CNIL | SAN-2024-013 | 5 SEPTEMBRE 2024 | AFFAIRE CEGEDIM SANTÉ |
CEGEDIM SANTÉ SANCTIONNÉE POUR AVOIR COLLECTÉ AUTOMATIQUEMENT L’HISTORIQUE DES REMBOURSEMENTS DE SES PATIENTS-PANÉLISTES À LEUR INSU.
QUAND UN ÉDITEUR DE LOGICIELS MÉDICAUX EXPLOITE EN SECRET LES DONNÉES DE SANTÉ DE MILLIONS DE PATIENTS..
CEGEDIM SANTÉ | 800 000 EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Le dispositif « observatoire » et l’architecture du flux CROSSWAY
La société CEGEDIM SANTÉ, filiale du groupe CEGEDIM, édite le logiciel de gestion de cabinet CROSSWAY utilisé par quelque 25 000 cabinets médicaux et 500 centres de santé. En marge de cette activité principale, la société avait mis en place un « observatoire » épidémiologique : elle proposait à un panel représentatif de médecins utilisateurs du logiciel — sélectionnés selon des critères géographiques, d’âge et de spécialité — d’adhérer à un dispositif de remontée automatique des données issues des dossiers de leurs patients, en contrepartie d’une remise sur leur licence logicielle et d’un accès aux études statistiques produites à partir de ces mêmes données.
Le mécanisme technique de collecte reposait sur un extracteur intégré à CROSSWAY : les données des dossiers patients des médecins panlistes étaient périodiquement extraites, rechiffrées au moment de leur génération en fichier de transmission, puis acheminées par canal chiffré HTTPS vers les serveurs centralisés de CEGEDIM SANTÉ. Chaque patient se voyait attribuer un identifiant unique propre au cabinet médical — sans lien avec un trait d’identité réel —, mais cet identifiant restait stable pour toutes les consultations chez un même médecin, ce qui permettait un suivi longitudinal continu du parcours de soins. Les données collectées couvraient un spectre particulièrement riche : données administratives (année de naissance, sexe, catégorie socio-professionnelle, code région, date de consultation), données médicales (allergies, antécédents personnels et familiaux, constantes physiologiques, diagnostics), prescriptions pharmaceutiques et autres prescriptions (arrêts de travail, vaccins, résultats d’analyses biologiques). Ces données étaient ensuite transmises à des clients de la société, en premier lieu la société GERS, pour la réalisation d’études quantitatives et statistiques commercialisées dans le domaine de la santé.
Lors du contrôle diligenté par la CNIL le 30 mars 2021 dans les locaux de la société, les agents de contrôle ont constaté que la base de données « THIN », alimentée par le flux CROSSWAY, contenait des données relatives à plus de 13,4 millions de consultations associées à 4 millions de codes patients, le nombre de lignes collectées sur les seuls premiers mois de 2021 s’élevant à plusieurs millions d’entrées.
II.
La requalification des données de « anonymes » en « pseudonymisées » : une évaluation concrète du risque de réidentification
La controverse juridique cardinale de l’affaire réside dans la qualification des données traitées. CEGEDIM SANTÉ soutenait que les données du flux CROSSWAY étaient anonymes — au motif qu’aucun trait d’identité directement nominatif n’y figurait — et que, partant, elles n’étaient pas soumises au RGPD ni à la loi Informatique et Libertés. Le rapporteur puis la formation restreinte ont au contraire retenu la qualification de données pseudonymisées, constitutives de données à caractère personnel au sens de l’article 4(1) du RGPD.
La distinction entre pseudonymisation et anonymisation est au cœur de la délibération. Le RGPD ne définit pas l’anonymisation, mais son considérant 26 impose de prendre en considération, pour apprécier le caractère « identifiable » d’une personne, l’ensemble des moyens raisonnablement susceptibles d’être utilisés, tant par le responsable du traitement que par tout tiers. La formation restreinte a mobilisé l’Avis 05/2014 du G29 sur les techniques d’anonymisation, qui identifie trois risques devant être maîtrisés pour qu’un traitement soit qualifié d’anonyme : l’individualisation, la corrélation et l’inférence. Elle a constaté que le traitement de CEGEDIM SANTÉ ne résistait pas, par nature, au premier de ces risques (l’individualisation), puisque l’identifiant unique attribué à chaque patient permettait précisément d’isoler un individu dans le jeu de données et de suivre son parcours de soins dans le temps.
La formation restreinte n’a pas opéré une qualification abstraite, mais a procédé à une évaluation in concreto du risque de réidentification. Le rapporteur avait produit, à titre démonstratif, une reconstitution précise du parcours de soins d’un enfant de douze ans atteint d’une ALD à partir d’un extrait seulement du jeu de données transmis par la société en cours de procédure. Cette reconstitution avait été réalisée en utilisant uniquement un tableur Excel et la nomenclature fournie par CEGEDIM SANTÉ, sans recours à aucune source de données tierce, et en y consacrant peu de temps et peu de moyens. La formation restreinte en a déduit que la levée du pseudonymat était réalisable par des moyens raisonnables, ce qui suffisait à exclure la qualification d’anonymisation.
La formation restreinte a renforcé cette conclusion en relevant que l’expertise externe produite par la société elle-même aboutissait à un k-anonymat égal à 1 — c’est-à-dire confirmait la possibilité d’isoler un individu dans la base — ce qui caractérisait déjà, à lui seul, le premier risque identifié par le G29. Elle a précisé que le niveau de sécurité technique élevé mis en avant par la société pour protéger l’accès à ses données était sans incidence sur la qualification juridique de ces données : la sécurité d’un système et la nature des données qu’il traite sont deux questions entièrement distinctes.
La formation restreinte s’est également appuyée sur deux arrêts récents de la CJUE : l’arrêt OC c/ Commission européenne (7 mars 2024, C-479/22) et l’arrêt IAB Europe (7 mars 2024, C-604/22), qui ont tous deux confirmé que la nécessité de recourir à des informations supplémentaires — y compris détenues par des tiers — pour identifier une personne n’exclut pas la qualification de données à caractère personnel. Elle a par ailleurs relevé que la corrélation avec des données de tiers — notamment des données de géolocalisation — augmenterait encore considérablement les possibilités de levée du pseudonymat, d’autant que la société détenait une table de correspondance entre les numéros de panel des médecins et leur identité.
III.
La qualification de responsable du traitement : rejet de la thèse du sous-traitant
CEGEDIM SANTÉ tentait de se présenter comme simple sous-traitant des médecins utilisateurs et des sociétés clientes (GERS), invoquant notamment un courrier de clôture de contrôle adressé par la CNIL en 2014 à sa filiale CEGEDIM LOGICIELS MÉDICAUX FRANCE, dans lequel elle estimait avoir vu reconnaître ce statut de sous-traitant. La formation restreinte a rejeté cette qualification sur plusieurs fondements cumulatifs. CEGEDIM SANTÉ déterminait elle-même les finalités et les moyens du traitement : elle définissait les critères d’éligibilité et les conditions de participation au panel de médecins, encadrait contractuellement les modalités de collecte et de transmission des données, déterminait l’usage autorisé des données par ses clients (limitant la société GERS à la seule réalisation d’études) et organisait l’ensemble du dispositif de l’observatoire pour répondre à ses propres besoins commerciaux. La formation restreinte a également relevé que, dans l’analyse d’impact conduite par la société elle-même, CEGEDIM SANTÉ s’était désignée comme responsable du traitement de l’observatoire.
Concernant le courrier de 2014, la formation restreinte a jugé qu’elle n’en était pas liée, en raison de son ancienneté et des évolutions considérables du cadre légal et jurisprudentiel, notamment l’entrée en vigueur du RGPD qui a consacré le principe d’accountability. Elle a précisé que la notion d’anonymat utilisée dans ce courrier correspondait alors à l’absence de données directement identifiantes — et non à l’impossibilité de réidentification par des moyens raisonnables au sens du droit actuel —, ce qui rendait cette position caduque.
IV.
Le manquement à l’article 66 de la loi Informatique et Libertés : défaut d’autorisation pour un entrepôt de données de santé
Dès lors que la société traitait des données de santé pseudonymisées et se constituait de facto un entrepôt de données de santé, elle était soumise aux obligations spécifiques des traitements de données de santé prévues par la section 3 du chapitre III de la loi Informatique et Libertés. L’article 66 de cette loi subordonne la licéité de tels traitements à l’obtention préalable d’une autorisation de la CNIL, ou à la conformité à l’un de ses référentiels avec envoi d’une déclaration préalable. À défaut, seul le consentement explicite des personnes concernées, au titre de l’exception prévue à l’article 65, pouvait justifier le traitement.
Or, CEGEDIM SANTÉ n’avait formulé aucune demande d’autorisation, n’avait adressé aucune déclaration de conformité à un référentiel, et — partant de sa prémisse selon laquelle les données étaient anonymes — n’avait mis en place aucun mécanisme de recueil du consentement explicite des patients. La formation restreinte a rejeté l’argument tiré de l’insécurité juridique du cadre de l’anonymisation, en soulignant que d’autres sociétés opérant des traitements similaires sur le même marché avaient, pour leur part, sollicité et obtenu les autorisations requises — autorisations publiquement accessibles sur Légifrance. Elle a rappelé que le principe de responsabilité (accountability) issu des articles 5(2) et 24 du RGPD impose au responsable de traitement de se renseigner activement sur ses obligations et d’y satisfaire sans attendre d’être interpellé par l’autorité de contrôle.
V.
Le manquement à l’article 5(1)(a) du RGPD : la collecte illicite des données du télé-service HRi
Le second manquement retenu par la formation restreinte — confirmé par le Conseil d’État le 13 février 2026 — porte sur la collecte automatique par CEGEDIM SANTÉ des données issues du télé-service HRi (Historique des Remboursements) mis à la disposition des médecins par l’assurance maladie. Ce télé-service, dont l’accès est strictement encadré par les articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale, permet aux seuls médecins — avec l’accord du patient — de consulter l’historique de ses remboursements sur les douze derniers mois pour les besoins des soins délivrés.
L’architecture du logiciel CROSSWAY prévoyait que, dès lors qu’un médecin se connectait au télé-service HRi pour consulter les données d’un patient, ces données étaient automatiquement téléchargées dans le dossier informatisé du patient — sur une profondeur de douze mois —, sans qu’il existe aucune possibilité de consulter les données sans les télécharger, ni d’étape intermédiaire permettant au médecin de décider s’il souhaitait les intégrer dans le dossier. L’extracteur CROSSWAY les aspirait ensuite vers les serveurs de CEGEDIM SANTÉ, les intégrant dans le flux de données de l’observatoire.
La formation restreinte a retenu que cette modalité de collecte méconnaissait l’article 5(1)(a) du RGPD : le traitement n’était pas licite au sens de l’article 6 du RGPD, car les textes du code de la sécurité sociale réservent l’accès aux données HRi aux seuls médecins dans le cadre de la relation de soins et ne prévoient pas pour un acteur privé — éditeur logiciel — la possibilité de capter automatiquement ces données à des fins commerciales. Le Conseil d’État, dans son arrêt du 13 février 2026, a confirmé cette analyse sans réserve, en relevant que la société ne pouvait faire valoir aucune condition de licéité au sens de l’article 6 du RGPD pour justifier ce traitement.
VI.
La validation de la délibération par le Conseil d’État (13 février 2026)
Saisi d’un recours en annulation par CEGEDIM SANTÉ, mais aussi par les sociétés GERS et GERS venant aux droits de la société Santestat, le Conseil d’État a, par sa décision du 13 février 2026 (n° 498749, 10e-9e chambres réunies, mentionné aux tables du recueil Lebon), rejeté l’ensemble des requêtes. Sur la qualification des données, la juridiction administrative suprême a posé un standard d’appréciation particulièrement exigeant, en retenant que les données ne peuvent être considérées comme anonymisées que si le risque d’identification est « insignifiant », une identification étant « irréalisable en pratique » car impliquant un « effort démesuré en termes de temps, de coût et de main-d’œuvre ». Il a jugé que la CNIL avait procédé à une évaluation concrète en établissant qu’une reconstitution du parcours de soins avait pu être réalisée avec des moyens élémentaires et sans recours à des sources tierces.
Le Conseil d’État a également écarté la demande de question préjudicielle à la CJUE sur l’interprétation de l’exigence de « moyens raisonnables », en l’absence de difficulté sérieuse sur l’interprétation des dispositions en cause à la lumière des arrêts OC c/ Commission et IAB Europe du 7 mars 2024. Sur la proportionnalité des sanctions, il a jugé que la formation restreinte n’avait pas, en retenant les montants des amendes prononcées, infligé des sanctions disproportionnées, et que la décision de rendre publique la délibération concernant CEGEDIM SANTÉ était justifiée par la gravité des manquements, l’ampleur du traitement et le nombre de personnes concernées.
POINTS ESSENTIELS
Par délibération n° SAN-2024-013 du 5 septembre 2024, confirmée en tous points par le Conseil d’État dans sa décision des 10ème et 9ème chambres réunies du 13 février 2026 (n° 498749, ECLI:FR:CECHR:2026:498628.20260213, mentionné aux tables du Recueil Lebon), la formation restreinte de la CNIL a prononcé à l’encontre de la SAS Cegedim Santé une amende administrative de 800 000 euros assortie d’une mesure de publicité nominative pendant deux ans, pour deux manquements distincts et cumulatifs : d’une part, un manquement à l’article 66 de la loi n° 78-17 du 6 janvier 1978 modifiée, pour avoir collecté et transmis à la société GERS — via le logiciel de gestion médicale « Crossway » — des données de santé relatives à 13,4 millions de consultations associées à 4 millions de codes patients sans avoir obtenu l’autorisation préalable de la CNIL ni recueilli le consentement des personnes concernées
La formation restreinte a établi, par une évaluation concrète du risque de réidentification réalisable « à partir d’un logiciel tableur d’usage courant », que ces données pseudonymisées demeuraient des données à caractère personnel au sens de l’article 4, §1 du RGPD, dès lors que le risque d’identification — apprécié à l’aune de l’arrêt CJUE, 7 mars 2024, OC c/ Commission (C-479/22) exigeant qu’il soit « insignifiant » et l’identification « irréalisable en pratique » pour emporter anonymisation — n’était nullement insignifiant au regard de la granularité des données collectées (date et heure exactes de consultation, pathologies, prescriptions, identifiants ADELI et RPPS des praticiens, code région), les données collectées sans consentement ne relevant ainsi pas de l’exception de l’article 65 de la loi mais du régime d’autorisation préalable de son article 66, III dont Cegedim Santé était dépourvue ; d’autre part, un manquement propre et autonome à l’article 5, §1, a) du RGPD pour avoir configuré le logiciel « Crossway » de telle façon que la consultation par le médecin des données issues du téléservice HRi (Historique des Remboursements) entraînait automatiquement et irrémédiablement leur téléchargement dans le dossier informatisé du patient hébergé dans le système d’information de l’éditeur, sans que le praticien puisse consulter ces données sans les transférer à Cegedim Santé, ce qui permettait à cette dernière d’aspirer systématiquement des données de remboursement auxquelles seuls les médecins sont légalement autorisés à accéder en vertu des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique
Le Conseil d’État a confirmé « sans erreur de droit ni erreur d’appréciation » que cette collecte intervenait en méconnaissance de ces dispositions et emportait violation du principe de licéité, aucune des bases légales de l’article 6 du RGPD — pas même la mission d’intérêt public, dont Cegedim Santé « n’apporte aucun élément de nature à établir » qu’elle en relèverait — ne pouvant légitimer un traitement structurellement fondé sur l’accaparement technique de données médicales confiées à un praticien
L’affaire, qui s’inscrit dans un triptyque de sanctions simultanément prononcées à l’encontre des trois entités du groupe Cegedim (GERS : 800 000 euros, SAN-2024-010 ; GERS/Santestat : 200 000 euros, SAN-2024-011), illustre avec une acuité particulière les risques juridiques et financiers attachés à la monétisation des données de santé pseudonymisées issues de la relation de soin, consolide la doctrine de la réidentification « par moyens raisonnables » désormais ancrée dans le droit positif français par la décision du Conseil d’État, et consacre l’obligation pour les éditeurs de logiciels de santé de respecter les principes de privacy by design et de loyauté dans la conception même de leurs produits, sous peine d’exposer leurs utilisateurs professionnels — et eux-mêmes — à des sanctions d’une ampleur considérable.
Cette affaire a vu son premier prolongement en 2026 avec l’affaire IQVIA FRANCE (délibération SAN-2026-008 du 26 mai 2026) aux termes de laquelle la CNIL a sanctionné ce leader mondial de la donnée de santé d’une amende de 5 millions d’euros (( add. développements Affaire IQVIA https://www.fytt.me/san-2026-008-essentiels )
29.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats