--- title: "Données de santé : la CNIL inflige sa première amende publique pour non-respect des formalités préalables dans le domaine de la santé (entre autres manquements" id: "3133" type: "post" slug: "donnees-de-sante-la-cnil-inflige-sa-premiere-amende-publique-pour-non-respect-des-formalites-prealables-dans-le-domaine-de-la-sante-entre-autres-manquements" published_at: "2024-09-18T10:17:42+00:00" modified_at: "2026-03-03T09:53:51+00:00" url: "https://augustdeboustg.wpenginepowered.com/article-juridique/donnees-de-sante-la-cnil-inflige-sa-premiere-amende-publique-pour-non-respect-des-formalites-prealables-dans-le-domaine-de-la-sante-entre-autres-manquements/" markdown_url: "https://augustdeboustg.wpenginepowered.com/article-juridique/donnees-de-sante-la-cnil-inflige-sa-premiere-amende-publique-pour-non-respect-des-formalites-prealables-dans-le-domaine-de-la-sante-entre-autres-manquements.md" taxonomy_category: - "Article" taxonomy_language: - "Français" taxonomy_tax_expertise: - "Données personnelles et cybersécurité" taxonomy_tax_secteur: - "Santé et Sciences de la vie" --- Menu Interagir avec notre IA Expertises (66) Transactionnel- [Brevets](https://augustdeboustg.wpenginepowered.com/expertise/brevets-2/) - [Commande publique](https://augustdeboustg.wpenginepowered.com/expertise/commande-publique/) - [Concurrence, régulation européenne et FDI](https://augustdeboustg.wpenginepowered.com/expertise/concurrence-et-aides-detat-2/) - [Consommation, Marketing & Publicité](https://augustdeboustg.wpenginepowered.com/expertise/distribution-et-consommation-2/) - [Contrats commerciaux et internationaux](https://augustdeboustg.wpenginepowered.com/expertise/contrats-commerciaux-et-internationaux/) - [Contrôle des investissements étrangers](https://augustdeboustg.wpenginepowered.com/expertise/controle-des-investissements-etrangers/) - [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/expertise/donnees-personnelles-et-cybersecurite/) - [Droit boursier](https://augustdeboustg.wpenginepowered.com/expertise/droit-boursier/) - [Droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/droit-du-travail-et-de-la-securite-sociale/) - [Financement](https://augustdeboustg.wpenginepowered.com/expertise/financement/) - [Fiscalité](https://augustdeboustg.wpenginepowered.com/expertise/fiscalite/) - [Fusions-acquisitions](https://augustdeboustg.wpenginepowered.com/expertise/fusions-acquisitions/) - [Immobilier et Construction](https://augustdeboustg.wpenginepowered.com/expertise/immobilier-et-construction/) - [Ingénierie Contractuelle & Partenariats](https://augustdeboustg.wpenginepowered.com/expertise/ingenierie-contractuelle-partenariats/) - [Intelligence artificielle](https://augustdeboustg.wpenginepowered.com/expertise/intelligence-artificielle/) - [International Trade](https://augustdeboustg.wpenginepowered.com/expertise/international-trade/) - [Marchés de capitaux](https://augustdeboustg.wpenginepowered.com/expertise/marches-de-capitaux/) - [Private equity](https://augustdeboustg.wpenginepowered.com/expertise/private-equity/) - [Projets et Infrastructure](https://augustdeboustg.wpenginepowered.com/expertise/projets-et-infrastructure-2/) - [Propriété intellectuelle](https://augustdeboustg.wpenginepowered.com/expertise/propriete-intellectuelle/) - [Restructuring](https://augustdeboustg.wpenginepowered.com/expertise/restructuring/) - [Supply Chain, Distribution & Réseaux](https://augustdeboustg.wpenginepowered.com/expertise/supply-chain-distribution-reseaux-2/) - [Tech et digital](https://augustdeboustg.wpenginepowered.com/expertise/tech-et-digital/) Résolution des litiges- [Actions de groupe](https://augustdeboustg.wpenginepowered.com/expertise/actions-de-groupe/) - [Arbitrage et MARD](https://augustdeboustg.wpenginepowered.com/expertise/arbitrage-et-mard/) - [Contentieux administratifs et publics](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-administratifs-et-publics-2/) - [Contentieux boursiers](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-boursiers/) - [Contentieux brevets](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-brevets/) - [Contentieux commercial et corporate](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-commercial-et-corporate-2/) - [Contentieux constitutionnels](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-constitutionnels-2/) - [Contentieux de la concurrence](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-concurrence-consommation-et-distribution/) - [Contentieux du droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-du-droit-du-travail-et-de-la-securite-sociale-2/) - [Contentieux environnementaux et ESG](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-environnementaux-et-esg-2/) - [Contentieux européens](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-europeens/) - [Contentieux fiscaux](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-fiscaux/) - [Contentieux immobiliers, construction et urbanisme](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-immobiliers-construction-et-urbanisme/) - [Contentieux produits défectueux et assurance](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-produits-defectueux-et-assurance/) - [Contentieux propriété intellectuelle, média et presse](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-propriete-intellectuelle-media-et-presse/) - [Contentieux tech, digital et data](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-tech-digital-et-data/) - [Droit pénal des affaires et enquêtes](https://augustdeboustg.wpenginepowered.com/expertise/droit-penal-des-affaires-et-enquetes/) - [Procédures collectives](https://augustdeboustg.wpenginepowered.com/expertise/procedures-collectives/) Conseil- [Brevets](https://augustdeboustg.wpenginepowered.com/expertise/brevets-2/) - [Consommation, Marketing & Publicité](https://augustdeboustg.wpenginepowered.com/expertise/distribution-et-consommation-2/) - [Droit des assurances](https://augustdeboustg.wpenginepowered.com/expertise/droit-des-assurances/) - [Droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/droit-du-travail-et-de-la-securite-sociale/) - [Fiscalité](https://augustdeboustg.wpenginepowered.com/expertise/fiscalite/) - [Gouvernance et Droit des sociétés](https://augustdeboustg.wpenginepowered.com/expertise/gouvernance-et-droit-des-societes-2/) - [Ingénierie Contractuelle & Partenariats](https://augustdeboustg.wpenginepowered.com/expertise/ingenierie-contractuelle-partenariats/) - [Intelligence artificielle](https://augustdeboustg.wpenginepowered.com/expertise/intelligence-artificielle/) - [Private Clients](https://augustdeboustg.wpenginepowered.com/expertise/private-clients/) - [Propriété intellectuelle](https://augustdeboustg.wpenginepowered.com/expertise/propriete-intellectuelle/) - [Supply Chain, Distribution & Réseaux](https://augustdeboustg.wpenginepowered.com/expertise/supply-chain-distribution-reseaux-2/) - [Tech et digital](https://augustdeboustg.wpenginepowered.com/expertise/tech-et-digital/) Réglementaire- [Actifs numériques et cryptoactifs](https://augustdeboustg.wpenginepowered.com/expertise/actifs-numeriques-et-cryptoactifs/) - [Compliance et enquêtes](https://augustdeboustg.wpenginepowered.com/expertise/compliance-et-enquetes/) - [Concurrence, régulation européenne et FDI](https://augustdeboustg.wpenginepowered.com/expertise/concurrence-et-aides-detat-2/) - [Conformité et sécurité des produits](https://augustdeboustg.wpenginepowered.com/expertise/conformite-et-securite-des-produits/) - [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/expertise/donnees-personnelles-et-cybersecurite/) - [Droit boursier](https://augustdeboustg.wpenginepowered.com/expertise/droit-boursier/) - [Droit de l’environnement et de l’urbanisme](https://augustdeboustg.wpenginepowered.com/expertise/droit-de-lenvironnement-et-de-lurbanisme/) - [Droit européen](https://augustdeboustg.wpenginepowered.com/expertise/droit-europeen-2/) - [Droit public](https://augustdeboustg.wpenginepowered.com/expertise/droit-public/) - [ESG](https://augustdeboustg.wpenginepowered.com/expertise/esg-2/) - [International Trade](https://augustdeboustg.wpenginepowered.com/expertise/international-trade/) - [Régulation numérique et technologique](https://augustdeboustg.wpenginepowered.com/expertise/regulation-numerique-et-technologique/) - [Sanctions internationales et contrôle des exportations](https://augustdeboustg.wpenginepowered.com/expertise/sanctions-internationales-et-controle-des-exportations/) Secteurs (13) - [Aéronautique et Défense](https://augustdeboustg.wpenginepowered.com/secteur/aeronautique-et-defense/) - [Banque et Finance](https://augustdeboustg.wpenginepowered.com/secteur/1704/) - [Data Centers](https://augustdeboustg.wpenginepowered.com/secteur/data-centers/) - [Energie](https://augustdeboustg.wpenginepowered.com/secteur/energie/) - [Immobilier et Construction](https://augustdeboustg.wpenginepowered.com/secteur/immobilier-et-construction/) - [Industrie](https://augustdeboustg.wpenginepowered.com/secteur/industrie/) - [Infrastructures](https://augustdeboustg.wpenginepowered.com/secteur/infrastructures/) - [Luxe – Retail](https://augustdeboustg.wpenginepowered.com/secteur/luxe-retail/) - [Médias](https://augustdeboustg.wpenginepowered.com/secteur/medias/) - [Santé et Sciences de la vie](https://augustdeboustg.wpenginepowered.com/secteur/sante-et-sciences-de-la-vie/) - [Sport](https://augustdeboustg.wpenginepowered.com/secteur/sport/) - [Tech & Digital](https://augustdeboustg.wpenginepowered.com/secteur/tech-digital/) - [Télécoms](https://augustdeboustg.wpenginepowered.com/secteur/telecoms/) Cet article résumé en une minute avec l’IA **Les faits de l’espèce** Le 5 septembre 2024, la CNIL a infligé une amende de 800 000 euros à la société CEGEDIM SANTE, éditrice de logiciels de gestion pour les professionnels de santé[[1]](#_ftn1) . Cette société offrait la possibilité à ses clients d’accéder à une base rassemblant des données de patients en vue de leur permettre de réaliser des études et statistiques dans le domaine de la santé. Les données de cette base étaient issues de dossiers patients de médecins panélistes utilisant le logiciel de la société et ayant accepté de fournir ces données pour cet « observatoire » mis en place par la société. En contrepartie, les médecins panélistes bénéficiaient d’une remise sur la licence d’utilisation du logiciel fourni par la société et pouvaient avoir accès aux études statistiques réalisées par les clients de la société. **Que retenir de cette décision ?** - **L’anonymisation vs pseudonymisation : des concepts qui n’en finissent pas de faire couler de l’encre** La CNIL ne suit pas l’argumentaire de la société consistant à considérer les données comme des données anonymisées. La CNIL relève notamment qu’il est possible d’isoler un individu dans le jeu de données grâce à un identifiant unique permettant de suivre un patient au fil du temps. Elle conclut que le procédé utilisé par la société est une pseudonymisation. Les données des patients demeurent donc des données personnelles soumises à la réglementation sur les données personnelles. Le flou juridique autour du concept d’anonymisation invoqué par la société n’a pas convaincu la CNIL alors que certains de ses membres ont pu, par le passé, admettre publiquement les difficultés autour de cette notion et que « *des choses pouvaient encore être faites*» dans ce domaine pour plus de sécurité juridique[[2]](#_ftn2) . A voir si la mise à jour (très attendue) de l’avis 05/2014 sur les techniques d’anonymisation permettra de simplifier le débat (ou non) ? - **Une application pratique de la notion d’entrepôt de données de santé donnée par la CNIL** La CNIL considère que la société a créé un entrepôt de données de santé en collectant massivement et au fil de l’eau des données issues de dossiers patients des médecins panélistes pour les mettre collectivement à la disposition de tiers, ces derniers pouvant chacun les réutiliser aux fins d’études dans le domaine de la santé. Rappelons que la notion d’entrepôt de données de santé est une construction doctrinale de la CNIL. Elle s’apprécie à l’aide d’un faisceau d’indices, incluant la réutilisation des données dans des traitements ultérieurs, de l’alimentation au fil de l’eau de la base de données ainsi que des finalités du traitement. - **Le régime des formalités préalables dans le domaine de la santé est une spécificité française auquel la CNIL attache de l’importance** En l’absence de consentement explicite des personnes concernées à l’intégration de leurs données dans un entrepôt de données de santé, un tel traitement de données ne pouvait être mis en œuvre qu’après autorisation de la CNIL ou déclaration de conformité à l’un des référentiels de la CNIL. La société n’ayant respecté aucune de ces conditions, la CNIL a conclu que la société n’avait pas respecté les obligations de formalités préalables prévues à l’article 66 de la Loi Informatique et Libertés. A noter que la CNIL a également récemment sanctionné deux autres entités pour défaut de formalité préalable en lien avec la mise en place d’un entrepôt de données de santé (sanctions pécuniaires non publiques en date du 28 août 2024[[3]](#_ftn3) ). Cela enjoint les acteurs à considérer plus sérieusement le mécanisme des formalités préalables dans le domaine de la santé instauré en France (il s’agit d’une spécificité française, le RGPD ayant laissé une marge de manœuvre aux Etats dans le domaine de la santé). [[1]](#_ftnref1) [https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050202759](https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050202759) [[2]](#_ftnref2) Cf. notre précédent article en date du 14/02/2023 [ici](https://www.august-debouzy.com/fr/blog/1905-intelligence-artificielle-ia-et-megadonnees-dans-le-domaine-de-la-recherche-et-de-la-pratique-medicales-les-elements-cles-a-retenir-du-colloque-organise-par-le-conseil-detat-la-cnil-et-lalliance) (dernier paragraphe) [[3]](#_ftnref3) https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil Partager l’article - Linkedin - Copier le lien Cet article résumé en une minute avec l’IA ### Auteurs 2 - [Florence Chafiol](https://augustdeboustg.wpenginepowered.com/collaborateur/florence-chafiol/) - [Roxane Blanc-Dubois](https://augustdeboustg.wpenginepowered.com/collaborateur/roxane-blanc-dubois/) ### Expertise 1 - [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/tax-expertise/donnees-personnelles-et-cybersecurite/) ### Secteur 1 - [Santé et Sciences de la vie](https://augustdeboustg.wpenginepowered.com/tax-secteur/sante-et-sciences-de-la-vie/) ## Découvrir d’autres contenus *qui pourraient vous intéresser* Actualités [09/03/26 Article 13 min Le secret médical à l’épreuve des cyberattaques : réflexions autour du cas Cegedim Santé Découvrir](https://augustdeboustg.wpenginepowered.com/article-juridique/le-secret-medical-a-lepreuve-des-cyberattaques-reflexions-autour-du-cas-cegedim-sante/) [11/12/24 Article 4 min Retour de la CNIL quant aux avis obtenus sur ses référentiels « santé » La France fait figure d’exception parmi les pays de l’Union européenne en ayant conservé un mécanisme de formalités préalables obligatoires dans le domaine de la santé . Ce régime contraint les organismes mettant en œuvre des traitements de données personnelles dans le domaine de la santé à procéder à des… Découvrir](https://augustdeboustg.wpenginepowered.com/article-juridique/retour-de-la-cnil-quant-aux-avis-obtenus-sur-ses-referentiels-sante/) [21/10/24 Article 14 min Violation des dispositions du RGPD, concurrence déloyale et données de santé, la CJUE se prononce Par un arrêt en date du 4 octobre 2024, la Cour de justice de l’Union européenne (« CJUE ») a affirmé que les dispositions du RGPD ne s’opposent pas à ce qu’une réglementation nationale (en l’occurrence allemande) permette à des concurrents d’une entreprise ayant violé le RGPD, d’intenter une action… Découvrir](https://augustdeboustg.wpenginepowered.com/article-juridique/violation-des-dispositions-du-rgpd-concurrence-deloyale-et-donnees-de-sante-la-cjue-se-prononce/)