CNIL | SAN-2024-013 | 5 septembre 2024 | Affaire CEGEDIM SANTÉ | FAQ

---

1. COMMENT DISTINGUER CONCRÈTEMENT DONNÉES PSEUDONYMISÉES ET DONNÉES ANONYMES ?

 

La distinction est fondamentale : seules les données véritablement anonymes échappent au champ d’application du RGPD et de la loi du 6 janvier 1978. Les données pseudonymisées, elles, demeurent des données à caractère personnel et sont soumises à l’intégralité du cadre réglementaire.

Le RGPD (article 4, §5) définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires ». À l’inverse, l’anonymisation suppose que la réidentification soit impossible en pratique — le risque devant être insignifiant et l’identification irréalisable faute d’entraîner un effort démesuré (CJUE, 7 mars 2024, OC c/ Commission, C-479/22).

En pratique, la distinction s’évalue à l’aune des trois critères du G29 (Avis 05/2014) : l’individualisation (possibilité d’isoler un individu dans le jeu de données), la corrélation (possibilité de relier entre eux des enregistrements concernant une même personne) et l’inférence (possibilité de déduire des attributs à partir d’autres attributs). Si le jeu de données ne résiste pas à l’un de ces trois tests, il convient ensuite d’évaluer in concreto si la réidentification est possible par des moyens raisonnables — c’est-à-dire sans effort démesuré en termes de temps, de coût et de main-d’œuvre, et en tenant compte des technologies disponibles.

L’affaire Cegedim Santé illustre que l’attribution d’un identifiant unique à chaque patient est, en elle-même, constitutive d’une pseudonymisation et non d’une anonymisation, dès lors que cet identifiant permet de suivre longitudinalement le parcours médical d’un même individu auprès d’un même praticien.

---

2. MON ORGANISATION TRAITE DES DONNÉES DE SANTÉ ISSUES DE LOGICIELS MÉDICAUX OU PHARMACEUTIQUES. QUELLES SONT LES AUTORISATIONS REQUISES ?

 

Tout traitement de données de santé qui n’est pas fondé sur le consentement des personnes concernées requiert, en droit français, une autorisation préalable de la CNIL au titre de l’article 66 de la loi n° 78-17 du 6 janvier 1978, sauf à relever d’un référentiel CNIL existant.

L’article 66-I précise que « les traitements relevant de la présente section ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent » et que « les traitements mentionnés au I qui ne sont pas conformes à un référentiel ne peuvent être mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés ».

La démarche de conformité implique :

—-Identifier si le traitement envisagé relève d’un référentiel CNIL existant (référentiel entrepôt de données de santé, référentiel recherche médicale, etc.) ;
—-Si aucun référentiel n’est applicable, déposer une demande d’autorisation préalable auprès de la CNIL avant toute mise en œuvre du traitement ;
—-Veiller à ce que les finalités réelles du traitement correspondent strictement aux finalités déclarées dans l’autorisation obtenue — toute extension vers des finalités nouvelles, même partiellement commerciales, requiert une actualisation de l’autorisation.

L’affaire Cegedim Santé démontre qu’une mise en œuvre postérieure, pendant la procédure de sanction, ne purge pas rétroactivement les manquements constitués.

---

3. UN ÉDITEUR DE LOGICIEL MÉDICAL EST-IL RESPONSABLE DES TRAITEMENTS DE DONNÉES QU’IL OPÈRE À PARTIR DE SON OUTIL ?

 

Oui, dès lors que l’éditeur détermine les finalités et les moyens d’un traitement autonome distinct de la simple fourniture du logiciel, il est responsable de traitement au sens de l’article 4, §7 du RGPD, et non simple sous-traitant.

Dans l’affaire Cegedim Santé, la société n’était pas uniquement l’éditeur du logiciel Crossway : elle avait organisé et mis en place un observatoire destiné à collecter des données issues des dossiers patients des médecins panélistes, afin de les exploiter dans le cadre d’études et de statistiques commercialisées auprès de ses clients (laboratoires pharmaceutiques, etc.). Cette organisation autonome d’un flux de collecte à des fins propres à la société caractérisait sa qualité de responsable de traitement.

Les éditeurs de logiciels de santé doivent donc distinguer :

—-La fourniture du logiciel comme outil mis à la disposition du professionnel de santé (dans ce cas, l’éditeur peut n’être que sous-traitant) ;
—-L’exploitation des données générées via l’outil à des fins propres à l’éditeur (dans ce cas, l’éditeur est responsable de traitement autonome et doit satisfaire toutes les obligations qui en découlent).

---

4. QU’EST-CE QUE LE TÉLÉSERVICE HRI ET POURQUOI SON UTILISATION PAR CEGEDIM SANTÉ ÉTAIT-ELLE IRRÉGULIÈRE ?

 

Le téléservice HRi (Historique des Remboursements) est un service assuré par les organismes gestionnaires des régimes de base d’assurance maladie, qui permet aux médecins de consulter, à l’occasion des soins délivrés et avec l’accord du patient, les données issues des procédures de remboursement ou de prise en charge (articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale).

La compétence de consultation est exclusivement réservée aux médecins dans le cadre de la relation de soin. Elle ne saurait être utilisée à d’autres fins, ni par d’autres entités.

Or, la société Cegedim Santé avait configuré le logiciel Crossway de telle façon que « le dossier informatisé du patient […] reçoit automatiquement les données issues du téléservice HRi dès lors que le médecin consulte ces données, sans que le médecin puisse décider de les consulter sans les télécharger » (délibération SAN-2024-013). Ce mécanisme présentait deux caractéristiques particulièrement graves :

—-L’automaticité : la consultation HRi par le médecin entraînait nécessairement le téléchargement des données par Cegedim Santé, sans possibilité pour le médecin de dissocier consultation et transfert ;
—-La profondeur temporelle : les données étaient automatiquement téléchargées sur une profondeur de douze mois, enrichissant massivement la base de données de Cegedim Santé.

Ce mécanisme violait l’article 5, §1, a) du RGPD (principe de loyauté) dès lors qu’il permettait à la société de collecter des données en méconnaissance des articles L. 162-4-3 et R. 162-1-10 du CSS et de l’article R. 1111-8-6 du CSP.

Bonnes pratiques à mettre en œuvre : Tout logiciel médical doit permettre au praticien de consulter les données d’un téléservice institutionnel sans que cette consultation entraîne automatiquement la transmission de ces données à un tiers, y compris à l’éditeur. L’éditeur doit garantir l’étanchéité technique entre les fonctions de consultation (réservées au médecin) et ses propres processus de collecte.

---

5. COMMENT ÉVALUER ET DOCUMENTER LE RISQUE DE RÉIDENTIFICATION DANS UN JEU DE DONNÉES DE SANTÉ PSEUDONYMISÉ ?

 

L’évaluation du risque de réidentification doit être conduite de manière concrète, objective et documentée, en application du considérant 26 du RGPD. Elle ne peut se limiter à une affirmation de principe ou à la production d’une évaluation externe favorable.

Les éléments à prendre en compte sont les suivants :

—-La richesse des données : plus les variables sont nombreuses et précises (âge, sexe, catégorie socio-professionnelle, pathologies, prescriptions, dates de consultation, localisation du praticien, identifiants ADELI/RPPS), plus le risque de réidentification par recoupement est élevé ;
—-La profondeur temporelle : un suivi longitudinal d’un même individu dans le temps (via un identifiant persistant) augmente structurellement le risque d’individualisation ;
—-Les données accessibles publiquement ou auprès de tiers : il convient d’évaluer la possibilité de combiner le jeu de données avec des données tierces (géolocalisation, data brokers, registres publics), même si le responsable de traitement ne détient pas lui-même ces données ;
—-La facilité et le coût de l’opération : si la réidentification est réalisable avec des outils courants (tableur, moteur de recherche public) sans expertise technique particulière et en un temps bref, le risque n’est pas insignifiant.

L’affaire Cegedim Santé a établi de façon spectaculaire que le rapporteur CNIL était parvenu « à retracer le parcours d’un enfant de 12 ans en ALD à partir d’un jeu de données réduit […] en utilisant uniquement le logiciel Excel et la nomenclature communiquée par celle-ci […] sans avoir recours à des sources de données tierces » (délibération SAN-2024-013, § 76).

La documentation de cette évaluation doit figurer dans le registre des activités de traitement (article 30 RGPD) et, si le traitement est susceptible d’engendrer un risque élevé, faire l’objet d’une analyse d’impact relative à la protection des données (AIPD) (article 35 RGPD).

---

6. UN RESPONSABLE DE TRAITEMENT PEUT-IL INVOQUER L’INSÉCURITÉ JURIDIQUE AUTOUR DE LA NOTION D’ANONYMISATION POUR S’EXONÉRER DE SA RESPONSABILITÉ ?

 

Non. La formation restreinte de la CNIL et le Conseil d’État ont unanimement écarté cet argument dans l’affaire Cegedim Santé.

La CNIL a rappelé que « quand bien même la CNIL n’a pas publié de référentiels ou de lignes directrices spécifiques aux notions de pseudonymisation et d’anonymisation, […] le CEPD a publié des lignes directrices qui demeurent pertinentes » et que « les notions en cause font l’objet de nombreuses publications, tant sur le plan jurisprudentiel que doctrinal » (SAN-2024-013, § 55).

Le Conseil d’État a confirmé qu’« il ne résulte pas des dispositions applicables que le droit en vigueur aurait manqué de clarté à la date des vérifications effectuées par la CNIL » (CE, 13 février 2026, n° 498749, § 14).

En pratique, les responsables de traitement ne peuvent se prévaloir de l’absence de lignes directrices CNIL spécifiques pour justifier l’absence de conformité. L’ensemble des textes disponibles — RGPD, loi 78-17, jurisprudence CJUE, Avis 05/2014 du G29/CEPD — constitue un corpus suffisamment clair pour permettre l’appréciation du caractère anonyme ou pseudonyme d’un jeu de données.

---

7. QUELLES SANCTIONS ENCOURT UN RESPONSABLE DE TRAITEMENT QUI EXPLOITE DES DONNÉES DE SANTÉ SANS AUTORISATION PRÉALABLE ?

 

Les sanctions applicables sont prévues par l’article 83 du RGPD et l’article 20 de la loi n° 78-17 du 6 janvier 1978. Pour les violations portant sur des données de santé (catégorie spéciale au sens de l’article 9 du RGPD), les plafonds d’amende sont portés à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’entreprise, le montant le plus élevé étant retenu.

Dans l’affaire Cegedim Santé, la formation restreinte a prononcé :

—-une amende administrative de 800 000 euros ;
—-la publicité de la délibération sur le site de la CNIL et sur Légifrance, avec identification nominative de la société pendant deux ans.

Le Conseil d’État a validé la proportionnalité de ces sanctions, relevant que la publicité était « justifiée par la gravité des manquements en cause, la portée du traitement et le nombre de personnes concernées » (CE, 13 fév. 2026, § 25).

Outre la sanction financière, le responsable de traitement s’expose à une injonction de mise en conformité sous astreinte, au risque de réputation associé à la publicité de la décision, et aux recours en responsabilité civile des personnes concernées.

---

8. QUELLES SONT LES MESURES CONCRÈTES À METTRE EN ŒUVRE POUR SÉCURISER UN TRAITEMENT DE DONNÉES DE SANTÉ À FINALITÉ DE RECHERCHE OU STATISTIQUE ?

 

Sur le plan organisationnel :

—-Cartographier précisément les finalités du traitement et les faire correspondre strictement à l’autorisation CNIL obtenue ou au référentiel applicable ;
—-Formaliser contractuellement les obligations des prestataires et éditeurs de logiciels qui ont accès, même indirectement, aux données de santé ;
—-Désigner un DPO (Data Protection Officer) disposant des compétences spécifiques en matière de santé numérique ;
—-Conduire une AIPD systématique pour tout traitement à grande échelle de données de santé ;
—-Mettre en place un processus d’actualisation des autorisations en cas d’évolution des finalités ou de la nature des données traitées.

Sur le plan technique :

—-Implémenter des procédés de pseudonymisation robustes : utilisation d’algorithmes de hachage avec sel (salt), rotation régulière des identifiants, cloisonnement strict entre les tables de correspondance et les données pseudonymisées ;
—-Procéder à des tests réguliers de réidentification pour évaluer la robustesse du procédé de pseudonymisation mis en place ;
—-Minimiser la granularité des données collectées (principe de minimisation, article 5, §1, c) du RGPD) ;
—-Interdire techniquement toute collecte automatique de données issues de téléservices institutionnels sans intervention volontaire et explicite du praticien.

À L’ATTENTION DES PERSONNES CONCERNÉES

---

9. COMMENT PUIS-JE SAVOIR SI MES DONNÉES MÉDICALES ONT ÉTÉ COLLECTÉES ET EXPLOITÉES PAR UN ÉDITEUR DE LOGICIEL MÉDICAL COMME CEGEDIM SANTÉ ?

 

En tant que patient, vous disposez d’un droit d’accès à vos données à caractère personnel en vertu de l’article 15 du RGPD. Vous pouvez exercer ce droit directement auprès du responsable de traitement — en l’occurrence, la société éditrice du logiciel médical — en lui adressant une demande écrite. Le responsable est tenu de vous répondre dans un délai d’un mois.

Vous disposez également d’un droit d’opposition (article 21 RGPD) au traitement de vos données à des fins de recherche ou de statistique, sauf si le responsable justifie de motifs impérieux légitimes.

Si vous utilisez un médecin équipé du logiciel Crossway ou d’un outil similaire qui propose un « observatoire » de données, vous êtes en droit d’interroger votre médecin sur les données le concernant et sur l’existence d’un éventuel accord de participation à un panel. Le médecin étant lui-même responsable de traitement pour les données de ses patients, il doit vous informer de tout transfert de vos données à un tiers.

---

10. MES DONNÉES MÉDICALES ONT-ELLES PU ÊTRE EXPLOITÉES À DES FINS COMMERCIALES SANS MON ACCORD ?

 

Oui, c’est précisément ce que l’affaire Cegedim Santé a révélé et sanctionné. Les données issues des dossiers médicaux de patients suivis par des médecins panélistes — données relatives aux consultations, prescriptions, pathologies, résultats d’examens biologiques, arrêts de travail — ont été collectées et exploitées dans le cadre d’études statistiques commercialisées auprès de clients privés, notamment des laboratoires pharmaceutiques.

Ces traitements ont été effectués :

—-Sans le consentement des patients concernés ;
—-Sans autorisation préalable de la CNIL ;
—-En utilisant un mécanisme de collecte automatique via le téléservice HRi à l’insu des médecins eux-mêmes, qui ne pouvaient pas empêcher le transfert des données à Cegedim Santé lorsqu’ils consultaient l’historique des remboursements de leurs patients.

La CNIL a sanctionné ces pratiques et le Conseil d’État a confirmé la légalité de cette sanction le 13 février 2026.

---

11. PUIS-JE ENGAGER UNE ACTION EN RÉPARATION DU PRÉJUDICE SUBI DU FAIT DE L’EXPLOITATION ILLÉGALE DE MES DONNÉES DE SANTÉ ?

 

Oui. L’article 82 du RGPD dispose que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement […] réparation du préjudice subi ».

Le préjudice moral découlant de la violation de l’article 5, §1, a) du RGPD (collecte déloyale) et de l’absence d’autorisation pour le traitement de données de santé est susceptible d’être indemnisé, sans qu’il soit nécessaire de démontrer un préjudice matériel concret. La simple atteinte à la maîtrise de ses données personnelles de santé constitue un préjudice moral réparable.

En pratique, les personnes concernées peuvent :

—-Déposer une plainte auprès de la CNIL (article 77 RGPD) si elles souhaitent faire constater et sanctionner une violation ;
—-Introduire une action en responsabilité civile devant les juridictions judiciaires, sur le fondement de l’article 82 du RGPD, pour obtenir réparation du préjudice subi ;
—-Se constituer en actions de groupe (article 80 RGPD et loi française de transposition) si un grand nombre de personnes ont subi le même préjudice du fait de la même violation.

---

12. QUELS DROITS PUIS-JE EXERCER SUR MES DONNÉES DE SANTÉ DÉTENUES PAR UN ÉDITEUR DE LOGICIEL MÉDICAL ?

 

L’ensemble des droits prévus par le RGPD vous est ouvert :

—-Droit d’accès (art. 15) : obtenir la copie des données vous concernant détenues par l’éditeur ;
—-Droit de rectification (art. 16) : faire corriger toute donnée inexacte ;
—-Droit à l’effacement (art. 17) : demander la suppression de vos données, sous réserve des exceptions applicables aux données de santé traitées à des fins de recherche ;
—-Droit à la limitation du traitement (art. 18) : faire geler l’utilisation de vos données dans l’attente d’une décision sur vos droits ;
—-Droit d’opposition (art. 21) : vous opposer au traitement de vos données à des fins d’études statistiques ou de recherche, en invoquant votre situation particulière ;
—-Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré, lorsque le traitement est fondé sur le consentement.

En cas de refus ou d’absence de réponse dans le délai d’un mois, vous pouvez saisir la CNIL d’une plainte ou introduire un recours judiciaire.

 
 
 

---

POINTS ESSENTIELS

---

Par délibération n° SAN-2024-013 du 5 septembre 2024, confirmée en tous points par le Conseil d’État dans sa décision des 10ème et 9ème chambres réunies du 13 février 2026 (n° 498749, ECLI:FR:CECHR:2026:498628.20260213, mentionné aux tables du Recueil Lebon), la formation restreinte de la CNIL a prononcé à l’encontre de la SAS Cegedim Santé une amende administrative de 800 000 euros assortie d’une mesure de publicité nominative pendant deux ans, pour deux manquements distincts et cumulatifs : d’une part, un manquement à l’article 66 de la loi n° 78-17 du 6 janvier 1978 modifiée, pour avoir collecté et transmis à la société GERS — via le logiciel de gestion médicale « Crossway » — des données de santé relatives à 13,4 millions de consultations associées à 4 millions de codes patients sans avoir obtenu l’autorisation préalable de la CNIL ni recueilli le consentement des personnes concernées

La formation restreinte a établi, par une évaluation concrète du risque de réidentification réalisable « à partir d’un logiciel tableur d’usage courant », que ces données pseudonymisées demeuraient des données à caractère personnel au sens de l’article 4, §1 du RGPD, dès lors que le risque d’identification — apprécié à l’aune de l’arrêt CJUE, 7 mars 2024, OC c/ Commission (C-479/22) exigeant qu’il soit « insignifiant » et l’identification « irréalisable en pratique » pour emporter anonymisation — n’était nullement insignifiant au regard de la granularité des données collectées (date et heure exactes de consultation, pathologies, prescriptions, identifiants ADELI et RPPS des praticiens, code région), les données collectées sans consentement ne relevant ainsi pas de l’exception de l’article 65 de la loi mais du régime d’autorisation préalable de son article 66, III dont Cegedim Santé était dépourvue ; d’autre part, un manquement propre et autonome à l’article 5, §1, a) du RGPD pour avoir configuré le logiciel « Crossway » de telle façon que la consultation par le médecin des données issues du téléservice HRi (Historique des Remboursements) entraînait automatiquement et irrémédiablement leur téléchargement dans le dossier informatisé du patient hébergé dans le système d’information de l’éditeur, sans que le praticien puisse consulter ces données sans les transférer à Cegedim Santé, ce qui permettait à cette dernière d’aspirer systématiquement des données de remboursement auxquelles seuls les médecins sont légalement autorisés à accéder en vertu des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique

Le Conseil d’État a confirmé « sans erreur de droit ni erreur d’appréciation » que cette collecte intervenait en méconnaissance de ces dispositions et emportait violation du principe de licéité, aucune des bases légales de l’article 6 du RGPD — pas même la mission d’intérêt public, dont Cegedim Santé « n’apporte aucun élément de nature à établir » qu’elle en relèverait — ne pouvant légitimer un traitement structurellement fondé sur l’accaparement technique de données médicales confiées à un praticien

L’affaire, qui s’inscrit dans un triptyque de sanctions simultanément prononcées à l’encontre des trois entités du groupe Cegedim (GERS : 800 000 euros, SAN-2024-010 ; GERS/Santestat : 200 000 euros, SAN-2024-011), illustre avec une acuité particulière les risques juridiques et financiers attachés à la monétisation des données de santé pseudonymisées issues de la relation de soin, consolide la doctrine de la réidentification « par moyens raisonnables » désormais ancrée dans le droit positif français par la décision du Conseil d’État, et consacre l’obligation pour les éditeurs de logiciels de santé de respecter les principes de privacy by design et de loyauté dans la conception même de leurs produits, sous peine d’exposer leurs utilisateurs professionnels — et eux-mêmes — à des sanctions d’une ampleur considérable.

Cette affaire a vu son premier prolongement en 2026 avec l’affaire IQVIA FRANCE (délibération SAN-2026-008 du 26 mai 2026) aux termes de laquelle la CNIL a sanctionné ce leader mondial de la donnée de santé d’une amende de 5 millions d’euros (voir publication et développements sur l’affaire IQVIA