données détenues par la société IQVIA avec des données publiquement accessibles » ;
—-que le manquement à l’article 14 du RGPD — constaté à l’issue de contrôles auprès de quatre officines parisiennes dont aucune ne délivrait aux patients la notice d’information individuelle élaborée par la société — est imputable à la seule société IQVIA en sa qualité de responsable de traitement, nonobstant les clauses contractuelles imposant aux pharmaciens de procéder à cette information,
—-la formation restreinte ayant rappelé avec force que « c’est bien à la société IQVIA que cette obligation d’information incombe, en raison de sa qualité de responsable du traitement et en application des dispositions de l’article 14 du RGPD, et c’est donc sur elle que pèse le risque d’une sanction en cas de non-respect de cette obligation » tout en soulignant que « les personnes concernées ne prennent pas l’initiative de transmettre leurs données à la société IQVIA » et que « le contexte de la collecte — maladie, urgence, stress — est susceptible de réduire leur vigilance en matière de protection des données »
—-que le manquement à l’article 25 du RGPD résulte du fait que les modules d’extraction intégrés aux logiciels de gestion d’officine, « développés en son nom et pour son compte par les éditeurs de LGO », continuaient à transmettre systématiquement au premier tiers de confiance les données des patients « même dans l’hypothèse où le pharmacien a choisi de ne pas transmettre les données de ses patients » — ce qui est « le cas d’environ 4 000 officines sur les 14 000 ayant contracté avec la société IQVIA » — la formation restreinte consacrant ainsi une conception extensive du privacy by design selon laquelle le responsable de traitement ne peut se défausser sur le développeur tiers et demeure responsable de la conformité des outils conçus pour son compte ;
VERS UNE RÉGULATION ACCRUE DES DONNÉES MÉDICO-ÉCONOMIQUES
Les décisions du groupe Cegedim ouvrent plusieurs chantiers réglementaires et jurisprudentiels prévisibles.
D’une part, elles invitent la CNIL à préciser et compléter son cadre normatif relatif aux traitements de données de santé à des fins d’études et de recherche commerciale, afin de tracer clairement la frontière entre les traitements légitimement autorisables et ceux qui ne peuvent l’être. La publication de référentiels sectoriels actualisés s’impose d’urgence.
D’autre part, elles soulèvent la question de la régulation des logiciels de santé en tant qu’instruments de collecte de données. La qualification de Cegedim Santé comme responsable de traitement autonome — et non comme simple sous-traitant technique des médecins utilisateurs de « Crossway » — invite à repenser la chaîne de responsabilité dans l’écosystème des logiciels médicaux, à la lumière des dispositions combinées du RGPD, du règlement sur les données de santé (proposition de règlement EHDS) et des obligations déontologiques des professionnels de santé.
Enfin, les décisions du groupe Cegedim s’inscrivent dans un mouvement européen plus large d’encadrement des usages secondaires des données de santé, illustré notamment par le règlement (UE) 2022/868 sur la gouvernance des données (Data Governance Act) et la proposition de règlement relatif à l’Espace européen des données de santé (EHDS), dont les dispositions relatives à l’accès aux données de santé à des fins de recherche et d’innovation devraient, à terme, offrir un cadre légal sécurisé pour des traitements tels que ceux opérés par GERS — pour autant qu’ils satisfassent aux conditions strictes posées par ces textes.
DISPOSITIF DE LA DÉLIBÉRATION SAN-2024-013 DU 5 SEPTEMBRE 2024
La formation restreinte de la CNIL a, par la délibération n° SAN-2024-013 du 5 septembre 2024 :
1. Prononcé à l’encontre de la SAS Cegedim Santé une amende administrative de 800 000 euros (huit cent mille euros) ;
2. Décidé de rendre publique la présente délibération sur le site internet de la Commission nationale de l’informatique et des libertés, et que cette délibération ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.
Voir aussi développements sur l’affaire IQVIA FRANCE | SAN-2026-008 (https://www.fytt.me/san-2026-008-essentiels)
POINTS ESSENTIELS
Par délibération n° SAN-2024-013 du 5 septembre 2024, confirmée en tous points par le Conseil d’État dans sa décision des 10ème et 9ème chambres réunies du 13 février 2026 (n° 498749, ECLI:FR:CECHR:2026:498628.20260213, mentionné aux tables du Recueil Lebon), la formation restreinte de la CNIL a prononcé à l’encontre de la SAS Cegedim Santé une amende administrative de 800 000 euros assortie d’une mesure de publicité nominative pendant deux ans, pour deux manquements distincts et cumulatifs : d’une part, un manquement à l’article 66 de la loi n° 78-17 du 6 janvier 1978 modifiée, pour avoir collecté et transmis à la société GERS — via le logiciel de gestion médicale « Crossway » — des données de santé relatives à 13,4 millions de consultations associées à 4 millions de codes patients sans avoir obtenu l’autorisation préalable de la CNIL ni recueilli le consentement des personnes concernées
La formation restreinte a établi, par une évaluation concrète du risque de réidentification réalisable « à partir d’un logiciel tableur d’usage courant », que ces données pseudonymisées demeuraient des données à caractère personnel au sens de l’article 4, §1 du RGPD, dès lors que le risque d’identification — apprécié à l’aune de l’arrêt CJUE, 7 mars 2024, OC c/ Commission (C-479/22) exigeant qu’il soit « insignifiant » et l’identification « irréalisable en pratique » pour emporter anonymisation — n’était nullement insignifiant au regard de la granularité des données collectées (date et heure exactes de consultation, pathologies, prescriptions, identifiants ADELI et RPPS des praticiens, code région), les données collectées sans consentement ne relevant ainsi pas de l’exception de l’article 65 de la loi mais du régime d’autorisation préalable de son article 66, III dont Cegedim Santé était dépourvue ; d’autre part, un manquement propre et autonome à l’article 5, §1, a) du RGPD pour avoir configuré le logiciel « Crossway » de telle façon que la consultation par le médecin des données issues du téléservice HRi (Historique des Remboursements) entraînait automatiquement et irrémédiablement leur téléchargement dans le dossier informatisé du patient hébergé dans le système d’information de l’éditeur, sans que le praticien puisse consulter ces données sans les transférer à Cegedim Santé, ce qui permettait à cette dernière d’aspirer systématiquement des données de remboursement auxquelles seuls les médecins sont légalement autorisés à accéder en vertu des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique
Le Conseil d’État a confirmé « sans erreur de droit ni erreur d’appréciation » que cette collecte intervenait en méconnaissance de ces dispositions et emportait violation du principe de licéité, aucune des bases légales de l’article 6 du RGPD — pas même la mission d’intérêt public, dont Cegedim Santé « n’apporte aucun élément de nature à établir » qu’elle en relèverait — ne pouvant légitimer un traitement structurellement fondé sur l’accaparement technique de données médicales confiées à un praticien
L’affaire, qui s’inscrit dans un triptyque de sanctions simultanément prononcées à l’encontre des trois entités du groupe Cegedim (GERS : 800 000 euros, SAN-2024-010 ; GERS/Santestat : 200 000 euros, SAN-2024-011), illustre avec une acuité particulière les risques juridiques et financiers attachés à la monétisation des données de santé pseudonymisées issues de la relation de soin, consolide la doctrine de la réidentification « par moyens raisonnables » désormais ancrée dans le droit positif français par la décision du Conseil d’État, et consacre l’obligation pour les éditeurs de logiciels de santé de respecter les principes de privacy by design et de loyauté dans la conception même de leurs produits, sous peine d’exposer leurs utilisateurs professionnels — et eux-mêmes — à des sanctions d’une ampleur considérable.
Cette affaire a vu son premier prolongement en 2026 avec l’affaire IQVIA FRANCE (délibération SAN-2026-008 du 26 mai 2026) aux termes de laquelle la CNIL a sanctionné ce leader mondial de la donnée de santé d’une amende de 5 millions d’euros (voir publication et développements sur l’affaire IQVIA)
31.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats