CNIL | SAN-2024-013 | 5 septembre 2024 | Affaire CEGEDIM SANTÉ | SAN-2024-013-ESSENTIELS

1. Un entrepôt de données de santé pseudonymisées constitué sans autorisation

CEGEDIM SANTÉ, éditrice du logiciel médical CROSSWAY, avait mis en place un « observatoire » épidémiologique en proposant à un panel de médecins utilisateurs de remonter automatiquement les données de leurs dossiers patients vers ses propres serveurs, à des fins de production d’études statistiques commercialisées. Ces données — très riches en informations médicales et administratives — étaient associées à un identifiant unique par patient et par cabinet, permettant un suivi longitudinal continu du parcours de soins. La formation restreinte a retenu que CEGEDIM SANTÉ se constituait ainsi un entrepôt de données de santé pseudonymisées, soumis au régime d’autorisation préalable de l’article 66 de la loi Informatique et Libertés. La société n’ayant formulé aucune demande d’autorisation ni adressé de déclaration de conformité à un référentiel CNIL, et n’ayant mis en œuvre aucun mécanisme de recueil du consentement explicite des patients, le manquement a été retenu. La formation restreinte a souligné que d’autres acteurs opérant des traitements similaires sur le même marché avaient sollicité et obtenu les autorisations requises — autorisations publiquement accessibles —, ce qui rendait inopérante toute invocation de bonne foi ou d’insécurité juridique de la part d’un opérateur spécialisé dans le domaine de la santé.

2. La frontière pseudonymisation/anonymisation : une évaluation in concreto du risque de réidentification

La question centrale de l’affaire portait sur la qualification des données du flux CROSSWAY : la société soutenait qu’elles étaient anonymes, le rapporteur et la formation restreinte qu’elles étaient pseudonymisées, donc soumises au RGPD. La formation restreinte a opéré une évaluation in concreto du risque de réidentification, mobilisant le cadre du considérant 26 du RGPD, l’Avis 05/2014 du G29 sur les techniques d’anonymisation (risques d’individualisation, de corrélation et d’inférence) et la jurisprudence récente de la CJUE — notamment les arrêts OC c/ Commission et IAB Europe du 7 mars 2024. Le rapporteur avait démontré de façon probante, à partir d’un extrait seulement du jeu de données transmis par la société en cours de procédure, qu’il était possible de reconstituer avec précision le parcours de soins d’un enfant de douze ans atteint d’une ALD, en utilisant uniquement un tableur Excel et la nomenclature fournie par CEGEDIM SANTÉ, sans aucune source tierce. La formation restreinte a relevé que l’expertise externe produite par la société elle-même concluait à un k-anonymat égal à 1 — c’est-à-dire à la possibilité d’isoler un individu dans la base —, caracterisant déjà le premier des trois risques identifiés par le G29. Elle a précisé que le niveau de sécurité technique du système est sans incidence sur la qualification juridique des données traitées.

3. La qualification de responsable du traitement : rejet de la thèse du sous-traitant

CEGEDIM SANTÉ se présentait comme simple sous-traitant des médecins et de ses clients (GERS), invoquant notamment un courrier de clôture de contrôle de la CNIL de 2014 adressé à sa filiale CEGEDIM LOGICIELS MÉDICAUX FRANCE. La formation restreinte a rejeté cette thèse en relevant que la société déterminait elle-même les finalités et les moyens du traitement : elle définissait les critères de sélection des médecins panlistes, encadrait contractuellement les modalités de collecte et de transmission des données, et limitait par contrat l’usage autorisé des données par ses clients. Elle a également constaté que, dans l’analyse d’impact conduite par la société, CEGEDIM SANTÉ s’était elle-même désignée comme responsable du traitement de l’observatoire. Concernant le courrier de 2014, la formation restreinte a jugé qu’elle n’en était pas liée, en raison de l’évolution considérable du cadre légal depuis lors — notamment l’entrée en vigueur du RGPD et la consécration du principe d’accountability — et de la différence de sens entre la notion d’« anonymat » utilisée en 2014 (absence de données directement identifiantes) et la définition actuelle (impossibilité de réidentification par des moyens raisonnables). Elle a rappelé que le principe de responsabilité impose à tout responsable de traitement de réévaluer régulièrement ses pratiques au regard de l’état du droit.

4. La collecte illicite des données du télé-service HRi : un manquement au principe de licéité

Le second manquement sanctionné concerne la collecte, par l’intermédiaire de l’extracteur CROSSWAY, des données issues du télé-service HRi (Historique des Remboursements de l’assurance maladie). Ce service, strictement réservé aux médecins dans le cadre de la délivrance de soins en application des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale, permettait aux praticiens de consulter l’historique des remboursements de leurs patients sur les douze derniers mois. L’architecture du logiciel CROSSWAY était telle que la simple consultation de ces données par le médecin entraînait automatiquement leur téléchargement dans le dossier informatisé du patient — sans qu’aucune étape intermédiaire ne permette de consulter sans télécharger —, puis leur aspiration par l’extracteur vers les serveurs de CEGEDIM SANTÉ. La formation restreinte a retenu que cette modalité constituait une collecte en méconnaissance de l’article 5(1)(a) du RGPD, les textes du code de la sécurité sociale ne prévoyant pas pour un acteur privé la possibilité de capter automatiquement ces données à des fins commerciales via la seule consultation par le médecin. Le Conseil d’État a confirmé ce raisonnement dans son arrêt du 13 février 2026, soulignant que la société ne pouvait invoquer aucune des conditions de licéité de l’article 6 du RGPD pour justifier ce traitement.

5. La confirmation du Conseil d’État : un standard d’appréciation exigeant pour la qualification d’anonymat

Par sa décision du 13 février 2026 (n° 498749, 10e-9e chambres réunies, mentionné aux tables du recueil Lebon), le Conseil d’État a rejeté les recours en annulation formés par CEGEDIM SANTÉ et par les sociétés du groupe GERS contre les délibérations SAN-2024-013, SAN-2024-010 et SAN-2024-011. Sur la qualification des données, le Conseil d’État a posé un standard d’exigence élevé en retenant, à la lumière des dispositions du RGPD telles qu’interprétées par la CJUE dans l’arrêt OC c/ Commission du 7 mars 2024, qu’une donnée ne peut être considérée comme anonymisée que si le risque d’identification est « insignifiant », l’identification devant être « irréalisable en pratique » car impliquant un « effort démesuré en termes de temps, de coût et de main-d’œuvre ». Il a validé l’évaluation concrète effectuée par la CNIL, établissant qu’une reconstitution de parcours de soins avait pu être réalisée avec des moyens élémentaires. Il a écarté la demande de renvoi préjudiciel à la CJUE en l’absence de difficulté sérieuse d’interprétation. Cette décision s’inscrit dans un ensemble jurisprudentiel cohérent, le Conseil d’État confirmant simultanément les délibérations prononcées contre les sociétés GERS et Santestat pour des faits de même nature portant sur la base de données « Gers Études clients » alimentée par les données de pharmacies.

Voir aussi développements sur l’affaire IQVIA FRANCE | SAN-2026-008 (https://www.fytt.me/san-2026-008-essentiels)

POINTS ESSENTIELS

Par délibération n° SAN-2024-013 du 5 septembre 2024, confirmée en tous points par le Conseil d’État dans sa décision des 10ème et 9ème chambres réunies du 13 février 2026 (n° 498749, ECLI:FR:CECHR:2026:498628.20260213, mentionné aux tables du Recueil Lebon), la formation restreinte de la CNIL a prononcé à l’encontre de la SAS Cegedim Santé une amende administrative de 800 000 euros assortie d’une mesure de publicité nominative pendant deux ans, pour deux manquements distincts et cumulatifs : d’une part, un manquement à l’article 66 de la loi n° 78-17 du 6 janvier 1978 modifiée, pour avoir collecté et transmis à la société GERS — via le logiciel de gestion médicale « Crossway » — des données de santé relatives à 13,4 millions de consultations associées à 4 millions de codes patients sans avoir obtenu l’autorisation préalable de la CNIL ni recueilli le consentement des personnes concernées

La formation restreinte a établi, par une évaluation concrète du risque de réidentification réalisable « à partir d’un logiciel tableur d’usage courant », que ces données pseudonymisées demeuraient des données à caractère personnel au sens de l’article 4, §1 du RGPD, dès lors que le risque d’identification — apprécié à l’aune de l’arrêt CJUE, 7 mars 2024, OC c/ Commission (C-479/22) exigeant qu’il soit « insignifiant » et l’identification « irréalisable en pratique » pour emporter anonymisation — n’était nullement insignifiant au regard de la granularité des données collectées (date et heure exactes de consultation, pathologies, prescriptions, identifiants ADELI et RPPS des praticiens, code région), les données collectées sans consentement ne relevant ainsi pas de l’exception de l’article 65 de la loi mais du régime d’autorisation préalable de son article 66, III dont Cegedim Santé était dépourvue ; d’autre part, un manquement propre et autonome à l’article 5, §1, a) du RGPD pour avoir configuré le logiciel « Crossway » de telle façon que la consultation par le médecin des données issues du téléservice HRi (Historique des Remboursements) entraînait automatiquement et irrémédiablement leur téléchargement dans le dossier informatisé du patient hébergé dans le système d’information de l’éditeur, sans que le praticien puisse consulter ces données sans les transférer à Cegedim Santé, ce qui permettait à cette dernière d’aspirer systématiquement des données de remboursement auxquelles seuls les médecins sont légalement autorisés à accéder en vertu des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique

Le Conseil d’État a confirmé « sans erreur de droit ni erreur d’appréciation » que cette collecte intervenait en méconnaissance de ces dispositions et emportait violation du principe de licéité, aucune des bases légales de l’article 6 du RGPD — pas même la mission d’intérêt public, dont Cegedim Santé « n’apporte aucun élément de nature à établir » qu’elle en relèverait — ne pouvant légitimer un traitement structurellement fondé sur l’accaparement technique de données médicales confiées à un praticien

L’affaire, qui s’inscrit dans un triptyque de sanctions simultanément prononcées à l’encontre des trois entités du groupe Cegedim (GERS : 800 000 euros, SAN-2024-010 ; GERS/Santestat : 200 000 euros, SAN-2024-011), illustre avec une acuité particulière les risques juridiques et financiers attachés à la monétisation des données de santé pseudonymisées issues de la relation de soin, consolide la doctrine de la réidentification « par moyens raisonnables » désormais ancrée dans le droit positif français par la décision du Conseil d’État, et consacre l’obligation pour les éditeurs de logiciels de santé de respecter les principes de privacy by design et de loyauté dans la conception même de leurs produits, sous peine d’exposer leurs utilisateurs professionnels — et eux-mêmes — à des sanctions d’une ampleur considérable.

Cette affaire a vu son premier prolongement en 2026 avec l’affaire IQVIA FRANCE (délibération SAN-2026-008 du 26 mai 2026) aux termes de laquelle la CNIL a sanctionné ce leader mondial de la donnée de santé d’une amende de 5 millions d’euros ( add. développements Affaire IQVIA)