Le 26 mai 2026, la CNIL a prononcé une sanction de 5 millions d’euros à l’encontre de la société IQVIA OPERATIONS FRANCE, notamment pour ne pas avoir respecté certaines garanties prévues dans le cadre de la gestion de deux entrepôts de données de santé.
Cette décision présente un intérêt particulier en ce qu’elle rappelle que les données de santé, en raison de leur caractère particulièrement sensible, doivent faire l’objet d’une protection renforcée. Elle souligne également que l’autorisation délivrée par la CNIL pour constituer un entrepôt de données ne dispense pas le responsable de traitement de respecter strictement les conditions posées lors de cette autorisation.
🟠 Une exploitation massive de données de santé
IQVIA exerce une activité de conseil et de réalisation d’études, notamment pour le compte de laboratoires pharmaceutiques. Pour mener ces études, la société s’appuyait sur deux entrepôts de données de santé autorisés par la CNIL : l’entrepôt LRX, alimenté par des données collectées auprès d’environ 14 000 pharmacies, et l’entrepôt EMR, alimenté par des données issues de plusieurs milliers de médecins.
Ces entrepôts permettaient à la société d’exploiter un volume très important de données relatives au parcours de soin des patients, à leurs prescriptions, à certaines pathologies ou encore aux traitements administrés.
À la suite d’un reportage diffusé par l’émission Cash Investigation, plusieurs plaintes ont été adressées à la CNIL par des particuliers et des associations. Ces plaintes portaient principalement sur le manque de transparence des traitements mis en œuvre à l’égard des patients. La CNIL a alors procédé à plusieurs contrôles, auprès de la société IQVIA mais également auprès de pharmacies partenaires.
🟠 Des données pseudonymisées, mais pas anonymes
L’un des principaux enjeux de la décision portait sur la qualification des données traitées. IQVIA soutenait que les données figurant dans ses entrepôts étaient anonymes et qu’elles échappaient, par conséquent, aux règles applicables aux données personnelles.
La CNIL a rejeté cette analyse. Elle a considéré que les données n’étaient pas anonymes, mais seulement pseudonymisées. En effet, chaque patient était associé à un identifiant unique permettant de suivre son parcours de soin. En outre, les données collectées étaient nombreuses et précises : année de naissance, sexe, prescriptions, informations relatives au médecin consulté, mais aussi, pour l’entrepôt EMR, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle, diagnostics, symptômes, allergies, poids, taille ou encore arrêts de travail.
Pour la CNIL, la combinaison de ces éléments faisait peser un risque de réidentification trop important pour que les données puissent être considérées comme véritablement anonymes. Cette analyse rappelle que la pseudonymisation constitue une mesure de protection, mais ne suffit pas nécessairement à exclure l’application du RGPD.
🟠 Le non-respect des autorisations délivrées par la CNIL
La société IQVIA avait été autorisée à constituer les entrepôts LRX et EMR. Toutefois, la CNIL a constaté que les traitements effectivement mis en œuvre ne respectaient pas toujours les conditions prévues par ces autorisations.
Plusieurs manquements ont notamment été relevés en matière de sécurité. Pour les deux entrepôts, aucune mesure ne permettait d’analyser régulièrement les journaux de connexion afin de détecter d’éventuelles activités anormales. Pour l’entrepôt EMR, aucune authentification multifacteur n’était mise en œuvre pour accéder aux données.
La CNIL a également relevé, s’agissant de l’entrepôt EMR, des insuffisances concernant l’information délivrée aux patients et l’absence de procédure permettant aux personnes d’exercer effectivement leur droit d’opposition.
Si IQVIA a indiqué avoir remédié, depuis les contrôles, à certains manquements relatifs à la sécurité et à la confidentialité des données, la CNIL a tout de même considéré que les manquements constatés justifiaient une sanction.
🟠 Une information insuffisante des patients
La décision insiste également sur l’obligation d’information des personnes concernées. Pour l’entrepôt LRX, les données étaient transmises à IQVIA par des pharmacies partenaires. Or, les contrôles réalisés auprès de plusieurs pharmacies ont révélé qu’aucune d’entre elles n’informait effectivement ses clients de cette transmission.
La CNIL a rappelé que, même lorsque le responsable de traitement confie à un tiers le soin de délivrer l’information aux personnes, il lui appartient de s’assurer que cette information est réellement donnée.
Autrement dit, IQVIA ne pouvait pas simplement s’appuyer sur ses partenaires pour considérer que l’obligation d’information était respectée. En tant que responsable de traitement, elle devait mettre en place des mesures permettant de vérifier l’effectivité de cette information.
🟠 L’effectivité du droit d’opposition en question
La CNIL a également sanctionné l’absence de procédure permettant aux personnes concernées d’exercer effectivement leur droit d’opposition.
Ce point est important, car les droits reconnus aux personnes par le RGPD ne doivent pas être uniquement théoriques. Lorsqu’une personne s’oppose au traitement de ses données, cette opposition doit pouvoir être prise en compte concrètement, notamment dans les outils techniques utilisés.
La CNIL a d’ailleurs relevé un manquement lié à la conception du logiciel utilisé dans les pharmacies, dans la mesure où les données pouvaient être transmises à IQVIA même en cas de refus du client. Ce point illustre l’importance du principe de protection des données dès la conception.
🟠 Une sanction importante, justifiée par la sensibilité des données
La CNIL a prononcé une amende de 5 millions d’euros, ainsi que des injonctions de mise en conformité dans un délai de six mois, sous astreinte de 10 000 euros par jour de retard.
Le montant de la sanction s’explique notamment par la nature des données concernées, à savoir des données de santé, par le nombre très élevé de personnes concernées, par la position de la société sur le marché et par ses capacités financières.
Cette décision rappelle que les traitements massifs de données de santé font l’objet d’une vigilance particulière de la part de la CNIL. Les acteurs concernés doivent non seulement obtenir les autorisations nécessaires, mais aussi être en mesure de démontrer, dans la durée, le respect effectif des garanties prévues.
🟠 Conclusion : une décision d’avertissement pour les acteurs de la santé numérique
La sanction prononcée contre IQVIA constitue un rappel important pour l’ensemble des acteurs qui exploitent des données de santé à grande échelle.
Elle montre que la conformité ne peut pas se limiter à l’obtention d’une autorisation ou à la mise en place de documents d’information. Elle suppose une gouvernance effective des traitements, une information réelle des personnes, des procédures opérationnelles d’exercice des droits et des mesures de sécurité adaptées à la sensibilité des données traitées.Dans un contexte où les données de santé représentent un enjeu majeur pour la recherche, l’innovation et l’industrie pharmaceutique, cette décision rappelle que leur exploitation doit rester strictement encadrée par les principes du RGPD et de la loi Informatique et Libertés