Vu les procédures suivantes :

1° Sous le n° 498628, par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés le 28 octobre 2024 et les 28 janvier et 16 décembre 2025 au secrétariat du contentieux du Conseil d’Etat, la société par actions simplifiée (SAS) GERS demande au Conseil d’Etat :

1°) à titre principal, d’annuler la délibération n° SAN-2024-010 du 28 août 2024 par laquelle la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative de 800 000 euros ;

2°) à titre subsidiaire, de réformer la délibération attaquée ;

3°) en cas de doute sur le caractère anonyme des données, de renvoyer une question préjudicielle à la Cour de justice de l’Union européenne sur l’interprétation de l’exigence tenant à la mise en œuvre de moyens raisonnables par le responsable de traitement de données pour écarter le risque de réidentification des personnes concernées par le traitement ;

4°) de mettre à la charge de la CNIL la somme de 8 000 euros au titre de l’article L. 761-1 du code justice administrative.

2° Sous le n° 498629, par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés le 28 octobre 2024 et les 28 janvier et 16 décembre 2025 au secrétariat du contentieux du Conseil d’Etat, la société par actions simplifiée (SAS) GERS, venant aux droits de la société à responsabilité limitée (SARL) Santestat, demande au Conseil d’Etat :

1°) à titre principal, d’annuler la délibération n° SAN-2024-011 du 28 août 2024 par laquelle la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative de 200 000 euros ;

2°) à titre subsidiaire, de réformer la délibération attaquée ;

3°) en cas de doute sur le caractère anonyme des données, de renvoyer une question préjudicielle à la Cour de justice de l’Union européenne sur l’interprétation de l’exigence tenant à la mise en œuvre de moyens raisonnables par le responsable de traitement de données pour écarter le risque de réidentification des personnes concernées par le traitement ;

4°) de mettre à la charge de la CNIL la somme de 8 000 euros au titre de l’article L. 761-1 du code justice administrative.

…………………………………………………………………………

3° Sous le n° 498749, par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés le 5 novembre 2024 et les 5 février et 16 décembre 2025 au secrétariat du contentieux du Conseil d’Etat, la société par actions simplifiée (SAS) Cegedim Santé demande au Conseil d’Etat :

1°) à titre principal, d’annuler la délibération n° SAN-2024-013 du 5 septembre 2024 par laquelle la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a, d’une part, prononcé à son encontre une amende administrative de 800 000 euros et, d’autre part, rendu publique cette délibération qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication ;

2°) à titre subsidiaire, de réformer la délibération attaquée ;

3°) en cas de doute sur le caractère anonyme des données, de renvoyer une question préjudicielle à la Cour de justice de l’Union européenne sur l’interprétation de l’exigence tenant à la mise en œuvre de moyens raisonnables par le responsable de traitement de données pour écarter le risque de réidentification des personnes concernées par le traitement ;

4°) de mettre à la charge de la Commission nationale de l’informatique et des libertés la somme de 8 000 euros au titre de l’article L. 761-1 du code justice administrative.

…………………………………………………………………………

Vu les autres pièces des dossiers ;

Vu :

- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

- le code de la sécurité sociale ;

- la loi n° 78-17 du 6 janvier 1978 ;

- le décret n° 2019-536 du 29 mai 2019 ;

- le code de justice administrative ;

Après avoir entendu en séance publique :

- le rapport de M. Thomas Odinot, maître des requêtes,

- les conclusions de M^me Charline Nicolas, rapporteure publique ;

La parole ayant été donnée, après les conclusions, à la SARL cabinet Briard, Bonichot et Associés, avocat de la société GERS, à la SARL cabinet Briard, Bonichot et Associés, avocat de la société GERS venant aux droits de la société Santestat et à la SARL cabinet Briard, Bonichot et Associés, avocat de la société Cegedim Santé ;

Considérant ce qui suit :

La société « Groupement pour l’élaboration et la réalisation de statistiques » (GERS), pour elle-même, d’une part, et venant aux droits de la société Santestat, d’autre part, ainsi que la société Cegedim Santé, ces sociétés appartenant au même groupe Cegedim, demandent l’annulation des délibérations n° SAN-2024-010 du 28 août 2024, n° SAN-2024-011 du 28 août 2024, et n° SAN-2024-013 du 5 septembre 2024 par lesquelles la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a respectivement prononcé une amende administrative de 800 000 euros à l’encontre de la société GERS, une amende administrative de 200 000 euros à l’encontre de la société GERS venant aux droits de la société Santestat, et une amende administrative de 800 000 euros à l’encontre de la société Cegedim Santé, assortie d’une décision de rendre publique cette dernière sanction sans anonymisation pendant deux ans. Ces délibérations ont été adoptées à la suite de contrôles engagés par la CNIL portant sur la mise en œuvre par ces sociétés de deux bases de données, la base « Thin » et la base « Gers Etudes clients ».

Les requêtes visées ci-dessus présentent à juger des questions semblables. Il y a lieu de les joindre pour statuer par une seule décision.

Sur la régularité de la délibération n° SAN-2024-011 du 28 août 2024 :

Si la société GERS, venant aux droits de la société Santestat, fait valoir que la procédure suivie par la CNIL aurait été irrégulière, faute que lui ait été notifié, dans le cadre de la procédure, initialement ouverte à l’encontre de la société Santestat, ayant conduit à la délibération n° SAN-2024-011, un acte formalisant la reprise de la procédure à son encontre après qu’elle avait absorbé la société Santestat et dans la mesure où le délai supplémentaire qui lui a été accordé pour assurer sa défense était insuffisant, il résulte de l’instruction que la société Santestat a disposé du délai d’un mois prévu par l’article 40 du décret du 29 mai 2019 pour présenter ses observations écrites en réponse aux prises de position du rapporteur, qu’elle a produit des observations le 25 septembre 2023, en réponse au rapport du rapporteur, et qu’elle en a produit de nouvelles, le 9 janvier 2024, sur la réponse apportées par le rapporteur à ses premières observations. Il résulte également de l’instruction que le rapporteur, après avoir été informé le 7 mai 2024 de la dissolution de la société Santestat et de la transmission universelle de son patrimoine à la société GERS, a fait connaître à la société GERS la poursuite à son encontre de la procédure de sanction ouverte contre la société Santestat. La société GERS a produit des observations le 24 mai 2024 avant que l’instruction ne soit close le 27 mai 2024. Il résulte aussi de l’instruction que la société Santestat était une filiale détenue à 100 % par la société GERS et que cette dernière, elle-même mise en cause dans une procédure parallèle pour des traitements similaires et étroitement liés, ne pouvait ignorer la procédure ouverte contre sa filiale. Dans ces conditions, le moyen tiré de ce que la procédure ayant conduit à la délibération n° SAN-2024-011 du 28 août 2024 aurait méconnu les droits de la défense ne peut qu’être écarté.

Sur les manquements sanctionnés :

Il résulte de l’instruction que la base de données « Thin » est alimentée par des données collectées auprès de médecins utilisant le logiciel de gestion « Crossway », édité par la société Cegedim Santé, permettant aux médecins de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions et que la base de données « Gers Etudes clients » est alimentée par des données collectées auprès d’officines pharmaceutiques, extraites des logiciels assurant leur gestion par un module développé par la société Santestat et intégré dans ces logiciels. La société Gers est responsable des deux bases de données, ainsi alimentées par des données provenant de médecins, transmises par la société Cegedim, et par des données provenant de pharmaciens, transmises par la société Santestat. Il ressort des délibérations attaquées, et n’est pas contesté par les sociétés requérantes, que fin mars 2021, la société GERS disposait, dans la base de données « Thin », de données relatives à 13,4 millions de consultations associées à 4 millions de codes patients et, dans la base de données « Gers Etudes Clients », d’environ 78 millions d’identifiants de clients pour les 8 500 pharmacies dont elle recueillait les données. A partir de ces données, la société GERS réalise des études quantitatives et commercialise des données statistiques dans le domaine de la santé auprès de clients publics et privés.

Les sociétés requérantes contestent l’analyse de la formation restreinte de la CNIL, qui a considéré que les données ainsi recueillies étaient des données à caractère personnel et que, par suite, et à défaut de consentement des personnes concernées, les traitements en cause devaient être autorisés dans les conditions prévues par l’article 66 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

En ce qui concerne le caractère personnel des données en cause :

Aux termes du paragraphe 1 de l’article 4 du règlement 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD), on entend par « données à caractère personnel » « toute information se rapportant à une personne physique identifiée ou identifiable ». Est réputée être une « personne physique identifiable » « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Le paragraphe 15 du même article 4 dispose que « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » constituent des données de santé.

Le paragraphe 5 de l’article 4 définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». Le considérant 26 du RGPD indique à cet égard que : « Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche ».

Il résulte de ces dispositions du RGPD, telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt du 7 mars 2024, OC c/ Commission (C-479/22), qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main d’œuvre.

Ainsi qu’il a été dit au point 4, les sociétés requérantes détenaient une quantité massive de données, recueillies auprès de cabinets médicaux ou de pharmacies. Il n’est pas contesté que les données en cause incluaient des éléments d’identification comme l’âge, le sexe ou la catégorie socio-professionnelle, ainsi que des données de santé telles que, notamment, le dossier médical, les prescriptions, les arrêts de travail, les vaccinations, pour les données transmises par les médecins, et les médicaments achetés et le prescripteur, pour les données transmises par les pharmacies. De telles données de santé sont des données sensibles spécialement protégées par l’article 9 du RGPD.

Les sociétés requérantes font valoir que les données en cause ne seraient pas des données personnelles au sens du RGPD dans la mesure où elles font l’objet d’une pseudonymisation, les données collectées auprès des médecins ne mentionnant qu’un code patient et celles collectées auprès des officines pharmaceutiques qu’un code client. Il résulte toutefois de l’instruction qu’outre les données précises sur les personnes concernées, telles que l’âge, le sexe, les pathologies et les médicaments prescrits et achetés, les données recueillies comprennent des éléments comme la date et parfois l’heure exacte de la visite médicale ou de l’achat ainsi que des éléments directs ou indirects de localisation ou d’indentification des professionnels de santé qui sont intervenus. Si les requérantes contestent détenir des informations géographiques, la CNIL relève, sans que ce soit sérieusement contesté, s’agissant des données des pharmacies, que la société GERS collecte les données des prescripteurs, notamment leurs identifiants ADELI et RPPS, qui permettent de connaître l’identité du professionnel de santé par simple recours à un moteur de recherche publiquement accessible en ligne. Elle relève également qu’un code région était collecté jusqu’en 2022 par la société Cegedim Santé. Il résulte de l’instruction que, comme l’a relevé la formation restreinte de la CNIL, il est possible, à partir de ces données, de retracer des parcours de soins et d’individualiser des clients et leurs pathologies. Une telle individualisation dans l’ensemble des données n’a, selon le constat dressé par la formation restreinte de la CNIL, et non utilement démenti par les sociétés requérantes, nécessité que peu de temps et peu de moyens, notamment l’utilisation d’un logiciel tableur d’usage courant et la nomenclature communiquée par les sociétés afin d’associer les codes alphanumériques à des informations sur le patient et les actes médicaux prodigués. Il ressort notamment des exemples cités par la délibération attaquée que le risque de réidentification est élevé, notamment lorsque les traitements prescrits sont rares et que le recours à des informations détenues par ailleurs par les sociétés, comme les données identifiant les professionnels de santé, ou le recours éventuel à des données tierces, notamment des données de géolocalisation, sont susceptibles d’accroître ce risque de réidentification. Enfin, la circonstance que les sociétés ne procèdent elles-mêmes à aucune inférence de données est sans incidence sur l’appréciation des possibilités d’identification des personnes physiques permises par ces données.

Il résulte de ce qui précède que la CNIL a procédé à une évaluation concrète du risque de réidentification des données et établi qu’il était possible de lever le pseudonymat de personnes concernées par des moyens raisonnables. Par suite, et sans qu’il y ait lieu, en l’absence de difficulté sérieuse sur l’interprétation des dispositions en cause, de saisir à titre préjudiciel la Cour de justice de l’Union européenne, les moyens tirés de ce que la CNIL aurait commis une erreur de droit et inexactement qualifié les faits de l’espèce en retenant que les données en cause, bien que pseudonymisées, n’étaient pas anonymisées doivent être écartés.

En ce qui concerne les manquements aux dispositions de l’article 66 de la loi du 6 janvier 1978 :

Aux termes de l’article 65 de la loi du 6 janvier 1978 : « Les traitements contenant des données concernant la santé des personnes sont soumis, outre à celles du règlement (UE) 2016/679 du 27 avril 2016, aux dispositions de la présente section, à l’exception des catégories de traitements suivantes : / 1° Les traitements relevant du 1° de l’article 44 de la présente loi et des a et c à f du 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 (…) ». Aux termes de l’article 66 de la loi du 6 janvier 1978 : « I.- Les traitements relevant de la présente section ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public. / II.- Des référentiels et règlements types, au sens des b et c du 2° du I de l’article 8, s’appliquant aux traitements relevant de la présente section sont établis par la Commission nationale de l’informatique et des libertés, en concertation avec la plateforme des données de santé mentionnée à l’article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés. / Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l’informatique et des libertés une déclaration attestant de cette conformité. / Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d’impact sur la vie privée. / III.- Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés. La demande d’autorisation est présentée dans les formes prévues à l’article 33 (…) ».

Il n’est pas contesté que les données figurant dans les bases « Thin » et « Gers Etudes clients » ont été collectées sans que le consentement des personnes concernées soit recueilli. Les traitements en cause ne relèvent donc pas de l’exception prévue par l’article 65 de la loi du 6 janvier 1978, mais du régime prévu à l’article 66 de cette loi. Contrairement à ce que soutiennent les sociétés requérantes, il ne résulte pas des dispositions applicables que le droit en vigueur aurait manqué de clarté à la date des vérifications effectuées par la CNIL. Par suite, les requérantes ne sont pas fondées à soutenir que la formation restreinte de la CNIL aurait commis une erreur de droit ou aurait inexactement qualifié les faits de l’espèce en retenant un manquement aux dispositions de l’article 66 de la loi du 6 janvier 1978 relatives aux obligations applicables aux traitements de données à caractère personnel dans le domaine de la santé.

En ce qui concerne le manquement de la société Cegedim à l’article 5 du RGPD :

Aux termes de l’article 5 du RGPD : « Les données à caractère personnel doivent être : a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) (…) ». Aux termes du paragraphe 1 de l’article 6 du RGPD : « Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: / a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; / b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci; / c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis; / d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique; / e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement; / f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. / Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. »

La société Cegedim Santé soutient que la CNIL aurait insuffisamment motivé sa décision, commis une erreur de droit et inexactement qualifié les faits de l’espèce en retenant à son encontre un manquement aux dispositions du a) du paragraphe 1 de l’article 5 du RGPD s’agissant de la collecte de données des dossiers des patients issues du téléservice HRi assuré par les organismes gestionnaires des régimes de base d’assurance maladie à l’usage des médecins.

A cet égard, en vertu des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale, les médecins peuvent, à l’occasion des soins qu’ils délivrent et avec l’accord du patient, consulter les données issues des procédures de remboursement ou de prise en charge qui sont détenues par l’organisme dont relève chaque bénéficiaire de l’assurance maladie. Cet organisme assure à l’usage des médecins un service de consultation par voie électronique de ces informations.

Il résulte toutefois de ces dispositions du code de la sécurité sociale que seuls les médecins peuvent consulter les données issues des procédures de remboursement via le téléservice HRi. Il résulte cependant de l’instruction, sans que ce soit sérieusement contesté, que le dossier informatisé du patient dans le logiciel « Crossway » édité par la société Cegedim Santé reçoit automatiquement les données issues du téléservice HRi dès lors que le médecin consulte ces données, sans que le médecin puisse décider de les consulter sans les télécharger, de telle sorte que ce logiciel permet à la société Cegedim santé de collecter toutes les données des patients issues du téléservice HRi que les médecins consultent. Dans ces conditions, la formation restreinte de la CNIL a pu retenir, sans erreur de droit ni erreur d’appréciation, que la collecte de données par la société requérante intervenait en méconnaissance des articles L. 162-4-3 et R. 162-1-10 du code de la sécurité sociale et de l’article R. 1111-8-6 du code de la santé publique pour en déduire un manquement à l’article 5 du RGPD. Si la délibération attaquée ne précise pas qu’aucune des conditions de licéité prévues à l’article 6 du RGPD n’était remplie, la société requérante n’apporte aucun élément de nature à établir que son traitement poursuivrait une mission d’intérêt public ou qu’une autre des conditions prévues à cet article serait remplie.

Par suite, les moyens critiquant la délibération n° SAN-2014-013 du 5 septembre 2024 pour avoir retenu un manquement aux dispositions du a) du paragraphe 1 de l’article 5 du RGPD doivent être écartés.

Sur les sanctions :

Aux termes du IV de l’article 20 de la loi du 6 janvier 1978 : « Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au III, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes ; (…) 7° A l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 ».

Aux termes du paragraphe 1 de l’article 83 du RGPD : « Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ». Le paragraphe 2 du même article dispose que : « Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants : a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ; b) le fait que la violation a été commise délibérément ou par négligence ; c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ; e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ; f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ; g) les catégories de données à caractère personnel concernées par la violation ; h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ; i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ; j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42 ; et k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation. »

En outre, aux termes de l’article 43 du décret du 29 mai 2019 pris pour l’application de la loi du 6 janvier 1978 : « La décision de la formation restreinte énonce les considérations de droit et de fait sur lesquels elle est fondée ».

En premier lieu, s’il est soutenu que les délibérations attaquées seraient insuffisamment motivées en ce qu’elles ne font état d’aucun élément de calcul identifié par les lignes directrice du 4 avril 2022 du comité européen de la protection des données sur le calcul des amendes administratives, ces délibérations mentionnent explicitement les éléments énoncés à l’article 83 du RGPD que la CNIL a pris en compte pour décider d’imposer les amendes administratives et que les lignes directrices en question ne font que préciser. Par suite, ce moyen ne peut qu’être écarté.

En second lieu, il résulte de l’instruction que, pour fixer le montant des sanctions pécuniaires infligées aux sociétés requérantes, la formation restreinte de la CNIL a tenu compte, au titre des critères prévus au paragraphe 2 de l’article 83 du RGPD, d’une part, de la gravité du manquement au regard de la nature et de la portée du traitement et du nombre de personnes concernées par celui-ci, d’autre part, du fait que la violation a été commise par négligence, enfin, au titre du critère prévu au g, de la circonstance qu’il s’agissait de données de santé. La formation restreinte n’a pas retenu des montants excédant le plafond fixé par le 7° du III de l’article 20 de la loi du 6 janvier 1978, calculé par référence au chiffre d’affaires des sociétés. La circonstance que la formation n’ait pas prononcé d’injonction en raison du fait que les sociétés avaient déjà déposé auprès de la CNIL, au cours de la procédure de sanction, les demandes d’autorisation requises, est sans incidence sur l’appréciation du montant des sanctions pour les manquements constatés. Dans les circonstances de l’espèce, la formation restreinte de la CNIL n’a pas, en retenant des montants de 800 000 euros, 200 000 euros et 800 000 euros, infligé, respectivement, aux sociétés GERS, Santestat aux droits de laquelle vient la société GERS et Cegedim santé, des sanctions d’un montant disproportionné.

S’agissant de la décision de rendre publique la délibération concernant la société Cegedim santé, cette publication est justifiée par la gravité des manquements en cause, la portée du traitement et le nombre de personnes concernées et n’est pas illégale.

Il résulte de tout ce qui précède que les sociétés GERS et Cegedim Santé ne sont pas fondées à demander l’annulation ou la réformation des délibérations de la formation restreinte de la CNIL qu’elles attaquent.

Les dispositions de l’article L. 761-1 du code de justice administrative font alors obstacle à ce qu’une somme soit mise, à ce titre, à la charge de la CNIL, qui n’est pas, dans les présentes instances, la partie perdante.

D E C I D E :

--------------

Article 1er : Les requêtes de la société GERS, de la société GERS venant aux droits de la société Santestat et de la société Cegedim Santé sont rejetées.

Article 2 : La présente décision sera notifiée à la société GERS, à la société Cegedim Santé et à la Commission nationale de l’informatique et des libertés.

Délibéré à l’issue de la séance du 26 janvier 2026 où siégeaient : M. Jacques-Henri Stahl, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, M^me Anne Egerszegi, présidents de chambre ; M. Olivier Yeznikian, M. Nicolas Polge, M. Vincent Daumas, M^me Rozen Noguellou, M. Christophe Barthélemy, conseillers d’Etat et M. Thomas Odinot, maître des requêtes-rapporteur.

Rendu le 13 février 2026.

Le président :

Signé : M. Jacques-Henri Stahl

Le rapporteur :

Signé : M. Thomas Odinot

La secrétaire :

Signé : M^me Reine-May Solente