RGPD : le Conseil d’État précise les conditions d’une anonymisation effective
Publié le :
23/02/2026
23
février
févr.
02
2026
Dans sa décision du 13 février 2026 (CE du 13 février 2026, n° 498628), le Conseil d’État précise la frontière entre pseudonymisation et anonymisation.
En se fondant sur l’article 4 et le considérant 26 du règlement (UE) 2016/679, il rappelle qu’une donnée ne peut être qualifiée d’anonyme que si la personne concernée n’est pas ou plus identifiable.
L’analyse doit être concrète : il convient d’apprécier si des moyens raisonnablement susceptibles d’être utilisés, au regard des coûts, du temps et des technologies disponibles, permettraient une réidentification.
Cette approche s’inscrit dans le prolongement de la jurisprudence de la CJUE (7 mars 2024, C-479/22).
La pseudonymisation ne fait pas disparaître le risque d’identification
En l’espèce, les données issues de cabinets médicaux et d’officines étaient associées à des codes « patients » ou « clients ». Toutefois, elles comportaient également des informations fines : âge, pathologies, prescriptions, dates précises d’actes, identifiants de professionnels de santé.
Le Conseil d’État valide l’analyse selon laquelle ces éléments permettaient, par recoupements et à l’aide d’outils courants, d’individualiser des parcours de soins. La possibilité d’identifier indirectement une personne, même sans son nom, suffisait à exclure la qualification de données anonymes.
La pseudonymisation constitue ainsi une mesure de sécurité, mais non un mécanisme d’exclusion du champ d’application du RGPD.
Un standard élevé en matière de données de santé
La décision confirme que, s’agissant de données de santé, catégories particulièrement sensibles au sens de l’article 9 du RGPD, le seuil d’exigence est élevé.
L’anonymisation suppose une véritable irréversibilité de l’identification. Dès lors qu’un risque de réidentification demeure raisonnablement possible, les données doivent être regardées comme des données à caractère personnel, soumises à l’ensemble des obligations du RGPD.
Cette clarification impose aux acteurs du secteur de documenter rigoureusement leurs méthodes d’anonymisation et d’intégrer une analyse réaliste du risque de recoupement dès la conception des traitements.
Historique
-
COMMERCIAL – Abus de position dominante et visites domiciliaires : application de la charte de l’UE et contrôle de proportionnalité confirmé
Publié le : 23/02/2026 23 février févr. 02 2026Veille Juridique
Selon l’article L.450-4 du Code de commerce, le juge des libertés et de la détention peut autoriser des opérations de visite et saisies lorsqu’il existe des présomptions de pratiques anticoncurrentielles, en particulier l’abus de position dominante, sanctionné par les articles L.420-2 du Code de commerce et 102 du TFUE... -
SURETÉS – Garantie à première demande et prescription : l’exigibilité court dès la conclusion du contrat, sauf stipulation contraire
Publié le : 23/02/2026 23 février févr. 02 2026Veille Juridique
Une société bénéficiaire d’une garantie à première demande avait assigné le garant plus de cinq ans après la conclusion de l’acte. Elle soutenait que la prescription ne pouvait courir qu’à compter de l’appel en garantie, la créance n’étant exigible qu’à cette date... -
Cession de fonds et distribution sélective : le transfert n’est jamais automatique !
Publié le : 23/02/2026 23 février févr. 02 2026Brèves Juridiques / Droit des affaires et des sociétésBrèves JuridiquesPar un arrêt ayant eu l’honneur de la publication au bulletin et en date du 18 février 2026 (Cass. com., 18 févr. 2026, n° 23-23.681), la chambre c...
-
RGPD : le Conseil d’État précise les conditions d’une anonymisation effective
Publié le : 23/02/2026 23 février févr. 02 2026Brèves Juridiques / Droit publicBrèves JuridiquesDans sa décision du 13 février 2026 (CE du 13 février 2026, n° 498628), le Conseil d’État précise la frontière entre pseudonymisation et anonymisat...