CNIL | SAN-2024-013 | 5 SEPTEMBRE 2024 | AFFAIRE CEGEDIM SANTÉ |
CEGEDIM SANTÉ SANCTIONNÉE POUR AVOIR COLLECTÉ AUTOMATIQUEMENT L’HISTORIQUE DES REMBOURSEMENTS DE SES PATIENTS-PANÉLISTES À LEUR INSU.
QUAND UN ÉDITEUR DE LOGICIELS MÉDICAUX EXPLOITE EN SECRET LES DONNÉES DE SANTÉ DE MILLIONS DE PATIENTS..
CEGEDIM SANTÉ | 800 000 EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Le contexte factuel : un observatoire épidémiologique adossé à un logiciel médical
La société CEGEDIM SANTÉ, filiale du groupe CEGEDIM spécialisé dans les flux numériques de l’écosystème de santé, édite et commercialise auprès des médecins de ville le logiciel de gestion de cabinet CROSSWAY, utilisé par environ 25 000 cabinets médicaux et 500 centres de santé. En marge de cette activité d’édition logicielle, la société a développé un « observatoire » épidémiologique en proposant à un panel représentatif de médecins utilisateurs de CROSSWAY — sélectionnés selon des critères géographiques, d’âge et de spécialité — d’adhérer à un dispositif de remontée de données issues des dossiers de leurs patients. En contrepartie de leur participation, les médecins panlistes bénéficiaient d’une remise sur leur licence CROSSWAY ainsi que d’un accès aux études statistiques produites à partir des données collectées.
Le mécanisme d’alimentation de l’observatoire reposait sur l’extracteur CROSSWAY : les données contenues dans les dossiers patients des médecins panlistes étaient périodiquement extraites depuis le poste du médecin, rechiffrées au moment de la génération du fichier de transmission, puis acheminées par canal HTTPS vers un serveur centralisé hébergé par CEGEDIM SANTÉ. Les données ainsi collectées couvraient un spectre très large : données administratives du patient (année de naissance, sexe, catégorie socio-professionnelle, code région, date de consultation), données médicales (allergies, antécédents personnels et familiaux, constantes physiologiques — taille, poids, pouls, tension —, diagnostics), prescriptions pharmaceutiques (médicament, posologie, durée) et autres prescriptions (arrêts de travail, vaccins, résultats d’examens biologiques). À chaque patient était attribué un identifiant unique propre au cabinet médical de consultation, de sorte que l’ensemble des données concernant un même patient chez un même médecin restait associé à cet identifiant tout au long de la relation thérapeutique, permettant ainsi un suivi longitudinal complet du parcours de soins.
Ces données étaient ensuite transmises aux clients de CEGEDIM SANTÉ — en particulier la société GERS — pour la réalisation d’études quantitatives et de statistiques dans le domaine de la santé (prise en charge des patients selon leurs pathologies, disparités démographiques et régionales, profils de prescription des médecins, consommation de soins). En mars 2021, la base de données « THIN » détenait ainsi des données relatives à 13,4 millions de consultations associées à 4 millions de codes patients, le nombre de lignes collectées sur les seuls premiers mois de 2021 s’élevant à plusieurs millions.
II.
La question centrale : pseudonymisation ou anonymisation des données du flux CROSSWAY ?
La controverse juridique centrale de l’affaire porte sur la qualification des données traitées par CEGEDIM SANTÉ : la société soutenait que les données du flux CROSSWAY étaient anonymes et, partant, soustraites au champ d’application du RGPD et de la loi Informatique et Libertés ; le rapporteur et, in fine, la formation restreinte ont au contraire estimé qu’il s’agissait de données pseudonymisées, constitutives de données à caractère personnel au sens de l’article 4(1) du RGPD.
Le cadre juridique de la distinction anonymisation/pseudonymisation. L’article 4(5) du RGPD définit la pseudonymisation comme le traitement de données de telle façon qu’elles ne puissent plus être attribuées à une personne précise sans recours à des informations supplémentaires, dès lors que ces informations sont conservées séparément et protégées par des mesures techniques et organisationnelles adéquates. Le RGPD ne définit pas lui-même l’anonymisation, mais son considérant 26 indique que, pour apprécier si une personne est « identifiable », il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés, tant par le responsable du traitement que par toute autre personne, en tenant compte de facteurs objectifs tels que le coût, le temps nécessaire et les technologies disponibles. La formation restreinte a rappelé que l’Avis 05/2014 du G29 (devenu CEPD) sur les techniques d’anonymisation identifie trois risques devant être maîtrisés pour qu’un traitement puisse être qualifié d’anonyme : l’individualisation (isoler un enregistrement dans le jeu de données), la corrélation (relier deux enregistrements concernant la même personne) et l’inférence (déduire la valeur d’un attribut à partir d’autres attributs).
La jurisprudence de la CJUE mobilisée par la formation restreinte. La délibération s’appuie largement sur deux arrêts récents de la Cour de justice de l’Union européenne. Dans l’arrêt Breyer (CJUE, 2e ch., 19 octobre 2016, C-582/14), la Cour avait jugé que, pour qualifier une donnée de donnée à caractère personnel, il n’est pas requis que toutes les informations permettant l’identification se trouvent entre les mains d’une seule et même personne. Dans l’arrêt OC c/ Commission européenne (CJUE, 6e ch., 7 mars 2024, C-479/22), la Cour a confirmé que la circonstance que des informations supplémentaires sont nécessaires pour identifier la personne concernée n’est pas de nature exclure la qualification de données à caractère personnel, dès lors que la possibilité de combiner les données avec ces informations supplémentaires constitue un moyen raisonnablement susceptible d’être mis en œuvre. L’arrêt IAB Europe c/ Gegevensbeschermingsautoriteit (CJUE, 4e ch., 7 mars 2024, C-604/22) a également été cité, confirmant que la circonstance qu’une organisation ne peut elle-même, sans contribution extérieure, accéder aux données supplémentaires permettant l’identification ne fait pas obstacle à la qualification de données à caractère personnel.
L’analyse concrète du risque de réidentification. La formation restreinte n’a pas opéré une simple qualification abstraite, mais a procédé à une évaluation in concreto du risque de réidentification. Le rapporteur a produit, à titre démonstratif, une reconstitution précise du parcours de soins d’un enfant de douze ans en ALD à partir d’un extrait seulement du jeu de données transmis par la société en cours de procédure, en utilisant uniquement un tableur Excel et la nomenclature communiquée par CEGEDIM SANTÉ, sans recours à aucune source tierce. La formation restreinte a relevé que cette démonstration avait nécessité peu de temps et peu de moyens, ce qui établissait que la levée du pseudonymat était réalisable par des moyens raisonnables. Elle a également noté que l’expertise privée produite par la société elle-même concluait à un k-anonymat égal à 1 — c’est-à-dire à la possibilité d’isoler un individu dans la base —, ce qui caractérisait déjà le premier des trois risques identifiés par le G29.
Les arguments de CEGEDIM SANTÉ et leur rejet. La société avait mobilisé plusieurs arguments en défense. Elle avait invoqué une décision du tribunal de Milan (ordonnance du 4 décembre 2023) suspendant, dans un litige similaire opposant son homologue italien à l’autorité italienne de protection des données, l’efficacité exécutoire des mesures accessoires de publication en attendant qu’une expertise indépendante soit diligentée. La formation restreinte a écarté cet argument en relevant que le tribunal milanais n’avait pas suspendu l’amende ni l’injonction, et n’avait pas affirmé que les données étaient anonymes. La société avait également invoqué la base OpenDamir (extractions du SNIIRAM) comme terme de comparaison, en soutenant que si ces données plus précises avaient pu être considérées comme anonymes, les siennes devaient l’être a fortiori. La formation restreinte a rejeté cette comparaison en soulignant que dans OpenDamir, chaque ligne correspond à un remboursement et non à un patient, et qu’il est impossible de suivre le parcours d’un même patient dans le temps — contrairement au traitement de CEGEDIM SANTÉ, construit précisément autour d’un identifiant de suivi longitudinal. Enfin, la société avait soutenu que la sécurité technique élevée de ses systèmes permettait d’écarter tout risque de réidentification ; la formation restreinte a fermement rappelé que le niveau de sécurité mis en place pour assurer la confidentialité des données est sans incidence sur leur qualification juridique, les deux questions étant distinctes.
III.
La qualification de responsable du traitement de CEGEDIM SANTÉ
CEGEDIM SANTÉ contestait sa qualité de responsable du traitement, se présentant comme un simple sous-traitant, d’une part des médecins utilisant le logiciel CROSSWAY, d’autre part des sociétés clientes (dont GERS) pour lesquelles elle opérerait le flux CROSSWAY. Elle s’appuyait notamment sur un courrier de clôture de contrôle de la CNIL adressé en novembre 2014 à la société CEGEDIM LOGICIELS MÉDICAUX FRANCE (dont elle a repris l’intégralité des activités après dissolution en 2021), dans lequel la CNIL aurait reconnu à cette entité un statut de sous-traitant.
La formation restreinte a rejeté cette thèse sur plusieurs fondements. En premier lieu, elle a constaté que dans l’analyse d’impact que la société avait elle-même conduite, CEGEDIM SANTÉ s’était désignée en qualité de responsable du traitement de l’observatoire — et non pas seulement pour le recrutement du panel de médecins. En deuxième lieu, l’examen des contrats conclus avec les médecins panlistes révèle que ces contrats ne se limitaient pas au recrutement, mais détaillaient les moyens du traitement, notamment les catégories de données collectées, les modalités de communication et la fréquence de la collecte. En troisième lieu, il ressort des pièces du dossier que la société déterminait les finalités du traitement, définissant l’usage autorisé des données dans ses contrats avec ses clients (la société GERS n’étant autorisée à utiliser les données que pour la réalisation d’études) et établissant le périmètre de l’observatoire selon ses propres critères. En quatrième lieu, concernant le courrier de 2014, la formation restreinte a relevé qu’il était antérieur à l’entrée en vigueur du RGPD et que les évolutions considérables du droit de la protection des données, notamment la consécration du principe de responsabilité (accountability), l’avaient rendu caduc comme fondement de qualification. Elle a rappelé qu’il appartient aux responsables de traitement de réévaluer régulièrement la conformité de leurs traitements au regard de l’état de la doctrine et de la réglementation en vigueur.
S’agissant de la continuité entre CEGEDIM LOGICIELS MÉDICAUX FRANCE et CEGEDIM SANTÉ, la formation restreinte a constaté que, par dissolution anticipée sans liquidation intervenue le 22 novembre 2021, la société CEGEDIM SANTÉ avait repris l’intégralité des activités de sa filiale ainsi que les traitements de données à caractère personnel qu’elle réalisait. Cette transmission universelle de patrimoine emportait également reprise de la qualité de responsable du traitement pour l’ensemble des traitements en cause.
IV.
Le manquement à l’article 66 de la loi Informatique et Libertés : l’absence d’autorisation CNIL pour un entrepôt de données de santé
La formation restreinte a constaté que CEGEDIM SANTÉ traitait, au moins depuis les contrôles de mars 2021 et jusqu’à juillet 2024, des données de santé à des fins commerciales, constituant de facto un entrepôt de données de santé pseudonymisées au sens du droit applicable. La section 3 du chapitre III de la loi Informatique et Libertés, relative aux traitements de données à caractère personnel dans le domaine de la santé, soumet ces traitements à des obligations spécifiques relevant d’un régime d’exception au principe général d’interdiction de traitement des données sensibles posé par l’article 9 du RGPD.
L’article 66 de la loi Informatique et Libertés distingue trois voies de licéité pour un tel traitement : soit l’obtention d’une autorisation de la CNIL (après examen de la finalité d’intérêt public), soit la conformité à un référentiel établi par la CNIL (sous réserve d’envoi préalable d’une déclaration de conformité), soit l’exception prévue à l’article 65 de la loi renvoyant notamment au consentement explicite des personnes concernées. Or, CEGEDIM SANTÉ n’avait formulé aucune demande d’autorisation auprès de la CNIL, n’avait adressé aucune déclaration de conformité à un référentiel, et — partant de sa prémisse selon laquelle les données étaient anonymes — n’avait mis en œuvre aucun mécanisme de recueil du consentement explicite des patients de ses médecins panlistes.
La société avait avancé, en défense, que le cadre juridique applicable à l’anonymisation manquait de clarté et ne lui permettait pas d’apprécier avec certitude la nature des données qu’elle traitait. La formation restreinte a écarté cet argument avec force, rappelant d’une part que le droit est posé par le législateur et interprété par les juridictions compétentes, et non exclusivement par les lignes directrices ou recommandations de la CNIL, et d’autre part que les notions de pseudonymisation et d’anonymisation faisaient l’objet de publications doctrinales et jurisprudentielles abondantes, tant au niveau national qu’européen. Elle a surtout relevé un élément particulièrement circonstanciel : d’autres sociétés opérant des traitements similaires sur le même marché avaient, pour leur part, déposé des demandes d’autorisation auprès de la CNIL, et ces autorisations sont publiquement accessibles sur Légifrance. Dès lors, CEGEDIM SANTÉ, acteur spécialisé dans le traitement de données de santé depuis des décennies, ne pouvait raisonnablement prétendre ignorer ses obligations.
La formation restreinte a également précisé, en réponse à l’argument de « bonne foi » invoqué par la société, que le principe de responsabilité (accountability) consacré aux articles 5(2) et 24 du RGPD met la charge de la conformité sur le responsable de traitement lui-même, qui ne peut se retrancher derrière l’absence d’interpellation préalable de la CNIL pour justifier un défaut de mise en conformité.
V.
Le manquement à l’article 5(1)(a) du RGPD : la collecte illicite des données issues du télé-service HRi
Le second manquement retenu par la formation restreinte porte sur la collecte par CEGEDIM SANTÉ de données issues du télé-service HRi (Historique des Remboursements) mis à disposition des médecins par les organismes gestionnaires des régimes de base d’assurance maladie. Ce télé-service permet aux médecins, en application des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale, de consulter les données issues des procédures de remboursement détenues par l’organisme dont relève chaque patient, avec l’accord de celui-ci, lors de la délivrance de soins. Il leur permet ainsi de disposer d’un historique des remboursements du patient sur les douze derniers mois, incluant notamment les prescriptions et actes remboursés d’autres médecins.
Le mécanisme en cause tenait à l’architecture du logiciel CROSSWAY : dès lors qu’un médecin se connectait au télé-service HRi pour consulter les données de remboursement d’un patient, ces données étaient automatiquement téléchargées dans le dossier informatisé du patient dans CROSSWAY, sans que le médecin puisse les consulter sans les télécharger, et sans aucune étape intermédiaire lui permettant de décider s’il souhaitait ou non les intégrer dans le dossier. Ce téléchargement automatique sur une profondeur de douze mois permettait ensuite à l’extracteur CROSSWAY de les aspirer vers les serveurs de CEGEDIM SANTÉ et de les intégrer dans le flux de données de l’observatoire.
La formation restreinte a retenu que cette modalité de collecte méconnaissait le principe de licéité du traitement posé par l’article 5(1)(a) du RGPD, en combinaison avec les articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et l’article R. 1111-8-6 du code de la santé publique. Le raisonnement de la formation restreinte repose sur une distinction nette : ce n’est pas l’accès par le médecin aux données du télé-service HRi qui est en cause — cet accès est légitime et encadré par le code de la sécurité sociale —, mais le fait que l’architecture du logiciel rende impossible toute consultation de ces données sans qu’elles soient simultanément téléchargées dans le dossier patient, puis aspirées par l’extracteur CROSSWAY au profit de CEGEDIM SANTÉ. Les textes du code de la sécurité sociale réservent l’accès à ces données aux seuls médecins et ne prévoient pas pour un acteur privé — éditeur de logiciel — la possibilité de collecter directement, par le seul mécanisme de la consultation par le médecin, les données issues de ce télé-service.
La société s’était défendue en faisant valoir que le téléchargement des données HRi dans le dossier patient intervient d’abord en local sur le poste du médecin, par le médecin lui-même, et que l’extracteur ne procède qu’ensuite à leur récupération dans un second temps. La formation restreinte a écarté cette analyse en relevant que, dès lors que le logiciel ne prévoyait pas de possibilité pour le médecin de consulter les données sans les télécharger, la distinction entre acte du médecin et acte de l’extracteur était artificielle. Elle a également rejeté l’argument selon lequel cette fonctionnalité répondait à un objectif de santé publique (prévention de l’iatrogénie médicamenteuse), estimant que la fin ne saurait justifier des modalités de collecte contraires à la réglementation applicable.
Le Conseil d’État, statuant le 13 février 2026 sur le recours en annulation formé par CEGEDIM SANTÉ, a confirmé cette analyse : il a jugé que la formation restreinte de la CNIL avait pu retenir, sans erreur de droit ni erreur d’appréciation, que la collecte de données par la société requérante intervenait en méconnaissance des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique, et que la société n’apportait aucun élément de nature établir que son traitement poursuivrait une mission d’intérêt public ou que l’une des conditions de licéité prévues à l’article 6 du RGPD serait remplie.
VI.
Les moyens de défense de la société et leur traitement par la formation restreinte
Outre les arguments substantiels examinés ci-avant, CEGEDIM SANTÉ a soulevé un moyen de procédure tiré de la méconnaissance de ses droits de la défense et du droit à un procès équitable. Elle faisait valoir que le président de la formation restreinte avait refusé de lui accorder une extension de délai pour produire ses deuxièmes observations en réponse — délai qu’elle estimait nécessaire pour obtenir les conclusions d’un expert mandaté pour analyser le risque de réidentification — et que le rapporteur n’aurait pas suffisamment pris en compte ses arguments, notamment les éléments de preuve produits pour démontrer le caractère anonyme des données.
La formation restreinte a écarté ce moyen sur quatre points. Premièrement, les délais appliqués sont ceux définis par l’article 40(I) du décret n° 2019-536, et la société avait même bénéficié d’un délai supplémentaire de cinq jours pour ses premières observations. Deuxièmement, le rapport de sanction avait été notifié dès le 12 octobre 2023 et exposait déjà, de manière constante, la position du rapporteur selon laquelle les données n’étaient pas anonymes mais pseudonymes ; rien n’empêchait la société de mandater un expert dès cette date. Troisièmement, la société a finalement pu produire les conclusions de son expertise, le rapporteur ayant décidé d’adresser une deuxième réponse à ses observations plutôt que de clore l’instruction, accordant ainsi à la société un délai supplémentaire de deux mois et sept jours. Quatrièmement, l’ensemble des écritures et pièces produites par les deux parties avait été porté à la connaissance de la formation restreinte, qui disposait des éléments nécessaires pour se prononcer.
Sur le fond du contradictoire, la formation restreinte a également pris acte des modifications substantielles apportées par la société en cours de procédure : à compter de juillet 2024, CEGEDIM SANTÉ n’intervenait plus dans la gestion du flux CROSSWAY, les données des médecins alimentant désormais directement la base détenue par la société GERS, de sorte que CEGEDIM SANTÉ n’était plus responsable du traitement mais uniquement éditrice du logiciel. Ces circonstances ont conduit la formation restreinte à considérer qu’il n’y avait pas lieu de prononcer d’injonction de mise en conformité.
VII.
La confirmation par le Conseil d’État : arrêt du 13 février 2026
Le Conseil d’État, par sa décision du 13 février 2026 (n° 498749, 10e-9e chambres réunies, mentionné aux tables du recueil Lebon), a rejeté les requêtes en annulation formées conjointement par la société GERS, la société GERS venant aux droits de la société Santestat, et la société CEGEDIM SANTÉ contre les délibérations respectivement SAN-2024-010, SAN-2024-011 et SAN-2024-013.
Sur la qualification des données, le Conseil d’État a rappelé que, selon les dispositions du RGPD telles qu’interprétées par la CJUE dans l’arrêt OC c/ Commission du 7 mars 2024, une donnée ne peut être considérée comme ayant été rendue anonyme par pseudonymisation que si le risque d’identification est « insignifiant », une telle identification étant « irréalisable en pratique » car impliquant un « effort démesuré en termes de temps, de coût et de main-d’œuvre ». Il a jugé que la CNIL avait procédé à une évaluation concrète du risque de réidentification et établi qu’il était possible de lever le pseudonymat par des moyens raisonnables, notamment au moyen d’un logiciel tableur d’usage courant et de la nomenclature communiquée par les sociétés elles-mêmes, sans recours à des sources tierces. Il a rejeté la demande de renvoi préjudiciel à la CJUE formée à titre subsidiaire, en l’absence de difficulté sérieuse sur l’interprétation des dispositions en cause.
Sur le manquement à l’article 66 de la loi Informatique et Libertés, le Conseil d’État a jugé qu’il ne résultait pas des dispositions applicables que le droit en vigueur aurait manqué de clarté à la date des vérifications effectuées par la CNIL, et que la formation restreinte n’avait pas commis d’erreur de droit en retenant ce manquement.
Sur le manquement à l’article 5(1)(a) du RGPD spécifique à CEGEDIM SANTÉ, le Conseil d’État a validé le raisonnement de la CNIL en relevant qu’il résultait de l’instruction que le dossier informatisé du patient dans le logiciel CROSSWAY recevait automatiquement les données issues du télé-service HRi dès lors que le médecin les consultait, sans que celui-ci puisse décider de les consulter sans les télécharger, de telle sorte que ce logiciel permettait à la société de collecter toutes les données HRi que les médecins consultaient. Le Conseil d’État a écarté le moyen tiré d’une insuffisance de motivation de la délibération — relative à l’absence de précision quant aux conditions de licéité de l’article 6 du RGPD —, en relevant que la société n’apportait aucun élément de nature établir que son traitement poursuivrait une mission d’intérêt public ou que l’une des conditions alternatives serait remplie.
POINTS ESSENTIELS
Par délibération n° SAN-2024-013 du 5 septembre 2024, confirmée en tous points par le Conseil d’État dans sa décision des 10ème et 9ème chambres réunies du 13 février 2026 (n° 498749, ECLI:FR:CECHR:2026:498628.20260213, mentionné aux tables du Recueil Lebon), la formation restreinte de la CNIL a prononcé à l’encontre de la SAS Cegedim Santé une amende administrative de 800 000 euros assortie d’une mesure de publicité nominative pendant deux ans, pour deux manquements distincts et cumulatifs : d’une part, un manquement à l’article 66 de la loi n° 78-17 du 6 janvier 1978 modifiée, pour avoir collecté et transmis à la société GERS — via le logiciel de gestion médicale « Crossway » — des données de santé relatives à 13,4 millions de consultations associées à 4 millions de codes patients sans avoir obtenu l’autorisation préalable de la CNIL ni recueilli le consentement des personnes concernées
La formation restreinte a établi, par une évaluation concrète du risque de réidentification réalisable « à partir d’un logiciel tableur d’usage courant », que ces données pseudonymisées demeuraient des données à caractère personnel au sens de l’article 4, §1 du RGPD, dès lors que le risque d’identification — apprécié à l’aune de l’arrêt CJUE, 7 mars 2024, OC c/ Commission (C-479/22) exigeant qu’il soit « insignifiant » et l’identification « irréalisable en pratique » pour emporter anonymisation — n’était nullement insignifiant au regard de la granularité des données collectées (date et heure exactes de consultation, pathologies, prescriptions, identifiants ADELI et RPPS des praticiens, code région), les données collectées sans consentement ne relevant ainsi pas de l’exception de l’article 65 de la loi mais du régime d’autorisation préalable de son article 66, III dont Cegedim Santé était dépourvue ; d’autre part, un manquement propre et autonome à l’article 5, §1, a) du RGPD pour avoir configuré le logiciel « Crossway » de telle façon que la consultation par le médecin des données issues du téléservice HRi (Historique des Remboursements) entraînait automatiquement et irrémédiablement leur téléchargement dans le dossier informatisé du patient hébergé dans le système d’information de l’éditeur, sans que le praticien puisse consulter ces données sans les transférer à Cegedim Santé, ce qui permettait à cette dernière d’aspirer systématiquement des données de remboursement auxquelles seuls les médecins sont légalement autorisés à accéder en vertu des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique
Le Conseil d’État a confirmé « sans erreur de droit ni erreur d’appréciation » que cette collecte intervenait en méconnaissance de ces dispositions et emportait violation du principe de licéité, aucune des bases légales de l’article 6 du RGPD — pas même la mission d’intérêt public, dont Cegedim Santé « n’apporte aucun élément de nature à établir » qu’elle en relèverait — ne pouvant légitimer un traitement structurellement fondé sur l’accaparement technique de données médicales confiées à un praticien
L’affaire, qui s’inscrit dans un triptyque de sanctions simultanément prononcées à l’encontre des trois entités du groupe Cegedim (GERS : 800 000 euros, SAN-2024-010 ; GERS/Santestat : 200 000 euros, SAN-2024-011), illustre avec une acuité particulière les risques juridiques et financiers attachés à la monétisation des données de santé pseudonymisées issues de la relation de soin, consolide la doctrine de la réidentification « par moyens raisonnables » désormais ancrée dans le droit positif français par la décision du Conseil d’État, et consacre l’obligation pour les éditeurs de logiciels de santé de respecter les principes de privacy by design et de loyauté dans la conception même de leurs produits, sous peine d’exposer leurs utilisateurs professionnels — et eux-mêmes — à des sanctions d’une ampleur considérable.
Cette affaire a vu son premier prolongement en 2026 avec l’affaire IQVIA FRANCE (délibération SAN-2026-008 du 26 mai 2026) aux termes de laquelle la CNIL a sanctionné ce leader mondial de la donnée de santé d’une amende de 5 millions d’euros (( add. développements Affaire IQVIA https://www.fytt.me/san-2026-008-essentiels )
29.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats