בית המשפט המינהלי העליון של צרפת דחה את הערעורים שהגישו שלוש חברות מקבוצת Cegedim על קנסות של רשות הגנת המידע הצרפתית (CNIL) בסך כולל של 1.8 מיליון אירו, והכריע מתי מידע בריאותי שעברו פסידואנימיזציה נחשב עדיין מידע אישי לפי ה-GDPR.
החברות הפעילו שני מסדי נתונים, שאוכלסו בנתונים שנאספו מתוכנות ניהול מרפאות של רופאים וממערכות בתי מרקחת. נכון למרץ 2021, מסד הנתונים האחד כלל נתונים על 13.4 מיליון ביקורי מרפאה המקושרים ל-4 מיליון קודי מטופלים, בעוד שהשני הכיל כ-78 מיליון מזהי לקוחות מ-8,500 בתי מרקחת. החברות השתמשו במסדי הנתונים להפקת מחקרים כמותיים ומכירת נתונים סטטיסטיים רפואיים ללקוחות ציבוריים ופרטיים. הן טענו כי מאחר ששמות המטופלים הוחלפו בקודים, הנתונים עברו אנונימיזציה אפקטיבית ואינם כפופים ל-GDPR.
בית המשפט הגבוה בצרפת דחה טענה זו, תוך יישום פסיקת בית המשפט האירופי לצדק: מידע שעבר פסידואנימיזציה ייחשב אנונימי רק אם הסיכון לזיהוי מחדש הוא "זניח" — כלומר שהזיהוי יהיה "בלתי ישים בפועל" מפני שיידרש "מאמץ בלתי סביר מבחינת זמן, עלות וכוח אדם." לאחר מכן בחן בית המשפט אם סטנדרט זה אכן התקיים.
המסקנה הייתה שלילית. על אף השימוש בקודי מטופלים, מסדי הנתונים הכילו מידע מפורט, לרבות גיל, מין, קטגוריה סוציו-מקצועית, רשומות רפואיות, מרשמים, ימי מחלה, חיסונים, תרופות שנרכשו, ותאריכים ושעות מדויקים של ביקורי רופא או רכישות בבית המרקחת. באופן מכריע, הנתונים כללו גם מזהים ישירים ועקיפים של אנשי מקצוע רפואיים, שרשות הגנת המידע בצרפת הוכיחה כי ניתן לזהות באמצעותם מטפלים ספציפיים דרך חיפוש מקוון פשוט ונגיש לציבור.
בית המשפט ציין כי רשות הגנת המידע בצרפת הוכיחה שניתן לשחזר מסלולי טיפול אישיים ולזהות מטופלים ספציפיים ואת מחלותיהם תוך שימוש בתוכנת גיליון אלקטרוני רגילה בלבד ובמערכות הסיווג שסיפקו החברות עצמן. הסיכון לזיהוי מחדש היה גבוה במיוחד כאשר הטיפולים שנרשמו היו נדירים, וניתן היה להגדילו עוד על ידי הצלבה עם נתונים אחרים שהחברות מחזיקות או עם נתוני מיקום של צדדים שלישיים.
מועצת המדינה אישרה את מידתיות הקנס הכולל, תוך התחשבות בחומרת ההפרות, באופי הרגיש של נתוני הבריאות, בהיקף העיבוד ובמספר הפרטים שנפגעו. פסק הדין בצרפתית, זמין כאן.