Pseudonymisation et anonymisation des données de santé : quelles conséquences avec les nouvelles lignes directrices de l’EDPB?

I. Les lignes directrices de l’EDPB : précisions sur les notions d’anonymisation et de pseudonymisation

Les lignes directrices de l’EDPB/CEPD, publiées le 16 janvier 2025¹, apportent des éclaircissements sur le concept de pseudonymisation dans le cadre du RGPD, accompagnés de nombreux exemples pratiques. Tout d’abord il convient de rappeler que la pseudonymisation est définie à l’article 4(5) du RGPD² comme : « Le traitement de données personnelles de manière à ce que les données personnelles ne puissent plus être attribuées à une personne physique spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soient soumises à des mesures techniques et organisationnelles pour garantir que les données personnelles ne soient pas attribuées à une personne identifiée ou identifiable. »

En résumé, la pseudonymisation consiste à protéger les données personnelles en modifiant/occultant celles-ci afin qu’elles ne puissent plus être attribuées à une personne sans recourir à des informations supplémentaires. Recourir à la pseudonymisation pour ses traitements de données ne signifie en aucun cas que l’on peut échapper à l’application du RGPD. En effet, les données pseudonymisées demeurent des données personnelles parce qu’elles peuvent être associées à leur titulaire (personne physique), qui pourra être réidentifié à l’aide d’informations supplémentaires³. 

A rebours de la pseudonymisation, la donnée « anonymisée »⁴ rend toute réidentification d’une personne impossible, ce qui fait que cette donnée perd sa qualité de « donnée à caractère personnel » et échappe ainsi au champ d’application du RGPD, qui ne s’applique plus dans ce cas. 

Ici, l’essentiel à retenir est que la pseudonymisation est un procédé « réversible », tandis que l’anonymisation est « irréversible ».

Les lignes directrices de l’EDPB mettent également l’accent sur le recours à la pseudonymisation, qui réduit les risques pesant sur la confidentialité, notamment en cas d’accès non autorisé aux données. Elle permet aux responsables de traitement et aux sous-traitants de continuer à traiter les données tout en occultant l’identité des personnes concernées⁵.

II. Les enjeux de la pseudonymisation: un élément central de la protection des données

Le principal enjeu de ce procédé réside dans sa capacité à réduire les risques de violation de données personnelles tout en permettant aux organisations de traiter des données sensibles telles que les données de santé. Selon l’EDPB, la pseudonymisation ne doit pas être vue comme une solution unique, mais comme un complément à d’autres mesures de sécurité, permettant ainsi de répondre aux principes et obligations du RGPD, telles que la minimisation des données et la protection par défaut⁶.

Dans le domaine de la santé, la pseudonymisation est essentielle pour protéger les données de santé tout en permettant la recherche et l’analyse sans compromettre la confidentialité des patients. On y recourt particulièrement lorsque les données sont partagées entre plusieurs organisations, comme dans le cadre de recherches ou d’études statistiques : « The application of pseudonymisation in health data processing contexts can reduce risks to the rights of individuals while allowing necessary data analysis for research or statistical purposes ».

Les lignes directrices de l’EDPB fournissent de riches exemples d’application de la pseudonymisation, notamment dans le secteur de la santé, pour aider les organisations à mettre en œuvre cette technique tout en respectant les obligations du RGPD. Prenons un exemple de l’EDPB qui porte sur un laboratoire d’analyses : avant d’analyser les prélèvements des patients⁷, ce laboratoire pseudonymise toutes les données personnelles (identité, coordonnées, détails des tests). Ces données personnelles sont transformées en pseudonymes et codées sous forme de QR codes, qui sont ensuite attachés aux tubes à essai contenant les échantillons de prélèvements.

Cette approche présente plusieurs avantages. D’abord, parce qu’elle garantit qu’il n’y ait pas de confusion, même dans le cas de patients portant des noms similaires (ex : homonymes), grâce à l’attribution de pseudonymes uniques. Ensuite, elle sépare clairement les données personnelles des données pseudonymisées, ce qui permet que seules les dernières soient utilisées dans le cadre de l’analyse des prélèvements. Cela permet non seulement d’automatiser la notification des résultats, mais aussi de minimiser les risques d’erreurs humaines et de confusion d’identités.

Un autre exemple concret de réduction des risques de confidentialité se trouve dans le cas d’un grand hôpital universitaire qui analyse les données de traitement afin d’optimiser son portefeuille de services et ses procédures de facturation⁸. L’objectif ici est de permettre au personnel administratif – non médical – d’accéder aux données sensibles tout en leur permettant de fournir des retours aux gestionnaires de soins en cas d’irrégularités.

Pour ce faire, les données sont également pseudonymisées, ce qui empêche toute identification des patients par le personnel administratif. Seules les données nécessaires à l’analyse sont transmises, accompagnées d’un identifiant chiffré pour chaque patient. Cette méthode garantit que le personnel – n’ayant pas accès aux systèmes médicaux – ne puisse déduire l’état de santé de tel ou tel patient. Ainsi, même dans un environnement de sécurité de niveau moyen, cette approche réduit de manière effective les risques de confidentialité. 

Il est important de préciser que l’environnement de sécurité de niveau moyen correspond dans cet exemple à l’environnement administratif, qui diffère de l’environnement de sécurité de niveau plus élevé, correspondant aux zones liées aux soins médicaux.

III. Quelles conséquences pour les professionnels de santé ?

Les professionnels de santé et leurs responsables de traitement devront ajuster leurs pratiques pour se conformer aux nouvelles lignes directrices de l’EDPB. Cela sous-entend la mise en place de mesures techniques et organisationnelles afin de garantir que les données pseudonymisées ne puissent pas être attribuées à des patients de manière non autorisée. Parmi les actions à entreprendre, on peut citer :

• L’implémentation de contrôles d’accès stricts ;
• L’utilisation de techniques de pseudonymisation appropriées et conformes à l’état de l’art, telles que le chiffrement ;
• La séparation des informations supplémentaires permettant de relier les données pseudonymisées à leurs titulaires (patients)⁹.

De plus, le choix du « domaine de pseudonymisation » sera capital pour s’assurer que les données ne puissent être reliées à un patient que dans des situations autorisées et uniquement par des personnes disposant de l’information nécessaire : « Controllers must define a pseudonymisation domain in which attribution of data to a specific data subject is prevented ».

Enfin, il est important de souligner qu’une prétendue pseudonymisation, qualifiée à tort d’anonymisation, peut exposer une organisation à des litiges, refus de traitements ou même des sanctions par les autorités (CNIL). C’est ce qu’a expérimenté la société JCDecaux qui a vu sa requête devant le Conseil d’État être rejetée, alors que la société demandait l’annulation pour excès de pouvoir de la délibération n°2015-255 par laquelle la CNIL avait refusé de lui octroyer une autorisation de mettre en œuvre un traitement ayant pour finalité de tester une méthodologie d’estimation quantitative des flux de piétons sur la dalle de la Défense à Paris. La CNIL estimait ici que le traitement des données envisagé ne permettait pas de rendre les données anonymes, malgré les techniques de « salage » et de « hachage » proposées par la société JCDecaux (Arrêt du 8 février 2017 n° 393714)¹⁰. 

Un autre exemple est celui de la société Qwant, qui a été rappelée à ses obligations légales par la CNIL, car les données transmises à son partenaire Microsoft étaient pseudonymisées et non anonymisées, contrairement à ce qu’indiquait la politique de confidentialité de l’entreprise en 2019¹¹. 

Enfin, dans sa délibération SAN-2024-013 du 5 septembre 2024, la CNIL avait retenu également que « la formation restreinte considère que les données traitées par la société CEGEDIM SANTÉ jusqu’en 2022 sont pseudonymes et non anonymes »¹². Ainsi, en raison de son non-respect – entre autres – des obligations liées au traitement de données pseudonymisées, en particulier l’absence d’autorisation préalable pour la gestion de son entrepôt de données de santé, CEGEDIM SANTE a été sanctionnée à hauteur de 800 000€.

En résumé, une compréhension précise de la distinction entre pseudonymisation et anonymisation est essentielle pour garantir la conformité au RGPD et éviter les risques de violations de données ou encore de lourdes sanctions par les autorités de contrôle.

IV. Quelle différence juridique entre pseudonymisation et anonymisation dans le traitement des données personnelles ?

L’un des apports majeurs des lignes directrices 2025 de l’EDPB réside dans la clarification de la distinction entre pseudonymisation et anonymisation, non seulement d’un point de vue technique, mais également juridique.

La pseudonymisation, définie par l’article 4 §5 du RGPD, implique que les données personnelles restent indirectement identifiables, à condition de disposer d’informations supplémentaires. Ces données conservent donc leur statut de données à caractère personnel, et sont soumises à l’ensemble du RGPD. À ce titre, toute réidentification (même théorique) oblige le responsable du traitement à respecter la politique de protection des données personnelles: les principes de finalité, minimisation, sécurité, information, etc.

L’anonymisation, en revanche, suppose qu’aucune identification n’est possible – même indirectement – de manière irréversible. Comme le rappelle l’EDPB, cela implique l’impossibilité objective pour quiconque, y compris le responsable du traitement ou un tiers, d’attribuer les données à une personne concernée. Une donnée anonymisée sort du champ d’application du RGPD.

Prenons un exemple concret : une base de données médicale utilisée pour un projet de recherche européen est pseudonymisée si les chercheurs disposent d’un code patient et qu’une autre entité détient séparément la correspondance avec l’identité réelle. En revanche, si les données sont rendues anonymes par agrégation (âge en tranche, pathologie générale, sans identifiant possible) et qu’aucun lien ne peut être rétabli, alors elles sont véritablement anonymisées.

L’erreur fréquente des professionnels consiste à qualifier une base de données d’« anonymisée » alors qu’elle est seulement pseudonymisée. Cette confusion expose à des risques juridiques importants, comme l’a illustré la CNIL dans plusieurs décisions, notamment l’affaire CEGEDIM Santé (SAN-2024-013) évoquée plus haut. Elle peut entraîner des sanctions administratives, voire des restrictions d’usage sur des projets de recherche ou d’innovation.

V. Quelle stratégie adopter pour sécuriser les traitements en santé selon les recommandations de l’EDPB ?

Les nouvelles lignes directrices de l’EDPB invitent les acteurs du secteur santé à adopter une approche graduée et documentée de la pseudonymisation et de l’anonymisation, intégrée dès la conception du traitement (privacy by design).

Première exigence : l’identification claire du type de données traitées – directement identifiantes (nom, numéro de sécurité sociale), indirectement identifiantes (âge, antécédents médicaux, localisation), ou agrégées. À partir de cette analyse, il est crucial de déterminer si les données peuvent être rendues anonymes (et donc sortir du RGPD), ou si elles doivent être pseudonymisées avec toutes les garanties imposées.

Deuxième exigence : le choix des techniques de pseudonymisation. L’EDPB insiste sur l’utilisation de méthodes robustes, documentées, régulièrement mises à jour. Le simple hachage d’un identifiant, sans gestion du domaine de pseudonymisation ni de séparation des informations supplémentaires, ne saurait suffire. L’usage combiné de salage (salt), chiffrement asymétrique et contrôle d’accès est recommandé.Troisième exigence : la gouvernance du traitement. Le responsable doit définir qui peut accéder aux données pseudonymisées, dans quelles conditions, avec quelles limitations. L’EDPB appelle à mettre en œuvre des audits RGPD réguliers, une documentation transparente (registre des traitements, analyses d’impact) et une politique de minimisation systématique des données utilisées.

Un accompagnement juridique essentiel pour sécuriser vos traitements de données de santé

La publication des lignes directrices 2025 du Comité européen à la protection des données (EDPB) marque un tournant dans l’encadrement du traitement des données de santé. À l’heure où la pseudonymisation devient une exigence technique et juridique incontournable, les professionnels du secteur doivent faire preuve d’une vigilance accrue.

Les enjeux sont doubles : assurer une conformité rigoureuse au RGPD et éviter toute confusion entre données pseudonymisées et données anonymisées, au risque d’exposer l’organisme à des sanctions ou à des blocages réglementaires. La maîtrise de ces notions, de leurs impacts techniques et de leur portée juridique, est désormais indispensable pour tout acteur manipulant des données à caractère personnel dans le champ de la santé.

Notre cabinet d’avocats accompagne les établissements de santé, les éditeurs de solutions numériques, les organismes de recherche et les professionnels libéraux dans la mise en œuvre de stratégies de traitement conformes aux exigences européennes. De l’audit des traitements à la rédaction des analyses d’impact (AIPD), en passant par la validation des méthodes de pseudonymisation ou la gestion des relations avec la CNIL, nous intervenons à chaque étape pour sécuriser juridiquement vos projets.

N’hésitez pas à nous contacter pour un accompagnement sur mesure en matière de conformité RGPD et de traitement des données de santé.

Sources :

1. https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_en – CEPD/EDPB, Lignes directrices 01/2025 portant sur la pseudonymisation (Guidelines 01/2025 on Pseudonymisation) ↩︎
2. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – Règlement (UE) 2016/679 sur la protection des données à caractère personnel (RGPD) ↩︎
3. https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_en – CEPD/EDPB, Lignes directrices 01/2025 portant sur la pseudonymisation, page 3, « Pseudonymised data, which could be attributed to a natural person by the use of additional information, is to be considered information on an identifiable natural person,2 and is therefore personal. » ↩︎
4. https://www.cnil.fr/fr/technologies/lanonymisation-de-donnees-personnelles – CNIL, l’anonymisation de données personnelles ↩︎
5. https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_en – CEPD/EDPB, Lignes directrices 01/2025 portant sur la pseudonymisation, page 3, « […] pseudonymisation can reduce the risks to the data subjects by preventing the attribution of personal data to natural persons1 in the course of the processing of the data, and in the event of unauthorised access or use. » ↩︎
6. Ibid, page 13, « Pseudonymisation may be employed by controllers and processors as one of several technical and organisational measures in order to implement data-protection principles according to Art. 25(1) GDPR, in particular data minimisation and confidentiality. » ↩︎
7. Ibid, page 36, exemple 4 ↩︎
8. Ibid, page 39-40, exemple 6 ↩︎
9. Ibid, page 12, « […] [Controllers] subject the additional information to technical and organisational measures to ensure that the pseudonymised data cannot be attributed to data subjects by persons operating within that context. This means in particular that additional information that would enable attribution is kept separate from it. » ↩︎
10. https://www.legifrance.gouv.fr/ceta/id/CETATEXT000034017907/ – Conseil d’État, 10ème – 9ème chambres réunies, 08/02/2017, 393714, « La CNIL, qui, contrairement à ce que soutient la société requérante […] n’a donc entaché sa décision ni d’erreur de droit, ni d’erreur d’appréciation en estimant, au regard de l’ensemble des moyens permettant d’identifier la personne titulaire des données collectées, ainsi que le prescrit l’article 2 de la loi du 6 janvier 1978, que les objectifs mêmes de la collecte des données par la société JCDecaux France étaient incompatibles avec une anonymisation des informations recueillies. » ↩︎
11. https://www.cnil.fr/fr/qwant-cnil-traitement-des-donnees-personnelles-rappel-obligations-legales – CNIL, QWANT : la CNIL estime que le moteur de recherche traite des données personnelles et lui adresse un rappel à ses obligations légales, « Dans sa décision, la présidente de la CNIL a rappelé que, malgré les fortes précautions prises en 2019 pour éviter la ré-identification des personnes, le jeu de données transmis à MICROSOFT n’était pas anonymisé mais seulement pseudonymisé. » ↩︎
12. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050202759 – CNIL, Délibération SAN-2024-013 du 5 septembre 2024 (CEGEDIM SANTE) ↩︎