Réf. : CE, 9°-10° ch. réunies, 13 février 2026, n° 498628, mentionné aux tables du recueil Lebon N° Lexbase : B0702DIT
Lecture: 10 min
N3954B3T
Citer l'article
Créer un lien vers ce contenu
le 06 Mars 2026
Mots clés : droits civils et individuels • protection des données à caractère personnel • anonymisation • pseudonymisation
Dans une décision rendue le 13 février 2026, la Haute juridiction administrative a dit pour droit qu'une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d'identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu'elle impliquerait un effort démesuré en termes de temps, de coût et de main-d'oeuvre. Lexbase a interrogé sur cet arrêt Jeanne Bossi Malafosse, Avocate associée, Delsol Avocats*.
Lexbase : Qu’est-ce que la pseudonymisation telle que définie par le RGPD ? Quelle est son utilité ?
Jeanne Bossi Malafosse : La pseudonymisation est définie par l’article 4(5) du RGPD (Règlement (UE) n° 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données N° Lexbase : L0189K8I) comme : « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ; ».
En pratique, il s'agit de substituer à un identifiant direct (un nom, un prénom, un numéro de sécurité sociale) un code ou un pseudonyme. La donnée est ainsi rendue moins directement identifiante, sans pour autant être véritablement anonyme. La pseudonymisation reste donc une technique de traitement de données à caractère personnel, et non une technique d'anonymisation. Le RGPD la reconnaît comme une mesure de sécurité appropriée, une garantie, mais ne l'exonère pas des obligations qu'il impose.
Il y a plusieurs avantages à pseudonymiser une donnée :
Lexbase : Quelle est la position de la CJUE en matière de « données à caractère personnel » ?
Jeanne Bossi Malafosse : Dans l’affaire du 4 septembre 2025 [1], la CJUE était saisie d'une question centrale : les données pseudonymisées transmises par un responsable de traitement à un tiers doivent-elles nécessairement être considérées comme des données personnelles pour ce destinataire ?
Pour rappel, l’article 4(1) du RGPD définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette définition s’est toujours imposée jusqu’à présent et constitue le premier critère d’application des principes de protection des données personnelles. Et le Considérant 26 du RGPD ajoute que, pour déterminer si une personne est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés pour la réidentifier.
C’est donc à un important revirement que la CJUE procède en admettant une dissociation : pour le responsable du traitement qui conserve la capacité d'identifier les personnes concernées, les données pseudonymisées demeurent pleinement des données à caractère personnel. En revanche, pour un destinataire qui ne dispose pas de moyens raisonnablement susceptibles d'être utilisés pour réidentifier les personnes, les mêmes informations cessent d'être qualifiées de données personnelles au sens du RGPD.
Des mesures techniques et organisationnelles efficaces doivent garantir que le destinataire ne puisse, en aucune manière, accéder aux informations permettant l'identification des personnes concernées. Ce dernier ne doit disposer ni des moyens de procéder à une réidentification, ni de la capacité juridique de les obtenir, et ne doit pas pouvoir transmettre les données à un tiers en mesure de le faire.
L'appréciation du risque d'identification doit d’autre part s'opérer au regard de l'ensemble des moyens raisonnablement susceptibles d'être mobilisés à cette fin, directement ou indirectement, en tenant compte de critères objectifs tels que le coût, le temps et les ressources techniques nécessaires.
La Cour précise également que si le responsable initial envisage de tels transferts, il doit néanmoins mentionner le destinataire dans les informations fournies à la personne concernée au titre de l'article 13 du RGPD, même si, pour ce destinataire, les données seront anonymes.
Lexbase : De quelle manière le Conseil d'État interprète-t-il cette décision dans le cas d’espèce ?
Jeanne Bossi Malafosse : Dans sa décision du 13 février 2026, le Conseil d'État s'inscrit dans une logique stricte : pseudonymisation n'est pas anonymisation, et l'appréciation doit être contextuelle et rigoureuse.
Il est d'ailleurs notable que le Conseil d'État fonde son raisonnement sur l'arrêt de la CJUE du 7 mars 2024 [2], et non sur la décision du 4 septembre 2025. Dans cet arrêt de 2024, la Cour affirmait qu'une donnée ne peut être considérée comme rendue anonyme par pseudonymisation que si le risque d'identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu'elle impliquerait un effort démesuré en termes de temps, de coût et de main-d'œuvre. Au demeurant, la position retenue ne s'éloigne guère de ce que le RGPD posait déjà, notamment à travers son considérant 26.
Dans sa décision, le Conseil d'État a rejeté les requêtes des sociétés GERS et Cegedim Santé contre trois sanctions prononcées par la formation restreinte de la CNIL, pour un montant total de 1,8 million d'euros. L'affaire portait sur deux bases de données de santé alimentées par des données issues de médecins et de pharmaciens, utilisées à des fins statistiques et commerciales.
Pour le Conseil d'État il résulte qu’une donnée pseudonymisée n'est anonyme « que si le risque de réidentification est insignifiant, c'est-à-dire irréalisable en pratique notamment parce qu'elle impliquerait un effort démesuré en termes de temps, de coût et de main-d'œuvre ».
En l'espèce, les données en cause permettaient la reconstitution de parcours de soins individualisés, ce qui rendait illusoire toute prétention à l'anonymat. En effet, la combinaison des données médicales sensibles avec les identifiants professionnels des médecins (accessibles en ligne) permettait une réidentification par des moyens raisonnables.
Les données restaient donc des données personnelles soumises au RGPD, et leur exploitation sans autorisation préalable de la CNIL était illicite.
La décision marque ainsi clairement la limite : ce n'est pas la technique employée qui détermine la qualification juridique, mais bien le risque résiduel de réidentification.
Au surplus, dans sa nouvelle décision du 4 mars 2026 [3], le Conseil d'État confirme l’amende de 40 millions d’euros infligée par la CNIL à la société Criteo en estimant qu’une donnée « ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant ».
Lexbase : Quelles conséquences pratiques en tirer pour les experts et praticiens ?
Jeanne Bossi Malafosse : Deux points méritent d'être identifiés.
Le premier concerne le sort des sous-traitants. Il est courant qu'un sous-traitant, comme un hébergeur, reçoive des données codées et qu’il ne dispose d’aucun moyen permettant d’identifier les personnes concernées par ces données. La question est alors de savoir si la logique de l'arrêt lui est applicable.
Deux lectures s'affrontent. La première, défendue notamment par l'autorité danoise de protection des données, consiste à exclure les sous-traitants du raisonnement : le caractère personnel d'une donnée s'apprécierait uniquement du point de vue du responsable de traitement, le sous-traitant n'étant que son prolongement, agissant sur ses seules instructions.
La seconde applique la logique de l'arrêt sans distinction : si le sous-traitant ne dispose d'aucun moyen raisonnable de réidentification, les données ne seraient tout simplement pas personnelles pour lui. Les conséquences seraient considérables car il ne serait plus tenu aux obligations de sécurité, de notification des violations ni d'assistance au responsable prévues par le RGPD, et la nécessité même de conclure un accord de sous-traitance au sens de l'article 28 deviendrait discutable.
Concrètement, dans le secteur de la santé en France, un laboratoire recevant des données pseudonymisées sans clé de réidentification pourrait soutenir qu'il reçoit des données non soumises au RGPD, s'affranchissant ainsi des procédures CNIL et de l'information des patients.
Un deuxième aspect inquiétant est lié à l'insécurité juridique qui prévaut dans l'attente de lignes directrices. L'arrêt de la CJUE a percuté des travaux déjà engagés au sein du Comité européen de la protection des données (CEPD). Le Comité avait publié en janvier 2025 un projet de lignes directrices sur la pseudonymisation soumis à consultation publique, et travaille en parallèle sur un projet très attendu de lignes directrices sur l'anonymisation, destiné à actualiser l'avis du G29 de 2014. Ces deux chantiers ont été mis en suspens. Une réunion de consultation publique a certes été organisée le 12 décembre 2025, mais les arbitrages finaux restent attendus.
Du côté du législateur européen, le projet de règlement Digital Omnibus du 19 novembre 2025 propose d'aller plus loin encore, en modifiant directement la définition de la donnée à caractère personnel dans le RGPD et le Règlement (UE) n° 2018/725 du 16 mai 2018, lequel régit le traitement des données personnelles par les institutions et organes de l'Union européenne. Il s'agira de préciser qu'une donnée ne devient pas personnelle pour une entité ne disposant pas des moyens raisonnables d'identifier les personnes concernées, du seul fait qu'elle la transmette à une entité en mesure de le faire. Si cette disposition était adoptée en l'état, elle codifierait et étendrait la solution de la CJUE, ce que le CEPD refuse précisément dans son avis 2/2026 du 11 février 2026.
*Propos recueillis par Yann Le Foll, Rédacteur en chef de Lexbase Public
[1] CJUE, 4 septembre 2025, aff. C-413/23 P, Contrôleur européen de la protection des données (CEPD) c/ Conseil de résolution unique (CRU) N° Lexbase : B0653BNI.
[2] CJUE, 7 mars 2024, aff. C-604/22, IAB Europe N° Lexbase : A01312WR.
[3] CE, 4 mars 2026, n° 482872 {"IOhtml_internalLink": {"_href": {"nodeid": 132358014, "corpus": "sources"}, "_target": "_blank", "_class": "color-sources", "_title": "CE 9/10 ch.-r., 04-03-2026, n\u00b0 482872", "_name": null, "_innerText": "N\u00b0\u00a0Lexbase\u00a0: B2021DRB"}}.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:493954
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.