RGPD : anonymisation et pseudonymisation précisées
Publié le :
24/02/2026
24
février
févr.
02
2026
Par une décision du 13 février 2026, le Conseil d’État apporte des précisions structurantes sur la distinction entre pseudonymisation et anonymisation au regard du règlement général sur la protection des données. Saisi à propos de traitements portant sur des données issues de cabinets médicaux et d’officines, il définit le niveau d’exigence requis pour qu’une information échappe à la qualification de donnée à caractère personnel.
Une appréciation concrète du risque de réidentification
Dans sa décision CE, 13 février 2026, n° 498628, la Haute juridiction se fonde sur l’article 4 et le considérant 26 du règlement (UE) 2016/679 pour rappeler qu’une donnée ne peut être regardée comme anonyme que si la personne concernée n’est pas ou plus identifiable. L’examen ne saurait être abstrait. Il implique d’évaluer si des moyens raisonnablement susceptibles d’être mobilisés, compte tenu des coûts, des délais et des technologies disponibles, permettraient d’aboutir à une identification. Cette méthode s’inscrit dans le prolongement de la jurisprudence de la Cour de justice de l’Union européenne du 7 mars 2024 (C-479/22). L’identifiabilité indirecte suffit à maintenir l’application du RGPD.La pseudonymisation inopérante à exclure le RGPD pour les données de santé
En l’espèce, les informations traitées étaient associées à des codes « patients » ou « clients ». Toutefois, elles comprenaient également des données détaillées relatives à l’âge, aux pathologies, aux prescriptions, aux dates d’actes et aux identifiants des professionnels de santé. Par recoupement et à l’aide d’outils courants, ces éléments permettaient de reconstituer des parcours de soins individualisés. Le Conseil d’État valide ainsi l’analyse selon laquelle la pseudonymisation, si elle constitue une mesure de sécurité, ne fait pas disparaître le risque de réidentification. Dès lors qu’un tel risque demeure raisonnablement envisageable, les informations doivent être qualifiées de données à caractère personnel. S’agissant de données de santé, catégories particulières au sens de l’article 9 du RGPD, l’exigence est renforcée. Seule une anonymisation irréversible permet une sortie du champ d’application du règlement. À défaut, l’ensemble des obligations issues du RGPD trouve à s’appliquer.Historique
-
Le Conseil d’État valide la suspension des importations contenant des résidus de pesticides interdits
Publié le : 27/05/2026 27 mai mai 05 2026Brèves Juridiques / Droit publicLa protection de la santé publique peut-elle justifier qu’un État membre suspende unilatéralement l’importation de denrées conformes aux seuils européens en vigueur ? Par une dé...
-
Entrave à un commerce par une commune : les limites strictes du pouvoir de police municipale
Publié le : 13/05/2026 13 mai mai 05 2026Brèves Juridiques / Droit publicL’entrave matérielle à l’accès d’un commerce par une commune expose celle-ci à une censure immédiate du juge administratif. L’affaire dite « Master Poulet », relative à l’instal...
-
Délibération autorisant une vente immobilière : à quel moment naissent et s’éteignent les droits de l’acquéreur ?
Publié le : 21/04/2026 21 avril avr. 04 2026Brèves Juridiques / Droit publicLa gestion du domaine privé des personnes publiques obéit à un régime marqué par la liberté contractuelle, tout en étant encadrée par des exigences de sécurité juridique. Lorsqu...
-
Système d’acquisition dynamique : le Conseil d’État réaffirme l’exigence de transparence
Publié le : 12/04/2026 12 avril avr. 04 2026Brèves Juridiques / Droit publicEn matière de commande publique, le respect des exigences de transparence et d’égalité de traitement s’impose à l’ensemble des techniques d’achat, y compris aux dispositifs répu...
-
Marchés publics : rigueur des réclamations CCAG-TIC
Publié le : 18/03/2026 18 mars mars 03 2026Brèves Juridiques / Droit publicPar un arrêt du 3 mars 2026, le Conseil d’État apporte une nouvelle illustration de l’exigence de rigueur formelle qui gouverne les différends contractuels dans les marchés publ...
-
RGPD : anonymisation et pseudonymisation précisées
Publié le : 24/02/2026 24 février févr. 02 2026Brèves Juridiques / Droit publicPar une décision du 13 février 2026, le Conseil d’État apporte des précisions structurantes sur la distinction entre pseudonymisation et anonymisation au regard du règlement gén...