PSEUDONYMISATION VS ANONYMISATION DES DONNÉES : LE CONSEIL D’ETAT RAPPELLE LES CRITÈRES DE DISTINCTION

Pseudonymisation ou anonymisation des données : la frontière est-elle réellement claire pour les acteurs ? Dans une une décision n°498628 du 13 février 2026  le Conseil d’État apporte des précisions importantes sur les critères permettant de distinguer ces deux notions au regard du RGPD. En confirmant les sanctions prononcées par la CNIL dans l’affaire des bases de données « Thin » et « Gers Études clients », la Haute juridiction administrative rappelle qu’une donnée ne peut être considérée comme ayant été anonymisée par une pseudonymisation que si le risque d’identification est insignifiant.

Dans la continuité de la redéfinition de la donnée à caractère personnel proposée par le Digital Omnibus, le Conseil d’État a rendu une décision n°498628 le 13 février 2026 particulièrement intéressante sur l’appréciation des notions de pseudonymisation et d’anonymisation des données.

Dans cette décision, le Conseil d’État, citant la décision de la Cour de justice de l’Union européenne du 7 mars 2024, OC c/ Commission (C-479/22), estime « qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre ».

L’affaire soumise au Conseil d’État porte sur l’exploitation de deux bases de données : la base « Thin », alimentée par des données collectées auprès de médecins, et la base « Gers Études clients », alimentée par des données issues d’officines. Les bases de données, outre le fait d’être composées de données sensibles (de santé), étaient particulièrement volumineuses (78 millions d’identifiants clients pour la base « Gers Études clients »).

À partir de ces données, la société GERS réalise des études quantitatives et commercialise des données statistiques dans le domaine de la santé auprès de clients publics et privés.

Or, les trois sociétés avaient été sanctionnées par la formation restreinte de la CNIL, pour un montant cumulé de 1 800 00 euros en 2024 (800 000 € d’amende contre GERS ; 200 000 € d’amende contre GERS venant aux droits de Santestat et 800 000 € d’amende contre Cegedim Santé) considérant que « les données ainsi recueillies étaient des données à caractère personnel et que, par suite, et à défaut de consentement des personnes concernées, les traitements en cause devaient être autorisés » selon le régime applicable au traitement de données de santé (article 66 de la loi Informatique et libertés).

Les sociétés contestaient cette interprétation de la CNIL et demandaient l’annulation des sanctions en soutenant notamment « que les données issues de ces bases avaient été pseudonymisées au moyen de codes patients ou clients et devaient, pour cette raison, être regardées comme des données anonymes, échappant ainsi au régime du RGPD et au régime de l’article 66 de la LIL ».

Par sa décision du 13 février 2025, le Conseil d’État rejette les recours des sociétés demanderesses et confirme donc les sanctions prononcées en 2024 par la formation restreinte de la CNIL pour un montant cumulée de 1 800 000 euros.

Tout d’abord, la Haute juridiction administrative s’appuie sur la définition de la donnée à caractère personnel (article 4.1 du RGPD), la définition de la pseudonymisation (article 4.5 du RGPD), ainsi que le considérant 26 du RGPD apportant des précisions sur les notions de pseudonymisation et d’anonymisation.

Le Conseil d’État rappelle en effet que le caractère identifiable d’une personne physique doit être apprécié à la lumière du considérant 26 du RGPD, lequel prévoit qu’il convient de tenir compte de l’ensemble des moyens raisonnablement susceptibles d’être utilisés pour identifier une personne, en tenant compte notamment du coût, du temps nécessaire et des technologies disponibles.

Il est intéressant de relever que le Conseil d’État, à partir des éléments factuels développés par la formation restreinte de la CNIL, conclut « qu’il était possible de lever le pseudonymat de personnes concernées par des moyens raisonnables ».

Pour arriver à cette conclusion, le Conseil d’Etat confirme l’analyse de la formation restreinte de la CNIL laquelle relève tout d’abord que la base de données en cause reposait sur le croisement et la combinaison de plusieurs catégories de données :

• des données relativement précises relatives aux personnes concernées, telles que leur âge, leur sexe, les pathologies dont elles souffraient ainsi que les médicaments prescrits et achetés.
• À cela s’ajoutaient des données temporelles détaillées, comprenant notamment la date et, dans certains cas, l’heure exacte de la consultation médicale ou de l’achat en pharmacie. Les données comportaient également des éléments directs ou indirects permettant de localiser ou d’identifier les professionnels de santé intervenus dans le parcours de soins.
• Enfin, les données relatives aux prescripteurs incluaient leurs identifiants professionnels, notamment les numéros ADELI ou RPPS. Or, ces identifiants permettent d’accéder aisément à l’identité des professionnels de santé par un simple recours à des moteurs de recherche accessibles publiquement en ligne.

Ainsi, la combinaison de ces différents éléments permettait de reconstituer des parcours de soins individualisés et d’associer certaines pathologies à des patients identifiables.

Enfin, le Conseil d’Etat valide l’appréciation de la CNIL indiquant qu’« une telle individualisation dans l’ensemble des données n’a nécessité que peu de temps et peu de moyens, notamment l’utilisation d’un logiciel tableur d’usage courant et la nomenclature communiquée par les sociétés afin d’associer les codes alphanumériques à des informations sur le patient et les actes médicaux prodigués ».

Cette décision du Conseil d’État rappelle avec force un principe désormais bien établi : la pseudonymisation, aussi sophistiquée soit-elle, ne suffit pas à faire sortir les données du champ d’application du droit de la protection des données personnelles dès lors que subsiste un risque de réidentification non insignifiant.

L’appréciation de ce risque doit être concrète et reposer sur l’ensemble des données disponibles ainsi que sur les sources d’information accessibles susceptibles d’être mobilisées pour procéder à une réidentification.

Autrement dit, la qualification juridique des données ne dépend pas de la technique utilisée. Elle repose uniquement sur l’appréciation objective du risque effectif de réidentification.

En tant que responsable de traitement, il sera donc important de toujours vérifier que les techniques mises en œuvre ne permettent pas l’identification par des moyens raisonnables, notamment au regard des coûts, des moyens et des technologies mises en œuvre. En pratique, cela veut dire qu’il est important de toujours documenter très précisément les techniques de pseudonymisation mises en œuvre lors d’un projet de recherche sur des données de santé.

Cette décision met en lumière la difficulté pour les acteurs de terrain à bien appréhender les concepts juridiques d’anonymisation et de pseudonymisation des données. Il est donc toujours essentiel de se poser l’interrogation : les techniques mises en place permettent-elles de considérer que mes données sont anonymisées ?

Abandon de la définition de la donnée à caractère personnel du Digital Omnibus ?

Plus globalement, cette décision du Conseil d’Etat s’inscrit dans les discussions récentes entourant la nouvelle définition de la donnée à caractère personnel proposée par la Commission dans le projet Digital Omnibus. Pour rappel, selon la proposition de la Commission européenne une information ne constituerait désormais une donnée personnelle que pour l’entité disposant de moyens raisonnablement susceptibles de permettre la réidentification ; la même information pourra ne pas être considérée comme personnelle pour une autre entité ne disposant pas de tels moyens. Cette approche reprenait celle consacrée par la CJUE dans son arrêt du 4 septembre 2025 .

Il semblerait que cette nouvelle définition de la donnée à caractère personnel ait été abandonnée conformément à un compromis du Conseil de l’UE daté du 20 février.

Si la suppression de cette définition est confirmée, celle-ci apparaît bienvenue dès lors que la modification envisagée soulevait d’importantes incertitudes juridiques et faisait craindre un affaiblissement du niveau de protection des données personnelles. Le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) s’étaient d’ailleurs opposés à cette nouvelle définition dans leur avis conjoint du 11 février 2026.