Beaucoup d’organisations pensent encore qu’un simple “hash” ou un identifiant suffit à sortir du RGPD, mais c’est une erreur.
Le 13 février 2026, le Conseil d’État (n°498628) statue sur les sanctions infligées par la CNIL à plusieurs sociétés du groupe Cegedim.
En cause :
▪️ des bases de données massives de données de santé
▪️ des identifiants patients remplacés par des codes
▪️ une qualification revendiquée : données anonymes
Objectif : sortir du champ du RGPD et du régime des données sensibles.
Le Conseil d’État écarte clairement cette analyse, parce que les données restaient réidentifiables.
⚖️ La distinction juridique (RGPD)
Le raisonnement est strictement aligné sur le RGPD :
▪️ Pseudonymisation (art. 4(5))
→ remplacement des identifiants directs
→ MAIS possibilité de réidentifier avec des informations supplémentaires
→ donc : les données restent des données personnelles
▪️ Anonymisation (considérant 26)
→ impossibilité d’identifier une personne
→ en tenant compte des moyens raisonnablement mobilisables
→ donc : sortie du RGPD
👉 Tout repose sur un critère unique : le risque résiduel de réidentification.
🔍 Ce que le juge constate concrètement
Dans cette affaire :
▪️ données très riches (âge, pathologies, prescriptions, dates…)
▪️ suivi longitudinal des patients
▪️ possibilité de croisement avec des bases externes
Résultat : 👉 la réidentification était techniquement possible sans effort disproportionné
Donc :
➡️ pas d’anonymisation
➡️ maintien dans le champ du RGPD
➡️ application du régime des données de santé (art. 9)
⚖️ Conséquence juridique
Le Conseil d’État valide la position de la CNIL :
➡️ traitement illicite
➡️ sanctions confirmées
➡️ absence de base légale valable
📌 Le principe posé
La décision consacre une règle claire : 👉 ce n’est pas la technique utilisée qui compte, c’est le niveau réel de risque de réidentification
Une pseudonymisation, même robuste :
❌ ne suffit pas à anonymiser
❌ ne fait pas sortir du RGPD
⚠️ Implications pratiques
Cette décision impacte directement :
▪️ exploitation de bases de données de santé
▪️ projets d’IA (datasets d’entraînement)
▪️ data rooms en M&A
▪️ partage intra-groupe
▪️ monétisation de données
👉 Dans tous ces cas : la pseudonymisation n’est pas une stratégie de qualification juridique
Conclusion
Le Conseil d’État ne crée pas une nouvelle règle.
Il applique strictement le RGPD : une donnée n’est anonyme que si la réidentification est, en pratique, irréalisable.
Tout le reste relève de la pseudonymisation, et donc… du RGPD.
Source : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000053483461
