LA PSEUDONYMISATION DES DONNÉES N’EST PAS FORCÉMENT UNE ANONYMISATION

Vie des affaires

Date: 2026-03-20

Vie des affaires,Vie des affaires

LA PSEUDONYMISATION DES DONNÉES N’EST PAS FORCÉMENT UNE ANONYMISATION

Le 13 février 2026, le Conseil d’État a rendu une décision importante en matière de protection des données de santé. Il y rappelle qu’une pseudonymisation ne constitue pas une anonymisation lorsqu’une identification indirecte demeure possible par des moyens raisonnables.

L’affaire concerne trois sociétés qui contestent les sanctions infligées par la CNIL. Ces entreprises exploitent des bases statistiques issues de logiciels médicaux et pharmaceutiques et affirment que les informations traitées sont anonymisées. Et que cela suffit donc pour échapper au RGPD et au régime renforcé applicable aux données de santé.

Le Conseil d’État rejette cet argument et estime que la combinaison de multiples éléments comme l’âge, le sexe, les pathologies, ou encore les identifiants professionnels permet de reconstruire des parcours de soins et donc de reconnaître des individus. Le simple risque de réidentification suffit à qualifier ces données de personnelles. Le Conseil d’État affirme donc, dans ce cas, que la pseudonymisation n’est qu’une mesure de sécurité, et non une anonymisation.

La Haute juridiction confirme également que la collecte automatisée de données issues du téléservice de l’assurance maladie est illicite : ces informations ne sont accessibles qu’aux professionnels de santé et leur disponibilité technique ne rend pas leur usage légal.

Enfin, cet arrêt rappelle que la qualification de donnée personnelle dépend des faits, et non de l’intention déclarée par le responsable de traitement.

Conseil d’Etat 10ème – 9ème chambres réunies, 13/02/2026, 498628