CNIL | SAN-2024-013 | 5 SEPTEMBRE 2024 | AFFAIRE CEGEDIM SANTÉ |
Par délibération n° SAN-2024-013 du 5 septembre 2024, confirmée en tous points par le Conseil d’État dans sa décision des 10ème et 9ème chambres réunies du 13 février 2026 (n° 498749, ECLI:FR:CECHR:2026:498628.20260213, mentionné aux tables du Recueil Lebon), la formation restreinte de la CNIL a prononcé à l’encontre de la SAS Cegedim Santé une amende administrative de 800 000 euros assortie d’une mesure de publicité nominative pendant deux ans, pour deux manquements distincts et cumulatifs : d’une part, un manquement à l’article 66 de la loi n° 78-17 du 6 janvier 1978 modifiée, pour avoir collecté et transmis à la société GERS — via le logiciel de gestion médicale « Crossway » — des données de santé relatives à 13,4 millions de consultations associées à 4 millions de codes patients sans avoir obtenu l’autorisation préalable de la CNIL ni recueilli le consentement des personnes concernées
La formation restreinte a établi, par une évaluation concrète du risque de réidentification réalisable « à partir d’un logiciel tableur d’usage courant », que ces données pseudonymisées demeuraient des données à caractère personnel au sens de l’article 4, §1 du RGPD, dès lors que le risque d’identification — apprécié à l’aune de l’arrêt CJUE, 7 mars 2024, OC c/ Commission (C-479/22) exigeant qu’il soit « insignifiant » et l’identification « irréalisable en pratique » pour emporter anonymisation — n’était nullement insignifiant au regard de la granularité des données collectées (date et heure exactes de consultation, pathologies, prescriptions, identifiants ADELI et RPPS des praticiens, code région), les données collectées sans consentement ne relevant ainsi pas de l’exception de l’article 65 de la loi mais du régime d’autorisation préalable de son article 66, III dont Cegedim Santé était dépourvue ; d’autre part, un manquement propre et autonome à l’article 5, §1, a) du RGPD pour avoir configuré le logiciel « Crossway » de telle façon que la consultation par le médecin des données issues du téléservice HRi (Historique des Remboursements) entraînait automatiquement et irrémédiablement leur téléchargement dans le dossier informatisé du patient hébergé dans le système d’information de l’éditeur, sans que le praticien puisse consulter ces données sans les transférer à Cegedim Santé, ce qui permettait à cette dernière d’aspirer systématiquement des données de remboursement auxquelles seuls les médecins sont légalement autorisés à accéder en vertu des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique
Le Conseil d’État a confirmé « sans erreur de droit ni erreur d’appréciation » que cette collecte intervenait en méconnaissance de ces dispositions et emportait violation du principe de licéité, aucune des bases légales de l’article 6 du RGPD — pas même la mission d’intérêt public, dont Cegedim Santé « n’apporte aucun élément de nature à établir » qu’elle en relèverait — ne pouvant légitimer un traitement structurellement fondé sur l’accaparement technique de données médicales confiées à un praticien
L’affaire, qui s’inscrit dans un triptyque de sanctions simultanément prononcées à l’encontre des trois entités du groupe Cegedim (GERS : 800 000 euros, SAN-2024-010 ; GERS/Santestat : 200 000 euros, SAN-2024-011), illustre avec une acuité particulière les risques juridiques et financiers attachés à la monétisation des données de santé pseudonymisées issues de la relation de soin, consolide la doctrine de la réidentification « par moyens raisonnables » désormais ancrée dans le droit positif français par la décision du Conseil d’État, et consacre l’obligation pour les éditeurs de logiciels de santé de respecter les principes de privacy by design et de loyauté dans la conception même de leurs produits, sous peine d’exposer leurs utilisateurs professionnels — et eux-mêmes — à des sanctions d’une ampleur considérable.
Cette affaire a vu son premier prolongement en 2026 avec l’affaire IQVIA FRANCE (délibération SAN-2026-008 du 26 mai 2026) aux termes de laquelle la CNIL a sanctionné ce leader mondial de la donnée de santé d’une amende de 5 millions d’euros (voir publication et développements sur l'affaire IQVIA)
PARTIE I — CONSEILS AUX RESPONSABLES DE TRAITEMENT | v. aussi Affaire IQVIA 26 mai 2026
A. NE PAS CONFONDRE PSEUDONYMISATION ET ANONYMISATION : UN IMPÉRATIF ABSOLU
La délibération SAN-2024-013 et la décision du Conseil d’État du 13 février 2026 posent, avec une netteté doctrinale exemplaire, l’équation fondamentale qui conditionne l’applicabilité du RGPD : une donnée pseudonymisée n’est pas une donnée anonyme, et le responsable de traitement qui entend se soustraire au régime du RGPD en invoquant la pseudonymisation supporte la charge de démontrer que le risque de réidentification est insignifiant et que l’identification est irréalisable en pratique (CJUE, 7 mars 2024, OC c/ Commission, C-479/22 ; CE, 13 février 2026, n° 498749).
Tout responsable de traitement qui collecte, agrège ou valorise des données issues de la relation de soin — ou de toute autre relation sensible — doit impérativement conduire, avant toute mise en œuvre du traitement, une analyse documentée et rigoureuse du risque résiduel de réidentification. Cette analyse doit être menée dans les conditions définies par le considérant 26 du RGPD et doit notamment prendre en compte :
----La granularité des données : la présence d’éléments aussi précis que la date et l’heure exacte d’une consultation médicale, la catégorie socio-professionnelle du patient, les pathologies, les médicaments prescrits et les arrêts de travail constitue un faisceau d’indices permettant une individualisation aisée, indépendamment de toute suppression du nom ou du numéro de sécurité sociale ; ----La disponibilité des données de référence : lorsque les identifiants des professionnels de santé (ADELI, RPPS) figurent dans les données collectées et sont librement accessibles en ligne, le risque de réidentification indirecte est structurellement élevé ; ----Les possibilités de croisement : les données de géolocalisation, les données de remboursement, les codes régions ou départements permettent, par croisement avec des bases tierces publiques ou accessibles, de lever le pseudonymat de personnes souffrant de pathologies rares ou bénéficiant de prescriptions atypiques ; ----Les moyens technologiques disponibles : la CNIL a démontré, dans les délibérations du groupe Cegedim, que la réidentification était réalisable « à partir d’un logiciel tableur d’usage courant » — outil disponible dans toute organisation. La technologie nécessaire à la réidentification est donc particulièrement ordinaire et accessible.
Recommandation opérationnelle : Tout responsable de traitement exploitant des données pseudonymisées doit, a minima, (i) soumettre ces données à un test de réidentification interne rigoureux et documenté, (ii) faire vérifier ce test par un expert indépendant (DPO ou prestataire spécialisé), (iii) consigner les résultats dans le registre des activités de traitement (article 30 RGPD) et dans l’AIPD le cas échéant, et (iv) réévaluer périodiquement ce risque au regard de l’évolution des technologies disponibles.
B. VÉRIFIER SYSTÉMATIQUEMENT LE RÉGIME JURIDIQUE APPLICABLE AUX TRAITEMENTS DE DONNÉES DE SANTÉ
La délibération SAN-2024-013 rappelle avec force que les données de santé — définies à l’article 4, §15 du RGPD comme les données « relatives à la santé physique ou mentale d’une personne physique (…) qui révèlent des informations sur l’état de santé de cette personne » — bénéficient d’un double régime de protection :
----Le régime général du RGPD, applicable à toutes les données à caractère personnel (articles 5 à 22 du RGPD) ; ----Le régime spécifique prévu par la loi n° 78-17 du 6 janvier 1978 modifiée, et plus particulièrement ses articles 65 et 66, qui imposent, pour les traitements de données de santé qui ne reposent pas sur le consentement explicite des personnes concernées, soit une conformité à un référentiel CNIL (avec déclaration préalable), soit une autorisation préalable de la CNIL.
L’article 66, III de la loi de 1978 est formel :
« Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en oeuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés. »
Tout responsable de traitement qui envisage d’exploiter des données de santé — fussent-elles présentées comme pseudonymisées — à des fins autres que les soins directs (études épidémiologiques, statistiques commerciales, data analytics, recherche médicale, etc.) doit impérativement identifier le cadre juridique applicable avant toute mise en œuvre :
- Identifier si les données sont effectivement anonymes au sens du considérant 26 du RGPD et de la jurisprudence CJUE/CE : si le risque de réidentification n’est pas insignifiant, les données restent des données à caractère personnel de santé ;
- Identifier la base légale applicable : le consentement explicite de l’article 9, §2, a) du RGPD permet d’échapper au régime d’autorisation de l’article 66 — mais exige un consentement libre, spécifique, éclairé et univoque, dont la charge de la preuve incombe au responsable de traitement ;
- En l’absence de consentement, vérifier si le traitement est conforme à un référentiel CNIL existant et, dans l’affirmative, adresser la déclaration de conformité préalable ;
- En l’absence de référentiel applicable, déposer une demande d’autorisation préalable auprès de la CNIL avant toute mise en œuvre du traitement.
Recommandation opérationnelle : Aucun traitement de données de santé ne doit être mis en œuvre sans que le responsable de traitement ait préalablement consulté son DPO et, le cas échéant, son conseil juridique, pour vérifier la conformité du traitement au regard des articles 65 et 66 de la loi de 1978. Le coût d’une demande d’autorisation préalable est sans commune mesure avec le risque d’une sanction telle que celle prononcée à l’encontre de Cegedim Santé (800 000 euros, décision rendue publique nominativement pendant deux ans).
C. L’OBLIGATION DE PRIVACY BY DESIGN
La délibération SAN-2024-013 innove en consacrant un manquement au principe de loyauté (article 5, §1, a) du RGPD) lié non pas à une politique de traitement illicite décidée en amont, mais à la conception même du logiciel utilisé par le responsable de traitement ou son sous-traitant.
En l’espèce, Cegedim Santé avait configuré le logiciel « Crossway » de telle sorte que la consultation par le médecin des données du téléservice HRi entraînait automatiquement et inévitablement leur téléchargement dans le système d’information de l’éditeur — sans que le médecin ait la possibilité de consulter les données HRi sans les transférer au logiciel. Ce mécanisme constitue une collecte de facto de données médicales auxquelles Cegedim Santé n’avait légalement aucun droit d’accès, en violation des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique.
Cette dimension de la délibération appelle des recommandations particulièrement importantes pour les éditeurs de logiciels professionnels :
----Privacy by design (article 25, §1 RGPD) : tout éditeur de logiciel à usage professionnel — et en particulier tout logiciel exploité dans un contexte de traitement de données sensibles (santé, ressources humaines, finance, etc.) — doit concevoir son produit de manière à ce que seules les données strictement nécessaires à la fourniture du service soient collectées et traitées. Un logiciel de gestion de cabinet médical n’a légitimement vocation à collecter que les données que le médecin décide d’y saisir ou d’y importer délibérément. Toute collecte automatique et non contrôlable de données par l’éditeur constitue une violation structurelle du principe de minimisation et du principe de loyauté.
----Privacy by default (article 25, §2 RGPD) : les paramètres par défaut d’un logiciel doivent garantir le niveau de protection le plus élevé possible. Le médecin doit pouvoir consulter les données du téléservice HRi sans que cette consultation entraîne automatiquement un transfert de données vers le système de l’éditeur.
----Transparence vis-à-vis des utilisateurs professionnels : lorsqu’un logiciel collecte des données au profit de son éditeur — même dans un cadre légalement admissible — cette collecte doit être explicitement décrite dans les conditions d’utilisation et dans la politique de protection des données, de manière à informer l’utilisateur professionnel de l’existence, des finalités et des destinataires de cette collecte.
Recommandation opérationnelle : Tout responsable de traitement qui utilise un logiciel fourni par un tiers doit auditer les mécanismes de collecte de données intégrés à ce logiciel, en s’assurant que celui-ci ne collecte pas, à son insu, des données auxquelles l’éditeur n’aurait pas le droit d’accéder. Cet audit doit être formalisé, documenté, et intégré au registre des activités de traitement. Les contrats de sous-traitance au sens de l’article 28 du RGPD doivent expressément interdire à l’éditeur toute collecte de données au-delà des strictes nécessités de la fourniture du service.
D. INTÉGRER LA DIMENSION GROUPE DANS LA GESTION DES RISQUES JURIDIQUES ET PROCÉDURAUX
L’affaire Cegedim/GERS met en lumière une dimension souvent sous-estimée dans les groupes de sociétés : l’exposition procédurale et financière de la société-mère en cas de mise en cause d’une filiale. La société GERS, mise en cause à titre principal pour les traitements opérés dans les bases « Thin » et « Gers Etudes Clients », a également fait l’objet d’une sanction distincte en sa qualité de successeur universel de la SARL Santestat, absorbée pendant la procédure.
Le Conseil d’État a validé la continuité de la procédure de sanction après absorption, en retenant que GERS « ne pouvait ignorer la procédure ouverte contre sa filiale » dès lors qu’elle était « elle-même mise en cause dans une procédure parallèle pour des traitements similaires et étroitement liés ». Cette solution procédurale, d’une importance pratique considérable, signifie que :
----L’absorption d’une filiale en cours de procédure de sanction CNIL ne permet pas d’éteindre la procédure : la société absorbante supporte la sanction prononcée à l’encontre de la filiale absorbée ; ----La co-exposition des entités d’un groupe dans des procédures de sanction CNIL est une réalité dont les directions juridiques et conformité doivent tenir compte dès la phase d’instruction ; ----Le niveau de vigilance doit être identique pour toutes les entités du groupe, y compris les filiales opérationnelles, dès lors que leurs pratiques de traitement de données sont liées à celles de la société-mère ou présentent des problématiques similaires.
Recommandation opérationnelle : En cas d’opération de restructuration (fusion, absorption, cession) impliquant une entité du groupe faisant l’objet d’une procédure CNIL en cours ou d’un risque de contrôle avéré, la due diligence juridique doit impérativement inclure un audit RGPD approfondi couvrant l’ensemble des traitements de données en cause, et évaluer le risque de reprise de la procédure par la société acquérante ou absorbante.
E. ÉTABLIR ET MAINTENIR UNE DOCUMENTATION RGPD RIGOUREUSE POUR LES TRAITEMENTS DE DONNÉES DE SANTÉ
La délibération SAN-2024-013 illustre la difficulté pour un responsable de traitement de contester les constats d’une délégation de contrôle lorsque sa documentation RGPD est lacunaire ou incohérente. En l’espèce, les sociétés du groupe Cegedim n’ont pas été en mesure de démontrer que le risque de réidentification était insignifiant, faute d’une analyse documentée et rigoureuse préalable au traitement.
Tout responsable de traitement exploitant des données de santé — y compris pseudonymisées — doit donc :
- Tenir un registre des activités de traitement (article 30 RGPD) détaillant précisément les catégories de données traitées, les finalités, les destinataires et les mesures de sécurité mises en œuvre pour chaque traitement de données de santé ;
- Réaliser une AIPD (article 35 RGPD) pour tout traitement de données de santé à grande échelle — qui constitue, de par sa nature, un traitement à risque élevé justifiant une analyse d’impact obligatoire — et y intégrer une évaluation documentée du risque de réidentification ;
- Documenter les mesures d’anonymisation et les tester périodiquement, en conservant les résultats de ces tests dans la documentation RGPD ;
- Vérifier la conformité aux référentiels CNIL applicables (référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux, référentiel relatif aux entrepôts de données de santé, etc.) ou, à défaut, déposer une demande d’autorisation préalable ;
- Nommer un DPO (article 37 RGPD) : le traitement à grande échelle de données de santé constitue l’un des critères légaux rendant la désignation d’un DPO obligatoire. La présence d’un DPO compétent et doté des moyens nécessaires à l’exercice de sa mission constitue, en outre, un facteur atténuant susceptible d’être pris en compte dans la détermination du quantum de la sanction.
CONSEILS AUX PERSONNES CONCERNEES
A. COMPRENDRE L’ÉTENDUE DE L’UTILISATION DE VOS DONNÉES DE SANTÉ
La délibération SAN-2024-013 révèle une réalité peu connue du grand public : les données de santé collectées lors de consultations médicales ou d’achats pharmaceutiques peuvent faire l’objet de traitements à des fins commerciales, sans que les patients et clients en aient nécessairement conscience. En l’espèce, les données de 4 millions de codes patients associés à 13,4 millions de consultations, ainsi que les données de 78 millions d’identifiants de clients d’officines pharmaceutiques, avaient été collectées et transmises à une société spécialisée dans la production d’études statistiques commerciales, sans consentement des personnes concernées.
Toute personne qui consulte un médecin utilisant le logiciel « Crossway » ou qui fréquente une officine pharmaceutique intégrant les modules Santestat doit savoir que :
----Ses données de santé — consultations, prescriptions, médicaments achetés, pathologies — ont potentiellement été collectées par des acteurs tiers à la relation de soin, à son insu et sans son consentement ; ----Ses données de remboursement consultées par son médecin via le téléservice HRi ont pu être automatiquement aspirées dans le système d’information de l’éditeur du logiciel, en violation du cadre légal applicable ; ----La pseudonymisation partielle de ses données (substitution du nom par un code) ne garantit pas l’impossibilité de sa réidentification, notamment lorsque les données incluent des éléments suffisamment granulaires (pathologies rares, date précise de consultation, prescripteur identifiable).
B. EXERCER SES DROITS GARANTIS PAR LE RGPD AUPRÈS DES RESPONSABLES DE TRAITEMENT
Le RGPD confère aux personnes concernées un ensemble de droits substantiels directement mobilisables :
Droit d’accès (article 15 RGPD) : Toute personne a le droit d’obtenir du responsable de traitement la confirmation que des données la concernant sont ou non traitées, et d’en obtenir une copie. Pour les patients concernés par les traitements du groupe Cegedim, ce droit peut être exercé auprès de Cegedim Santé (pour les données traitées via le logiciel « Crossway ») et auprès de la SAS GERS (pour les données figurant dans les bases « Thin » et « Gers Etudes Clients »).
Droit d’opposition (article 21 RGPD) : Toute personne peut s’opposer, à tout moment et pour des raisons tenant à sa situation particulière, au traitement de ses données à caractère personnel lorsque ce traitement est fondé sur l’intérêt légitime du responsable de traitement ou sur une mission d’intérêt public. Cette opposition peut notamment viser les traitements à finalité statistique ou commerciale.
Droit à l’effacement (article 17 RGPD) : Lorsque le traitement est illicite — notamment en l’absence de base légale valable, comme le constate la CNIL dans la délibération SAN-2024-013 —, la personne concernée peut demander l’effacement des données la concernant.
Droit à la limitation du traitement (article 18 RGPD) : En cas de contestation de l’exactitude des données ou de l’illicéité du traitement, la personne concernée peut demander la limitation du traitement, c’est-à-dire le gel de l’utilisation de ses données pendant la durée nécessaire à la vérification de sa demande.
Recommandation pratique : Pour exercer ces droits, la personne concernée doit adresser une demande écrite au responsable de traitement, en s’identifiant précisément et en précisant la nature du droit exercé. En cas d’absence de réponse dans le délai d’un mois (prorogeable à trois mois pour les demandes complexes), ou de réponse insatisfaisante, elle peut saisir la CNIL d’une plainte en ligne sur le site cnil.fr (formulaire de plainte en ligne).
C. SAISIR LA CNIL EN CAS DE VIOLATION DE SES DROITS OU DE SES DONNÉES
La CNIL est l’autorité de contrôle compétente pour recevoir les plaintes des personnes concernées et exercer des pouvoirs d’investigation et de sanction à l’encontre des responsables de traitement défaillants. La plainte est gratuite et peut être déposée en ligne sur le site cnil.fr.
Toute personne qui estime que le traitement de ses données de santé a été opéré sans base légale valable, ou en violation des principes du RGPD, a le droit de saisir la CNIL, indépendamment de tout recours juridictionnel. Les recours peuvent être cumulés.
En outre, en cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour ses droits et libertés, la personne concernée doit être informée directement par le responsable de traitement (article 34 RGPD). Si cette information n’a pas été délivrée ou est insuffisante, la personne peut en faire état dans sa plainte auprès de la CNIL.
D. ÊTRE VIGILANT FACE AUX USAGES SECONDAIRES DES DONNÉES DE SANTÉ DANS L’ÉCOSYSTÈME NUMÉRIQUE
L’affaire Cegedim/GERS illustre une problématique systémique de la santé numérique : les données de santé collectées en situation de soin font l’objet d’une valorisation commerciale croissante, qui dépasse largement la relation thérapeutique initiale. Cette réalité économique implique une vigilance accrue de la part des patients :
----Interroger son médecin sur les logiciels qu’il utilise et les modalités de traitement des données patients par l’éditeur de ces logiciels ; ----Lire attentivement les politiques de confidentialité des applications de santé, des pharmacies en ligne et des plateformes de téléconsultation, qui peuvent comporter des clauses autorisant des utilisations secondaires des données de santé ; ----Exercer son droit au consentement : lorsque le responsable de traitement sollicite un consentement pour un usage secondaire des données de santé (études, statistiques, partage avec des partenaires), ce consentement doit être libre, spécifique, éclairé et révocable à tout moment.
Pas de contribution, soyez le premier