CNIL | SAN-2024-013 | 5 SEPTEMBRE 2024 | AFFAIRE CEGEDIM SANTÉ |
CEGEDIM SANTÉ SANCTIONNÉE POUR AVOIR COLLECTÉ AUTOMATIQUEMENT L’HISTORIQUE DES REMBOURSEMENTS DE SES PATIENTS-PANÉLISTES À LEUR INSU.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I. PREMIER MANQUEMENT : L’ABSENCE D’AUTORISATION AU TITRE DE L’ARTICLE 66 DE LA LOI DU 6 JANVIER 1978
LA DÉMONSTRATION DE LA PSEUDONYMISATION NON ANONYMISANTE
La condition liminaire à toute application du régime d’autorisation de l’article 66 était la qualification des données collectées par Cegedim Santé comme des données à caractère personnel. C’est sur ce terrain — décisif et contesté — que s’est cristallisé l’essentiel du débat contradictoire.
La société soutenait que les données extraites du flux CROSSWAY constituaient des données anonymes, au motif que chaque patient se voyait attribuer un identifiant unique ne reposant sur aucun trait d’identité direct, que le procédé de rechiffrement des identifiants au moment de la génération des fichiers rendrait la réidentification impossible, et que l’évaluation externe qu’elle avait mandatée concluait au caractère anonyme des données. La défense s’appuyait, en outre, sur l’argument d’insécurité juridique, dénonçant l’absence de référentiels ou de méthodologies opposables en matière d’anonymisation et invoquant une décision du tribunal de Milan ayant suspendu les sanctions accessoires prononcées par l’autorité italienne dans une affaire similaire.
La formation restreinte a écarté ces arguments avec une rigueur méthodologique exemplaire. Elle a d’abord rappelé le cadre normatif applicable, en citant intégralement l’article 4, §5 du RGPD définissant la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable », et le considérant 26 du RGPD dont la teneur est la suivante :
« Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. »
Elle a ensuite consolidé ce cadre par la jurisprudence de la CJUE, en relevant que dans l’arrêt OC c/ Commission européenne (CJUE, 6ème chambre, 7 mars 2024, C-479/22), la Cour avait précisé que « la circonstance que des informations supplémentaires sont nécessaires pour identifier la personne concernée n’est pas de nature à exclure que les données en cause puissent être qualifiées de données à caractère personnel » (§ 49) et que « la possibilité de combiner les données en cause avec des informations supplémentaires constitue un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée » (§ 50). Elle a également mobilisé l’arrêt Breyer (CJUE, 2ème chambre, 19 octobre 2016, C-582/14), selon lequel « pour qu’une donnée puisse être qualifiée de donnée à caractère personnel […], il n’est pas requis que toutes les informations permettant d’identifier la personne concernée doivent se trouver entre les mains d’une seule personne » (§ 43), et l’arrêt IAB Europe c/ Gegevensbeschermingsautoriteit (CJUE, 4ème chambre, 7 mars 2024, C-604/22), précisant que « la circonstance que, sans une contribution extérieure, [le détenteur des données] ne peut […] combiner [la donnée] avec d’autres éléments ne fait pas obstacle à ce que [cette donnée] constitue une donnée à caractère personnel » (§ 51).
Sur le fondement de ce corpus jurisprudentiel, la formation restreinte a procédé à l’évaluation in concreto du risque de réidentification — conformément aux prescriptions de l’Avis 05/2014 du G29 sur les techniques d’anonymisation — en relevant que le traitement mis en œuvre par Cegedim Santé ne résistait à aucun des trois tests d’anonymisation : l’individualisation (l’identifiant unique permettant de suivre les patients au fil du temps dans les données du même médecin), la corrélation (la possibilité de relier entre elles les données d’un même patient grâce à cet identifiant), et l’inférence (la déduction d’attributs sensibles à partir des données agrégées).
La démonstration la plus décisive reposait sur l’expérimentation conduite par le rapporteur lui-même :
« Elle observe que le rapporteur est parvenu, dans le cadre de ses écritures, à retracer le parcours d’un enfant de douze ans en ALD à partir d’un jeu de données réduit transmis par la société. Elle relève que pour ce faire, il y a consacré peu de temps et peu de moyens : le rapporteur a mené une analyse à partir des données communiquées par la société en utilisant uniquement le logiciel Excel et la nomenclature communiquée par celle-ci afin d’associer les codes alphanumériques à des informations sur le patient et les actes médicaux prodigués. Dans ce cadre, le rapporteur n’a pas eu recours à des sources de données tierces. »
Ce constat — la réidentification réalisée par des moyens raisonnables au sens du considérant 26 du RGPD, c’est-à-dire sans expertise technique particulière, sans coûts significatifs et en un temps bref — emportait la qualification des données comme données à caractère personnel de santé au sens de l’article 4, §15 du RGPD, qui définit les données de santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
La formation restreinte a également relevé que la richesse des données collectées aggravait structurellement le risque de réidentification : la société traitait des données relatives au dossier administratif (numéro de patient, année de naissance, sexe, catégorie socio-professionnelle, code de la région, date de la consultation), au dossier médical (allergies, antécédents du patient et familiaux, taille, poids, pouls, tension, diagnostics du jour), aux prescriptions pharmaceutiques (médicament, posologie, durée) et aux autres prescriptions (arrêt de travail, vaccins, résultats d’examens biologiques). La profondeur temporelle des données, amplifiée par le téléservice HRi qui permettait de récupérer des données sur une profondeur de douze mois, démultipliait encore ce risque.
Le Conseil d’État a confirmé sans réserve cette analyse dans sa décision du 13 février 2026 (n° 498749, ECLI:FR:CECHR:2026:498628.20260213, mentionné aux tables du Recueil Lebon) :
« Il résulte de ce qui précède que la CNIL a procédé à une évaluation concrète du risque de réidentification des données et établi qu’il était possible de lever le pseudonymat de personnes concernées par des moyens raisonnables. Par suite, et sans qu’il y ait lieu, en l’absence de difficulté sérieuse sur l’interprétation des dispositions en cause, de saisir à titre préjudiciel la Cour de justice de l’Union européenne, les moyens tirés de ce que la CNIL aurait commis une erreur de droit et inexactement qualifié les faits de l’espèce en retenant que les données en cause, bien que pseudonymisées, n’étaient pas anonymisées doivent être écartés. »
Le Conseil d’État a en particulier retenu, en s’appuyant sur l’arrêt CJUE C-479/22, « qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main d’œuvre », et constaté que ce standard n’était manifestement pas satisfait en l’espèce.
L’ABSENCE D’AUTORISATION PRÉALABLE
Une fois la qualification des données comme données à caractère personnel de santé établie, la constitution du manquement à l’article 66 de la loi n° 78-17 du 6 janvier 1978 s’imposait nécessairement, dès lors qu’il n’était pas contesté que les données avaient été collectées sans recueil du consentement des personnes concernées.
Le Conseil d’État a rappelé les dispositions en cause avec leur lettre intégrale :
« Aux termes de l’article 65 de la loi du 6 janvier 1978 : “Les traitements contenant des données concernant la santé des personnes sont soumis, outre à celles du règlement (UE) 2016/679 du 27 avril 2016, aux dispositions de la présente section, à l’exception des catégories de traitements suivantes : / 1° Les traitements relevant du 1° de l’article 44 de la présente loi et des a et c à f du 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 (…)”. Aux termes de l’article 66 de la loi du 6 janvier 1978 : “I.- Les traitements relevant de la présente section ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent. […] / III.- Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés.” »
Le Conseil d’État a tiré la conséquence rigoureuse de cette articulation :
« Il n’est pas contesté que les données figurant dans les bases “Thin” et “Gers Etudes clients” ont été collectées sans que le consentement des personnes concernées soit recueilli. Les traitements en cause ne relèvent donc pas de l’exception prévue par l’article 65 de la loi du 6 janvier 1978, mais du régime prévu à l’article 66 de cette loi. Contrairement à ce que soutiennent les sociétés requérantes, il ne résulte pas des dispositions applicables que le droit en vigueur aurait manqué de clarté à la date des vérifications effectuées par la CNIL. Par suite, les requérantes ne sont pas fondées à soutenir que la formation restreinte de la CNIL aurait commis une erreur de droit ou aurait inexactement qualifié les faits de l’espèce en retenant un manquement aux dispositions de l’article 66 de la loi du 6 janvier 1978 relatives aux obligations applicables aux traitements de données à caractère personnel dans le domaine de la santé. »
La société n’avait déposé aucune demande d’autorisation préalable auprès de la CNIL avant la mise en œuvre des traitements litigieux. Ce n’est que pendant la procédure de sanction qu’elle a procédé aux dépôts de demandes d’autorisation requises — circonstance que la formation restreinte a certes prise en compte pour décider de ne pas prononcer d’injonction de mise en conformité, mais qui n’a eu aucune incidence sur l’appréciation des manquements constitués.
C. LES AXES DE DÉFENSE DE CEGEDIM SANTÉ ET LEUR RÉFUTATION
La défense de Cegedim Santé a développé plusieurs axes argumentatifs, systématiquement écartés :
1. L’argument d’insécurité juridique : La société soutenait que l’absence de référentiels ou de lignes directrices spécifiques de la CNIL sur l’anonymisation créait une insécurité juridique rendant le manquement non imputable. La formation restreinte a opposé que l’absence de lignes directrices CNIL n’emportait nullement absence de cadre juridique : le CEPD avait publié des lignes directrices pertinentes, et les notions en cause faisaient l’objet d’une jurisprudence abondante tant au plan national qu’européen. Le Conseil d’État a confirmé « qu’il ne résulte pas des dispositions applicables que le droit en vigueur aurait manqué de clarté à la date des vérifications effectuées par la CNIL ».
2. L’analogie avec la base OpenDamir : La société invoquait le fait que la base OpenDamir du SNIIRAM avait été considérée comme anonyme malgré sa richesse. La formation restreinte a relevé que les deux traitements n’étaient pas comparables : dans OpenDamir, chaque ligne correspond à un remboursement et non à un patient, et le fichier mensuel ne permet pas le suivi longitudinal d’un même patient — contrairement au traitement de Cegedim Santé qui permettait précisément ce suivi dans le temps.
3. La décision du tribunal de Milan : La formation restreinte a relevé que le juge milanais n’avait suspendu que les sanctions accessoires (publication), sans remettre en cause l’amende ni qualifier les données d’anonymes, et que l’autorité italienne avait au contraire confirmé le caractère personnel des données.
4. L’évaluation externe mandatée : La société avait produit une évaluation externe concluant au caractère anonyme des données. La formation restreinte a écarté cet argument, relevant que la démonstration concrète du rapporteur — retraçant le parcours d’un enfant de 12 ans en ALD à partir d’un jeu de données réduit, avec uniquement un tableur Excel — emportait la conviction au-delà de tout doute raisonnable.
5. Les mesures d’appauvrissement mises en œuvre depuis 2022 : La société faisait valoir qu’elle avait, depuis 2022, réduit la granularité des données collectées (suppression du code région, des informations sur la catégorie socio-professionnelle, de la situation familiale, etc.). La formation restreinte a considéré que ces mesures prises postérieurement au contrôle CNIL du 30 mars 2021 étaient sans incidence sur la constitution du manquement pour la période antérieure.
LA COLLECTE DÉLOYALE VIA LE TÉLÉSERVICE HRI EN VIOLATION DE L’ARTICLE 5, §1, A) DU RGPD
A. LE MÉCANISME FACTUEL DE LA COLLECTE DÉLOYALE
Ce second manquement présente une dimension structurellement distincte du premier : il ne porte pas sur la qualification des données déjà collectées ou sur l’absence d’autorisation préalable, mais sur le mécanisme même de collecte, opéré à l’insu des personnes concernées grâce à la conception délibérément opaque du logiciel Crossway.
Le téléservice HRi (Historique des Remboursements) est un service assuré par les organismes gestionnaires des régimes de base d’assurance maladie, régi par les articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale. Ces dispositions autorisent les médecins à consulter, à l’occasion des soins qu’ils délivrent et avec l’accord du patient, les données issues des procédures de remboursement ou de prise en charge. L’article R. 1111-8-6 du code de la santé publique encadre les conditions dans lesquelles les données de santé peuvent être hébergées par des prestataires tiers. La compétence de consultation de ces données est strictement réservée au médecin, dans le cadre de la relation de soin.
Or, la société Cegedim Santé avait configuré le logiciel Crossway de telle façon que la consultation par le médecin des données issues du téléservice HRi entraînait automatiquement et systématiquement leur téléchargement dans le dossier informatisé du patient hébergé dans le système d’information de l’éditeur. Comme le relève la formation restreinte :
« [L]e dossier informatisé du patient dans le logiciel “Crossway” édité par la société Cegedim Santé reçoit automatiquement les données issues du téléservice HRi dès lors que le médecin consulte ces données, sans que le médecin puisse décider de les consulter sans les télécharger, de telle sorte que ce logiciel permet à la société Cegedim santé de collecter toutes les données des patients issues du téléservice HRi que les médecins consultent. »
Ce mécanisme présentait une double particularité d’une gravité particulière :
—-L’automaticité : le téléchargement était déclenché sans intervention volontaire du médecin et sans possibilité pour lui de l’éviter — la consultation des données HRi impliquait nécessairement leur transfert vers Cegedim Santé ;
—-La profondeur temporelle : les données issues du téléservice HRi étaient automatiquement téléchargées sur une profondeur de douze mois, démultipliant la masse de données captées à l’insu des personnes concernées.
La société avait ainsi accumulé dans sa base de données des informations relatives à l’historique complet des remboursements de santé de l’assurance maladie — données auxquelles elle n’avait, en droit, aucun titre légal d’accès.
B. LA QUALIFICATION DU MANQUEMENT AU PRINCIPE DE LOYAUTÉ
L’article 5, §1, a) du RGPD dispose que les données à caractère personnel doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».
La formation restreinte a retenu un manquement au principe de loyauté, distinct du manquement à l’article 66, en caractérisant le caractère délibérément dissimulé du mécanisme de collecte. Le Conseil d’État a confirmé cette qualification :
« [L]a formation restreinte de la CNIL a pu retenir, sans erreur de droit ni erreur d’appréciation, que la collecte de données par la société requérante intervenait en méconnaissance des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique pour en déduire un manquement à l’article 5 du RGPD. »
Sur le terrain de la licéité, le Conseil d’État a par ailleurs écarté les arguments de Cegedim Santé tendant à invoquer l’une des bases légales de l’article 6 du RGPD, en relevant que « si la délibération attaquée ne précise pas qu’aucune des conditions de licéité prévues à l’article 6 du RGPD n’était remplie, la société requérante n’apporte aucun élément de nature à établir que son traitement poursuivrait une mission d’intérêt public ou qu’une autre des conditions prévues à cet article serait remplie ».
C. LES AXES DE DÉFENSE DE LA SOCIÉTÉ ET LEUR RÉFUTATION
La société Cegedim Santé a contesté ce manquement selon plusieurs directions :
1. L’insuffisance de motivation de la délibération : La société faisait valoir que la délibération attaquée ne précisait pas qu’aucune des conditions de licéité prévues à l’article 6 du RGPD n’était remplie, commettant ainsi une erreur de droit. Le Conseil d’État a écarté cet argument en retournant la charge de la preuve : c’est à la société de « apporter des éléments de nature à établir » qu’une base légale serait remplie — ce qu’elle n’a pas fait.
2. La mission d’intérêt public : La société prétendait que la production d’études et de statistiques dans le domaine de la santé relevait d’une mission d’intérêt public au sens de l’article 6, §1, e) du RGPD, permettant de justifier le traitement sans consentement. La formation restreinte a implicitement écarté cet argument — le Conseil d’État l’a confirmé explicitement en observant que la société « n’apporte aucun élément de nature à établir que son traitement poursuivrait une mission d’intérêt public ». La qualification de mission d’intérêt public ne saurait résulter d’une simple affirmation de l’organisme ; elle doit être fondée sur un texte confiant explicitement cette mission à l’entité concernée, ce qui n’était manifestement pas le cas d’une société commerciale dont la finalité réelle était la valorisation marchande des données de santé.
3. L’absence d’intentionnalité : La société contestait implicitement le caractère délibéré de la collecte, en soutenant que la configuration du logiciel répondait à des impératifs techniques. Ce moyen était inopérant : le principe de loyauté s’applique indépendamment de toute intention frauduleuse. Ce qui importe est l’effet objectif du mécanisme sur les personnes concernées — la collecte à leur insu de données auxquelles l’éditeur n’avait aucun droit légal d’accès.
LA DÉTERMINATION DE LA SANCTION ET SON QUANTUM
A. LES CRITÈRES RETENUS AU TITRE DE L’ARTICLE 83 DU RGPD
La formation restreinte a appliqué les critères de l’article 83, §2 du RGPD pour déterminer le montant de l’amende de 800 000 euros prononcée à l’encontre de Cegedim Santé. Le Conseil d’État en a validé la proportionnalité :
« [L]a formation restreinte de la CNIL a tenu compte, au titre des critères prévus au §2 de l’article 83 du RGPD, d’une part, de la gravité du manquement au regard de la nature et de la portée du traitement et du nombre de personnes concernées par celui-ci, d’autre part, du fait que la violation a été commise par négligence, enfin, au titre du critère prévu au g, de la circonstance qu’il s’agissait de données de santé. »
Parmi les éléments retenus :
La nature des données : les données de santé constituent la catégorie la plus sensible de données personnelles, spécialement protégée par l’article 9 du RGPD. La commission d’une violation portant sur cette catégorie de données — « des données sensibles spécialement protégées par l’article 9 du RGPD » ainsi que le rappelle le Conseil d’État — constitue une circonstance aggravante objective.
L’ampleur du traitement : la base « Thin » contenait, fin mars 2021, des données relatives à 13,4 millions de consultations associées à 4 millions de codes patients. Ce volume considérable témoignait d’un traitement opérant à grande échelle au sens de l’article 37 du RGPD.
La négligence : la formation restreinte a retenu le caractère négligent de la violation. Cegedim Santé, acteur spécialisé dans la santé numérique et l’édition de logiciels médicaux, ne pouvait ignorer les obligations particulières applicables aux données de santé.
La circonstance atténuante tirée des dépôts d’autorisation en cours de procédure : la formation restreinte a considéré que les demandes d’autorisation déposées par la société pendant la procédure de sanction justifiaient de ne pas prononcer d’injonction de mise en conformité — sans toutefois réduire le montant de l’amende.
B. LE CARACTÈRE PROPORTIONNÉ DE LA SANCTION
La formation restreinte n’a pas retenu un montant excédant le plafond fixé par le 7° du III de l’article 20 de la loi du 6 janvier 1978, calculé par référence au chiffre d’affaires de la société. Le Conseil d’État a confirmé que « dans les circonstances de l’espèce, la formation restreinte de la CNIL n’a pas, en retenant [un montant de 800 000 euros] infligé […] une sanction d’un montant disproportionné ».
La publicité de la sanction pendant deux ans, sans anonymisation nominative, a été jugée proportionnée « au regard de la gravité des manquements en cause, la portée du traitement et le nombre de personnes concernées ».
LE DISPOSITIF DE LA DÉLIBÉRATION
« La formation restreinte de la CNIL, après en avoir délibéré, décide de :
— prononcer à l’encontre de la société CEGEDIM SANTÉ une amende administrative d’un montant de 800 000 (huit cent mille) euros ;
— rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication. »
ANTÉCÉDENTS ET PROLONGEMENTS
A. JURISPRUDENCES ANTÉRIEURES DE LA CNIL SUR LA PSEUDONYMISATION ET L’ANONYMISATION
L’affaire Cegedim Santé s’inscrit dans une lignée d’affaires dans lesquelles la CNIL a progressivement affermi sa doctrine sur la distinction pseudonymisation/anonymisation.
Délibérations GERS simultanées (SAN-2024-010 et SAN-2024-011, 28 août 2024) : prononcées le même jour que SAN-2024-013, elles sanctionnent les deux autres entités du groupe Cegedim pour les mêmes bases de données — la société GERS à hauteur de 800 000 euros pour la base « Thin » (SAN-2024-010) et la société GERS venant aux droits de Santestat à hauteur de 200 000 euros pour la base « Gers Etudes Clients » (SAN-2024-011). La concomitance des trois sanctions illustre une stratégie de mise en cause coordonnée de l’ensemble du dispositif de monétisation des données de santé du groupe.
Délibération n° 2022-234 (CNIL, DOCTOLIB et al.) : la CNIL avait déjà signalé, dans ses recommandations sur les entrepôts de données de santé, que la pseudonymisation ne saurait être confondue avec l’anonymisation et que le recours à des identifiants uniques ne suffisait pas à exclure le risque de réidentification par recoupement.
Délibérations historiques en matière de données de santé : La position de la CNIL sur l’articulation entre article 65 et article 66 de la loi de 1978 est constante depuis l’entrée en vigueur du RGPD. Le régime d’autorisation préalable pour les traitements de données de santé sans consentement a été maintenu dans la loi de 1978 modifiée précisément pour assurer un contrôle ex ante des traitements les plus sensibles — contrôle que Cegedim Santé avait délibérément éludé.
B. PORTÉE DE LA DÉCISION CE DU 13 FÉVRIER 2026 ET PROLONGEMENTS PRÉVISIBLES
La mention aux tables du Recueil Lebon confère à la décision du Conseil d’État une portée doctrinale significative : elle entérine définitivement, en droit positif français, le standard CJUE de la réidentification « insignifiante et irréalisable en pratique » comme condition sine qua non de l’anonymisation, et ferme la voie aux tentatives de remise en cause de la qualification par une invocation de l’insécurité juridique.
La décision consolide également la solution procédurale relative à la continuité de la procédure de sanction après absorption d’une filiale : la société GERS, absorbante de Santestat, « ne pouvait ignorer la procédure ouverte contre sa filiale » dès lors qu’elle était « elle-même mise en cause dans une procédure parallèle pour des traitements similaires et étroitement liés ». Cette formulation, fondée sur la connexité des procédures et la connaissance présumée de la procédure, ouvre une voie de qualification extensive susceptible de s’appliquer dans d’autres contextes de restructurations en cours de procédure.
Les prolongements prévisibles de cette jurisprudence sont multiples : application aux acteurs de la santé numérique exploitant des données de patients dans le cadre d’applications de télésanté ou de plateformes de bien-être, mise en cause des éditeurs de logiciels de santé au titre de la privacy by design, renforcement du contrôle de la CNIL sur les entrepôts de données de santé à l’aune de l’Espace Européen des Données de Santé (EHDS) en cours de déploiement, et possible application dans le cadre du Data Governance Act pour les données de santé mises à disposition à des fins de réutilisation.
C. L’AFFAIRE IQVIA | DONNÉES DE SANTÉ, ENTREPÔTS AUTORISÉS ET DÉFAILLANCES STRUCTURELLES (SAN-2026-008 DU 26 MAI 2026)
La délibération SAN-2026-008 du 26 mai 2026, par laquelle la CNIL prononce à l’encontre de IQVIA OPERATIONS FRANCE une amende administrative de cinq millions d’euros s’inscrit dans la continuité de CEGEDIM SANTÉ (SAN-2024-013, 800 000 euros) et de DEDALUS (SAN-2022-009, 1,5 million d’euros) tout en les amplifiant considérablement, et en envoyant un signal normatif majeur : dans l’économie de la donnée de santé, l’autorisation réglementaire est un cadre de conformité continue et non un sésame définitif.
Cette décision IQVIA marque l’ensemble de l’industrie de la health data : elle établit que la détention d’une autorisation CNIL pour constituer un entrepôt de données de santé n’emporte ni validation implicite des pratiques non commentées par les services instructeurs, ni autorisation de réaliser des études à partir de cet entrepôt, ni dispense du respect scrupuleux de l’intégralité des conditions imposées — étant rappelé:
—-qu’IQVIA a été « le premier acteur privé à être autorisé par la CNIL à mettre en uvre un entrepôt de données de santé en considération de la finalité d’intérêt public présentée »
—-qu’elle « aurait dû, à ce titre, se montrer d’autant plus irréprochable quant au respect des termes de l’autorisation délivrée » ;
—-que la pseudonymisation des données — dont la qualification au regard de l’arrêt CJUE du 4 septembre 2025 dit « arrêt SRB » avait été âprement débattue — constitue un facteur atténuant dans la fixation du quantum mais ne saurait opérer comme écran à l’application du RGPD, la formation restreinte ayant retenu, conformément au considérant 26 du Règlement,
—-que « le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour que les données traitées par la société soient considérées comme anonymes, compte tenu de l’existence d’un identifiant unique, de la profondeur des données collectées et de la possibilité d’identifier des personnes en combinant les données détenues par la société IQVIA avec des données publiquement accessibles » ;
—-que le manquement à l’article 14 du RGPD — constaté à l’issue de contrôles auprès de quatre officines parisiennes dont aucune ne délivrait aux patients la notice d’information individuelle élaborée par la société — est imputable à la seule société IQVIA en sa qualité de responsable de traitement, nonobstant les clauses contractuelles imposant aux pharmaciens de procéder à cette information,
—-la formation restreinte ayant rappelé avec force que « c’est bien à la société IQVIA que cette obligation d’information incombe, en raison de sa qualité de responsable du traitement et en application des dispositions de l’article 14 du RGPD, et c’est donc sur elle que pèse le risque d’une sanction en cas de non-respect de cette obligation » tout en soulignant que « les personnes concernées ne prennent pas l’initiative de transmettre leurs données à la société IQVIA » et que « le contexte de la collecte — maladie, urgence, stress — est susceptible de réduire leur vigilance en matière de protection des données »
—-que le manquement à l’article 25 du RGPD résulte du fait que les modules d’extraction intégrés aux logiciels de gestion d’officine, « développés en son nom et pour son compte par les éditeurs de LGO », continuaient à transmettre systématiquement au premier tiers de confiance les données des patients « même dans l’hypothèse où le pharmacien a choisi de ne pas transmettre les données de ses patients » — ce qui est « le cas d’environ 4 000 officines sur les 14 000 ayant contracté avec la société IQVIA » — la formation restreinte consacrant ainsi une conception extensive du privacy by design selon laquelle le responsable de traitement ne peut se défausser sur le développeur tiers et demeure responsable de la conformité des outils conçus pour son compte ;
Voir aussi développements sur l’affaire IQVIA FRANCE | SAN-2026-008
POINTS ESSENTIELS
Par délibération n° SAN-2024-013 du 5 septembre 2024, confirmée en tous points par le Conseil d’État dans sa décision des 10ème et 9ème chambres réunies du 13 février 2026 (n° 498749, ECLI:FR:CECHR:2026:498628.20260213, mentionné aux tables du Recueil Lebon), la formation restreinte de la CNIL a prononcé à l’encontre de la SAS Cegedim Santé une amende administrative de 800 000 euros assortie d’une mesure de publicité nominative pendant deux ans, pour deux manquements distincts et cumulatifs : d’une part, un manquement à l’article 66 de la loi n° 78-17 du 6 janvier 1978 modifiée, pour avoir collecté et transmis à la société GERS — via le logiciel de gestion médicale « Crossway » — des données de santé relatives à 13,4 millions de consultations associées à 4 millions de codes patients sans avoir obtenu l’autorisation préalable de la CNIL ni recueilli le consentement des personnes concernées
La formation restreinte a établi, par une évaluation concrète du risque de réidentification réalisable « à partir d’un logiciel tableur d’usage courant », que ces données pseudonymisées demeuraient des données à caractère personnel au sens de l’article 4, §1 du RGPD, dès lors que le risque d’identification — apprécié à l’aune de l’arrêt CJUE, 7 mars 2024, OC c/ Commission (C-479/22) exigeant qu’il soit « insignifiant » et l’identification « irréalisable en pratique » pour emporter anonymisation — n’était nullement insignifiant au regard de la granularité des données collectées (date et heure exactes de consultation, pathologies, prescriptions, identifiants ADELI et RPPS des praticiens, code région), les données collectées sans consentement ne relevant ainsi pas de l’exception de l’article 65 de la loi mais du régime d’autorisation préalable de son article 66, III dont Cegedim Santé était dépourvue ; d’autre part, un manquement propre et autonome à l’article 5, §1, a) du RGPD pour avoir configuré le logiciel « Crossway » de telle façon que la consultation par le médecin des données issues du téléservice HRi (Historique des Remboursements) entraînait automatiquement et irrémédiablement leur téléchargement dans le dossier informatisé du patient hébergé dans le système d’information de l’éditeur, sans que le praticien puisse consulter ces données sans les transférer à Cegedim Santé, ce qui permettait à cette dernière d’aspirer systématiquement des données de remboursement auxquelles seuls les médecins sont légalement autorisés à accéder en vertu des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique
Le Conseil d’État a confirmé « sans erreur de droit ni erreur d’appréciation » que cette collecte intervenait en méconnaissance de ces dispositions et emportait violation du principe de licéité, aucune des bases légales de l’article 6 du RGPD — pas même la mission d’intérêt public, dont Cegedim Santé « n’apporte aucun élément de nature à établir » qu’elle en relèverait — ne pouvant légitimer un traitement structurellement fondé sur l’accaparement technique de données médicales confiées à un praticien
L’affaire, qui s’inscrit dans un triptyque de sanctions simultanément prononcées à l’encontre des trois entités du groupe Cegedim (GERS : 800 000 euros, SAN-2024-010 ; GERS/Santestat : 200 000 euros, SAN-2024-011), illustre avec une acuité particulière les risques juridiques et financiers attachés à la monétisation des données de santé pseudonymisées issues de la relation de soin, consolide la doctrine de la réidentification « par moyens raisonnables » désormais ancrée dans le droit positif français par la décision du Conseil d’État, et consacre l’obligation pour les éditeurs de logiciels de santé de respecter les principes de privacy by design et de loyauté dans la conception même de leurs produits, sous peine d’exposer leurs utilisateurs professionnels — et eux-mêmes — à des sanctions d’une ampleur considérable.
Cette affaire a vu son premier prolongement en 2026 avec l’affaire IQVIA FRANCE (délibération SAN-2026-008 du 26 mai 2026) aux termes de laquelle la CNIL a sanctionné ce leader mondial de la donnée de santé d’une amende de 5 millions d’euros (voir aussi Publication “Affaire IQVIA” )
31.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats