CNIL | SAN-2024-013 | 5 SEPTEMBRE 2024 | AFFAIRE CEGEDIM SANTÉ |
1. Un entrepôt de données de santé pseudonymisées constitué sans autorisation
CEGEDIM SANTÉ, éditrice du logiciel médical CROSSWAY, avait mis en place un « observatoire » épidémiologique en proposant à un panel de médecins utilisateurs de remonter automatiquement les données de leurs dossiers patients vers ses propres serveurs, à des fins de production d’études statistiques commercialisées. Ces données — très riches en informations médicales et administratives — étaient associées à un identifiant unique par patient et par cabinet, permettant un suivi longitudinal continu du parcours de soins. La formation restreinte a retenu que CEGEDIM SANTÉ se constituait ainsi un entrepôt de données de santé pseudonymisées, soumis au régime d’autorisation préalable de l’article 66 de la loi Informatique et Libertés. La société n’ayant formulé aucune demande d’autorisation ni adressé de déclaration de conformité à un référentiel CNIL, et n’ayant mis en œuvre aucun mécanisme de recueil du consentement explicite des patients, le manquement a été retenu. La formation restreinte a souligné que d’autres acteurs opérant des traitements similaires sur le même marché avaient sollicité et obtenu les autorisations requises — autorisations publiquement accessibles —, ce qui rendait inopérante toute invocation de bonne foi ou d’insécurité juridique de la part d’un opérateur spécialisé dans le domaine de la santé.
2. La frontière pseudonymisation/anonymisation : une évaluation in concreto du risque de réidentification
La question centrale de l’affaire portait sur la qualification des données du flux CROSSWAY : la société soutenait qu’elles étaient anonymes, le rapporteur et la formation restreinte qu’elles étaient pseudonymisées, donc soumises au RGPD. La formation restreinte a opéré une évaluation in concreto du risque de réidentification, mobilisant le cadre du considérant 26 du RGPD, l’Avis 05/2014 du G29 sur les techniques d’anonymisation (risques d’individualisation, de corrélation et d’inférence) et la jurisprudence récente de la CJUE — notamment les arrêts OC c/ Commission et IAB Europe du 7 mars 2024. Le rapporteur avait démontré de façon probante, à partir d’un extrait seulement du jeu de données transmis par la société en cours de procédure, qu’il était possible de reconstituer avec précision le parcours de soins d’un enfant de douze ans atteint d’une ALD, en utilisant uniquement un tableur Excel et la nomenclature fournie par CEGEDIM SANTÉ, sans aucune source tierce. La formation restreinte a relevé que l’expertise externe produite par la société elle-même concluait à un k-anonymat égal à 1 — c’est-à-dire à la possibilité d’isoler un individu dans la base —, caracterisant déjà le premier des trois risques identifiés par le G29. Elle a précisé que le niveau de sécurité technique du système est sans incidence sur la qualification juridique des données traitées.
3. La qualification de responsable du traitement : rejet de la thèse du sous-traitant
CEGEDIM SANTÉ se présentait comme simple sous-traitant des médecins et de ses clients (GERS), invoquant notamment un courrier de clôture de contrôle de la CNIL de 2014 adressé à sa filiale CEGEDIM LOGICIELS MÉDICAUX FRANCE. La formation restreinte a rejeté cette thèse en relevant que la société déterminait elle-même les finalités et les moyens du traitement : elle définissait les critères de sélection des médecins panlistes, encadrait contractuellement les modalités de collecte et de transmission des données, et limitait par contrat l’usage autorisé des données par ses clients. Elle a également constaté que, dans l’analyse d’impact conduite par la société, CEGEDIM SANTÉ s’était elle-même désignée comme responsable du traitement de l’observatoire. Concernant le courrier de 2014, la formation restreinte a jugé qu’elle n’en était pas liée, en raison de l’évolution considérable du cadre légal depuis lors — notamment l’entrée en vigueur du RGPD et la consécration du principe d’accountability — et de la différence de sens entre la notion d’« anonymat » utilisée en 2014 (absence de données directement identifiantes) et la définition actuelle (impossibilité de réidentification par des moyens raisonnables). Elle a rappelé que le principe de responsabilité impose à tout responsable de traitement de réévaluer régulièrement ses pratiques au regard de l’état du droit.
4. La collecte illicite des données du télé-service HRi : un manquement au principe de licéité
Le second manquement sanctionné concerne la collecte, par l’intermédiaire de l’extracteur CROSSWAY, des données issues du télé-service HRi (Historique des Remboursements de l’assurance maladie). Ce service, strictement réservé aux médecins dans le cadre de la délivrance de soins en application des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale, permettait aux praticiens de consulter l’historique des remboursements de leurs patients sur les douze derniers mois. L’architecture du logiciel CROSSWAY était telle que la simple consultation de ces données par le médecin entraînait automatiquement leur téléchargement dans le dossier informatisé du patient — sans qu’aucune étape intermédiaire ne permette de consulter sans télécharger —, puis leur aspiration par l’extracteur vers les serveurs de CEGEDIM SANTÉ. La formation restreinte a retenu que cette modalité constituait une collecte en méconnaissance de l’article 5(1)(a) du RGPD, les textes du code de la sécurité sociale ne prévoyant pas pour un acteur privé la possibilité de capter automatiquement ces données à des fins commerciales via la seule consultation par le médecin. Le Conseil d’État a confirmé ce raisonnement dans son arrêt du 13 février 2026, soulignant que la société ne pouvait invoquer aucune des conditions de licéité de l’article 6 du RGPD pour justifier ce traitement.
5. La confirmation du Conseil d’État : un standard d’appréciation exigeant pour la qualification d’anonymat
Par sa décision du 13 février 2026 (n° 498749, 10e-9e chambres réunies, mentionné aux tables du recueil Lebon), le Conseil d’État a rejeté les recours en annulation formés par CEGEDIM SANTÉ et par les sociétés du groupe GERS contre les délibérations SAN-2024-013, SAN-2024-010 et SAN-2024-011. Sur la qualification des données, le Conseil d’État a posé un standard d’exigence élevé en retenant, à la lumière des dispositions du RGPD telles qu’interprétées par la CJUE dans l’arrêt OC c/ Commission du 7 mars 2024, qu’une donnée ne peut être considérée comme anonymisée que si le risque d’identification est « insignifiant », l’identification devant être « irréalisable en pratique » car impliquant un « effort démesuré en termes de temps, de coût et de main-d’œuvre ». Il a validé l’évaluation concrète effectuée par la CNIL, établissant qu’une reconstitution de parcours de soins avait pu être réalisée avec des moyens élémentaires. Il a écarté la demande de renvoi préjudiciel à la CJUE en l’absence de difficulté sérieuse d’interprétation. Cette décision s’inscrit dans un ensemble jurisprudentiel cohérent, le Conseil d’État confirmant simultanément les délibérations prononcées contre les sociétés GERS et Santestat pour des faits de même nature portant sur la base de données « Gers Études clients » alimentée par les données de pharmacies.
I - CONSEILS AUX PERSONNES CONCERNEES | v. aussi Affaire IQVIA 26 mai 2026
A. COMPRENDRE L’ÉTENDUE DE L’UTILISATION DE VOS DONNÉES DE SANTÉ
La délibération SAN-2024-013 révèle une réalité peu connue du grand public : les données de santé collectées lors de consultations médicales ou d’achats pharmaceutiques peuvent faire l’objet de traitements à des fins commerciales, sans que les patients et clients en aient nécessairement conscience. En l’espèce, les données de 4 millions de codes patients associés à 13,4 millions de consultations, ainsi que les données de 78 millions d’identifiants de clients d’officines pharmaceutiques, avaient été collectées et transmises à une société spécialisée dans la production d’études statistiques commerciales, sans consentement des personnes concernées.
Toute personne qui consulte un médecin utilisant le logiciel « Crossway » ou qui fréquente une officine pharmaceutique intégrant les modules Santestat doit savoir que :
----Ses données de santé — consultations, prescriptions, médicaments achetés, pathologies — ont potentiellement été collectées par des acteurs tiers à la relation de soin, à son insu et sans son consentement ; ----Ses données de remboursement consultées par son médecin via le téléservice HRi ont pu être automatiquement aspirées dans le système d’information de l’éditeur du logiciel, en violation du cadre légal applicable ; ----La pseudonymisation partielle de ses données (substitution du nom par un code) ne garantit pas l’impossibilité de sa réidentification, notamment lorsque les données incluent des éléments suffisamment granulaires (pathologies rares, date précise de consultation, prescripteur identifiable).
B. EXERCER SES DROITS GARANTIS PAR LE RGPD AUPRÈS DES RESPONSABLES DE TRAITEMENT
Le RGPD confère aux personnes concernées un ensemble de droits substantiels directement mobilisables:
Droit d’accès (article 15 RGPD) : Toute personne a le droit d’obtenir du responsable de traitement la confirmation que des données la concernant sont ou non traitées, et d’en obtenir une copie. Pour les patients concernés par les traitements du groupe Cegedim, ce droit peut être exercé auprès de Cegedim Santé (pour les données traitées via le logiciel « Crossway ») et auprès de la SAS GERS (pour les données figurant dans les bases « Thin » et « Gers Etudes Clients »).
Droit d’opposition (article 21 RGPD) : Toute personne peut s’opposer, à tout moment et pour des raisons tenant à sa situation particulière, au traitement de ses données à caractère personnel lorsque ce traitement est fondé sur l’intérêt légitime du responsable de traitement ou sur une mission d’intérêt public. Cette opposition peut notamment viser les traitements à finalité statistique ou commerciale.
Droit à l’effacement (article 17 RGPD) : Lorsque le traitement est illicite — notamment en l’absence de base légale valable, comme le constate la CNIL dans la délibération SAN-2024-013 —, la personne concernée peut demander l’effacement des données la concernant.
Droit à la limitation du traitement (article 18 RGPD) : En cas de contestation de l’exactitude des données ou de l’illicéité du traitement, la personne concernée peut demander la limitation du traitement, c’est-à-dire le gel de l’utilisation de ses données pendant la durée nécessaire à la vérification de sa demande.
Recommandation pratique : Pour exercer ces droits, la personne concernée doit adresser une demande écrite au responsable de traitement, en s’identifiant précisément et en précisant la nature du droit exercé. En cas d’absence de réponse dans le délai d’un mois (prorogeable à trois mois pour les demandes complexes), ou de réponse insatisfaisante, elle peut saisir la CNIL d’une plainte en ligne sur le site cnil.fr (formulaire de plainte en ligne).
C. SAISIR LA CNIL EN CAS DE VIOLATION DE SES DROITS OU DE SES DONNÉES
La CNIL est l’autorité de contrôle compétente pour recevoir les plaintes des personnes concernées et exercer des pouvoirs d’investigation et de sanction à l’encontre des responsables de traitement défaillants. La plainte est gratuite et peut être déposée en ligne sur le site cnil.fr.
Toute personne qui estime que le traitement de ses données de santé a été opéré sans base légale valable, ou en violation des principes du RGPD, a le droit de saisir la CNIL, indépendamment de tout recours juridictionnel. Les recours peuvent être cumulés.
En outre, en cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour ses droits et libertés, la personne concernée doit être informée directement par le responsable de traitement (article 34 RGPD). Si cette information n’a pas été délivrée ou est insuffisante, la personne peut en faire état dans sa plainte auprès de la CNIL.
D. ÊTRE VIGILANT FACE AUX USAGES SECONDAIRES DES DONNÉES DE SANTÉ DANS L’ÉCOSYSTÈME NUMÉRIQUE
L’affaire Cegedim/GERS illustre une problématique systémique de la santé numérique : les données de santé collectées en situation de soin font l’objet d’une valorisation commerciale croissante, qui dépasse largement la relation thérapeutique initiale. Cette réalité économique implique une vigilance accrue de la part des patients :
----Interroger son médecin sur les logiciels qu’il utilise et les modalités de traitement des données patients par l’éditeur de ces logiciels ; ----Lire attentivement les politiques de confidentialité des applications de santé, des pharmacies en ligne et des plateformes de téléconsultation, qui peuvent comporter des clauses autorisant des utilisations secondaires des données de santé ; ----Exercer son droit au consentement : lorsque le responsable de traitement sollicite un consentement pour un usage secondaire des données de santé (études, statistiques, partage avec des partenaires), ce consentement doit être libre, spécifique, éclairé et révocable à tout moment.
II — CONSEILS AUX RESPONSABLES DE TRAITEMENT | v. aussi Affaire IQVIA 26 mai 2026
A. NE PAS CONFONDRE PSEUDONYMISATION ET ANONYMISATION : UN IMPÉRATIF ABSOLU
La délibération SAN-2024-013 et la décision du Conseil d’État du 13 février 2026 posent, avec une netteté doctrinale exemplaire, l’équation fondamentale qui conditionne l’applicabilité du RGPD : une donnée pseudonymisée n’est pas une donnée anonyme, et le responsable de traitement qui entend se soustraire au régime du RGPD en invoquant la pseudonymisation supporte la charge de démontrer que le risque de réidentification est insignifiant et que l’identification est irréalisable en pratique (CJUE, 7 mars 2024, OC c/ Commission, C-479/22 ; CE, 13 février 2026, n° 498749).
Tout responsable de traitement qui collecte, agrège ou valorise des données issues de la relation de soin — ou de toute autre relation sensible — doit impérativement conduire, avant toute mise en œuvre du traitement, une analyse documentée et rigoureuse du risque résiduel de réidentification. Cette analyse doit être menée dans les conditions définies par le considérant 26 du RGPD et doit notamment prendre en compte :
----La granularité des données : la présence d’éléments aussi précis que la date et l’heure exacte d’une consultation médicale, la catégorie socio-professionnelle du patient, les pathologies, les médicaments prescrits et les arrêts de travail constitue un faisceau d’indices permettant une individualisation aisée, indépendamment de toute suppression du nom ou du numéro de sécurité sociale ; ----La disponibilité des données de référence : lorsque les identifiants des professionnels de santé (ADELI, RPPS) figurent dans les données collectées et sont librement accessibles en ligne, le risque de réidentification indirecte est structurellement élevé ; ----Les possibilités de croisement : les données de géolocalisation, les données de remboursement, les codes régions ou départements permettent, par croisement avec des bases tierces publiques ou accessibles, de lever le pseudonymat de personnes souffrant de pathologies rares ou bénéficiant de prescriptions atypiques ; ----Les moyens technologiques disponibles : la CNIL a démontré, dans les délibérations du groupe Cegedim, que la réidentification était réalisable « à partir d’un logiciel tableur d’usage courant » — outil disponible dans toute organisation. La technologie nécessaire à la réidentification est donc particulièrement ordinaire et accessible.
Recommandation opérationnelle : Tout responsable de traitement exploitant des données pseudonymisées doit, a minima, (i) soumettre ces données à un test de réidentification interne rigoureux et documenté, (ii) faire vérifier ce test par un expert indépendant (DPO ou prestataire spécialisé), (iii) consigner les résultats dans le registre des activités de traitement (article 30 RGPD) et dans l’AIPD le cas échéant, et (iv) réévaluer périodiquement ce risque au regard de l’évolution des technologies disponibles.
B. VÉRIFIER SYSTÉMATIQUEMENT LE RÉGIME JURIDIQUE APPLICABLE AUX TRAITEMENTS DE DONNÉES DE SANTÉ
La délibération SAN-2024-013 rappelle avec force que les données de santé — définies à l’article 4, §15 du RGPD comme les données « relatives à la santé physique ou mentale d’une personne physique (…) qui révèlent des informations sur l’état de santé de cette personne » — bénéficient d’un double régime de protection :
----Le régime général du RGPD, applicable à toutes les données à caractère personnel (articles 5 à 22 du RGPD) ; ----Le régime spécifique prévu par la loi n° 78-17 du 6 janvier 1978 modifiée, et plus particulièrement ses articles 65 et 66, qui imposent, pour les traitements de données de santé qui ne reposent pas sur le consentement explicite des personnes concernées, soit une conformité à un référentiel CNIL (avec déclaration préalable), soit une autorisation préalable de la CNIL.
L’article 66, III de la loi de 1978 est formel :
« Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en oeuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés. »
Tout responsable de traitement qui envisage d’exploiter des données de santé — fussent-elles présentées comme pseudonymisées — à des fins autres que les soins directs (études épidémiologiques, statistiques commerciales, data analytics, recherche médicale, etc.) doit impérativement identifier le cadre juridique applicable avant toute mise en œuvre :
- Identifier si les données sont effectivement anonymes au sens du considérant 26 du RGPD et de la jurisprudence CJUE/CE : si le risque de réidentification n’est pas insignifiant, les données restent des données à caractère personnel de santé ;
- Identifier la base légale applicable : le consentement explicite de l’article 9, §2, a) du RGPD permet d’échapper au régime d’autorisation de l’article 66 — mais exige un consentement libre, spécifique, éclairé et univoque, dont la charge de la preuve incombe au responsable de traitement ;
- En l’absence de consentement, vérifier si le traitement est conforme à un référentiel CNIL existant et, dans l’affirmative, adresser la déclaration de conformité préalable ;
- En l’absence de référentiel applicable, déposer une demande d’autorisation préalable auprès de la CNIL avant toute mise en œuvre du traitement.
Recommandation opérationnelle : Aucun traitement de données de santé ne doit être mis en œuvre sans que le responsable de traitement ait préalablement consulté son DPO et, le cas échéant, son conseil juridique, pour vérifier la conformité du traitement au regard des articles 65 et 66 de la loi de 1978. Le coût d’une demande d’autorisation préalable est sans commune mesure avec le risque d’une sanction telle que celle prononcée à l’encontre de Cegedim Santé (800 000 euros, décision rendue publique nominativement pendant deux ans).
C. L’OBLIGATION DE PRIVACY BY DESIGN
La délibération SAN-2024-013 innove en consacrant un manquement au principe de loyauté (article 5, §1, a) du RGPD) lié non pas à une politique de traitement illicite décidée en amont, mais à la conception même du logiciel utilisé par le responsable de traitement ou son sous-traitant.
En l’espèce, Cegedim Santé avait configuré le logiciel « Crossway » de telle sorte que la consultation par le médecin des données du téléservice HRi entraînait automatiquement et inévitablement leur téléchargement dans le système d’information de l’éditeur — sans que le médecin ait la possibilité de consulter les données HRi sans les transférer au logiciel. Ce mécanisme constitue une collecte de facto de données médicales auxquelles Cegedim Santé n’avait légalement aucun droit d’accès, en violation des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique.
Cette dimension de la délibération appelle des recommandations particulièrement importantes pour les éditeurs de logiciels professionnels :
----Privacy by design (article 25, §1 RGPD) : tout éditeur de logiciel à usage professionnel — et en particulier tout logiciel exploité dans un contexte de traitement de données sensibles (santé, ressources humaines, finance, etc.) — doit concevoir son produit de manière à ce que seules les données strictement nécessaires à la fourniture du service soient collectées et traitées. Un logiciel de gestion de cabinet médical n’a légitimement vocation à collecter que les données que le médecin décide d’y saisir ou d’y importer délibérément. Toute collecte automatique et non contrôlable de données par l’éditeur constitue une violation structurelle du principe de minimisation et du principe de loyauté.
----Privacy by default (article 25, §2 RGPD) : les paramètres par défaut d’un logiciel doivent garantir le niveau de protection le plus élevé possible. Le médecin doit pouvoir consulter les données du téléservice HRi sans que cette consultation entraîne automatiquement un transfert de données vers le système de l’éditeur.
----Transparence vis-à-vis des utilisateurs professionnels : lorsqu’un logiciel collecte des données au profit de son éditeur — même dans un cadre légalement admissible — cette collecte doit être explicitement décrite dans les conditions d’utilisation et dans la politique de protection des données, de manière à informer l’utilisateur professionnel de l’existence, des finalités et des destinataires de cette collecte.
Recommandation opérationnelle : Tout responsable de traitement qui utilise un logiciel fourni par un tiers doit auditer les mécanismes de collecte de données intégrés à ce logiciel, en s’assurant que celui-ci ne collecte pas, à son insu, des données auxquelles l’éditeur n’aurait pas le droit d’accéder. Cet audit doit être formalisé, documenté, et intégré au registre des activités de traitement. Les contrats de sous-traitance au sens de l’article 28 du RGPD doivent expressément interdire à l’éditeur toute collecte de données au-delà des strictes nécessités de la fourniture du service.
D. INTÉGRER LA DIMENSION GROUPE DANS LA GESTION DES RISQUES JURIDIQUES ET PROCÉDURAUX
L’affaire Cegedim/GERS met en lumière une dimension souvent sous-estimée dans les groupes de sociétés : l’exposition procédurale et financière de la société-mère en cas de mise en cause d’une filiale. La société GERS, mise en cause à titre principal pour les traitements opérés dans les bases « Thin » et « Gers Etudes Clients », a également fait l’objet d’une sanction distincte en sa qualité de successeur universel de la SARL Santestat, absorbée pendant la procédure.
Le Conseil d’État a validé la continuité de la procédure de sanction après absorption, en retenant que GERS « ne pouvait ignorer la procédure ouverte contre sa filiale » dès lors qu’elle était « elle-même mise en cause dans une procédure parallèle pour des traitements similaires et étroitement liés ». Cette solution procédurale, d’une importance pratique considérable, signifie que :
----L’absorption d’une filiale en cours de procédure de sanction CNIL ne permet pas d’éteindre la procédure : la société absorbante supporte la sanction prononcée à l’encontre de la filiale absorbée ; ----La co-exposition des entités d’un groupe dans des procédures de sanction CNIL est une réalité dont les directions juridiques et conformité doivent tenir compte dès la phase d’instruction ; ----Le niveau de vigilance doit être identique pour toutes les entités du groupe, y compris les filiales opérationnelles, dès lors que leurs pratiques de traitement de données sont liées à celles de la société-mère ou présentent des problématiques similaires.
Recommandation opérationnelle : En cas d’opération de restructuration (fusion, absorption, cession) impliquant une entité du groupe faisant l’objet d’une procédure CNIL en cours ou d’un risque de contrôle avéré, la due diligence juridique doit impérativement inclure un audit RGPD approfondi couvrant l’ensemble des traitements de données en cause, et évaluer le risque de reprise de la procédure par la société acquérante ou absorbante.
E. ÉTABLIR ET MAINTENIR UNE DOCUMENTATION RGPD RIGOUREUSE POUR LES TRAITEMENTS DE DONNÉES DE SANTÉ
La délibération SAN-2024-013 illustre la difficulté pour un responsable de traitement de contester les constats d’une délégation de contrôle lorsque sa documentation RGPD est lacunaire ou incohérente. En l’espèce, les sociétés du groupe Cegedim n’ont pas été en mesure de démontrer que le risque de réidentification était insignifiant, faute d’une analyse documentée et rigoureuse préalable au traitement.
Tout responsable de traitement exploitant des données de santé — y compris pseudonymisées — doit donc :
- Tenir un registre des activités de traitement (article 30 RGPD) détaillant précisément les catégories de données traitées, les finalités, les destinataires et les mesures de sécurité mises en œuvre pour chaque traitement de données de santé ;
- Réaliser une AIPD (article 35 RGPD) pour tout traitement de données de santé à grande échelle — qui constitue, de par sa nature, un traitement à risque élevé justifiant une analyse d’impact obligatoire — et y intégrer une évaluation documentée du risque de réidentification ;
- Documenter les mesures d’anonymisation et les tester périodiquement, en conservant les résultats de ces tests dans la documentation RGPD ;
- Vérifier la conformité aux référentiels CNIL applicables (référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux, référentiel relatif aux entrepôts de données de santé, etc.) ou, à défaut, déposer une demande d’autorisation préalable ;
- Nommer un DPO (article 37 RGPD) : le traitement à grande échelle de données de santé constitue l’un des critères légaux rendant la désignation d’un DPO obligatoire. La présence d’un DPO compétent et doté des moyens nécessaires à l’exercice de sa mission constitue, en outre, un facteur atténuant susceptible d’être pris en compte dans la détermination du quantum de la sanction.
Pas de contribution, soyez le premier