RGPD : anonymisation et pseudonymisation précisées
Publié le :
24/02/2026
24
février
févr.
02
2026
Par une décision du 13 février 2026, le Conseil d’État apporte des précisions structurantes sur la distinction entre pseudonymisation et anonymisation au regard du règlement général sur la protection des données. Saisi à propos de traitements portant sur des données issues de cabinets médicaux et d’officines, il définit le niveau d’exigence requis pour qu’une information échappe à la qualification de donnée à caractère personnel.
Une appréciation concrète du risque de réidentification
Dans sa décision CE, 13 février 2026, n° 498628, la Haute juridiction se fonde sur l’article 4 et le considérant 26 du règlement (UE) 2016/679 pour rappeler qu’une donnée ne peut être regardée comme anonyme que si la personne concernée n’est pas ou plus identifiable. L’examen ne saurait être abstrait. Il implique d’évaluer si des moyens raisonnablement susceptibles d’être mobilisés, compte tenu des coûts, des délais et des technologies disponibles, permettraient d’aboutir à une identification. Cette méthode s’inscrit dans le prolongement de la jurisprudence de la Cour de justice de l’Union européenne du 7 mars 2024 (C-479/22). L’identifiabilité indirecte suffit à maintenir l’application du RGPD.La pseudonymisation inopérante à exclure le RGPD pour les données de santé
En l’espèce, les informations traitées étaient associées à des codes « patients » ou « clients ». Toutefois, elles comprenaient également des données détaillées relatives à l’âge, aux pathologies, aux prescriptions, aux dates d’actes et aux identifiants des professionnels de santé. Par recoupement et à l’aide d’outils courants, ces éléments permettaient de reconstituer des parcours de soins individualisés. Le Conseil d’État valide ainsi l’analyse selon laquelle la pseudonymisation, si elle constitue une mesure de sécurité, ne fait pas disparaître le risque de réidentification. Dès lors qu’un tel risque demeure raisonnablement envisageable, les informations doivent être qualifiées de données à caractère personnel. S’agissant de données de santé, catégories particulières au sens de l’article 9 du RGPD, l’exigence est renforcée. Seule une anonymisation irréversible permet une sortie du champ d’application du règlement. À défaut, l’ensemble des obligations issues du RGPD trouve à s’appliquer.Historique
-
RGPD : anonymisation et pseudonymisation précisées
Publié le : 24/02/2026 24 février févr. 02 2026Brèves Juridiques / Droit publicPar une décision du 13 février 2026, le Conseil d’État apporte des précisions structurantes sur la distinction entre pseudonymisation et anonymisation au regard du règlement gén...
-
Vidéosurveillance et algorithmes : le Conseil d’État rappelle les limites du cadre légal !
Publié le : 10/02/2026 10 février févr. 02 2026Brèves Juridiques / Droit publicL’essor des technologies algorithmiques appliquées à la gestion de l’espace public confronte les collectivités territoriales à un cadre juridique encore strictement balisé. Une...
-
Le relèvement des seuils de dispense de procédure en matière de marchés publics
Publié le : 27/01/2026 27 janvier janv. 01 2026Brèves Juridiques / Droit publicL’adoption du décret n° 2025-1386 du 29 décembre 2025 marque une nouvelle étape dans l’évolution du régime des marchés dispensés de publicité et de mise en concurrence préalable...