🔍 Quelle valeur réelle pour la pseudonymisation ?

📌 La décision n° 498628 du Conseil d’État (13 février 2026) structure l’appréciation juridique de la pseudonymisation.

🧠 Le Conseil d’État a rappelé dans sa jurisprudence récente que la « pseudonymisation », telle que définie au RGPD (art. 4 §5), reste une mesure de sécurité et non une transformation juridique faisant basculer automatiquement une donnée dans le domaine de l’anonymat. La véritable question est celle du risque de réidentification à partir des jeux de données traités.

📊 Dans cette affaire, plusieurs sociétés du domaine de la santé avaient contesté des sanctions de la CNIL, en soutenant que leurs traitements pseudonymisés ne concernaient plus de données personnelles. Le Conseil d’État a confirmé que les données pseudonymisées restent des données à caractère personnel au sens du RGPD, tant que le risque d’identifier une personne n’est pas insignifiant et irréalisable en pratique. Ce critère exigeant — qui repose sur des moyens raisonnablement susceptibles d’être utilisés, tenant compte du coût, du temps et des technologies disponibles — est central pour toute stratégie de conformité RGPD.

🔐 En conséquence, des éléments comme l’âge, le sexe, des données de santé, ou encore des codes associés qui permettent des recoupements simples avec des ressources externes, peuvent suffire à maintenir le caractère personnel des données malgré une pseudonymisation technique.

📈 Ce que cela signifie pour les experts :
A/ La pseudonymisation ne libère pas du RGPD si le risque de réidentification n’est pas démontré comme insignifiant.
B/ Une évaluation robuste des risques et une documentation précise sont désormais des pièces maîtresses pour sécuriser une position juridique défendable face aux autorités.
C/ Pour les acteurs de l’IA, du Big Data ou de l’analytique, ce rappel doit guider les architectures, DPIA et mesures organisationnelles, au-delà des contrôles purement techniques.

👉 Réévaluons nos approches de pseudonymisation régulièrement : séparation des clés d’identification, augmentation de la granularité des analyses de réidentification et documentation des choix de conception pour prévenir un risque juridique évitable.

🔗 Source : https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2026-02-13/498628