Transparence défaillante, sécurité insuffisante, droits des patients bafoués : la formation restreinte de la CNIL a frappé fort le 26 mai 2026 contre la filiale française du géant de la data santé IQVIA.
Des autorisations obtenues, des engagements ignorés
Tout part d’un reportage de Cash Investigation qui pousse la CNIL à se saisir de plusieurs plaintes, émanant de particuliers et d’associations, mettant en cause le manque de transparence d’IQVIA OPERATIONS FRANCE dans la gestion de ses données patients. La société, filiale du groupe IQVIA, opère deux entrepôts de données de santé dûment autorisés par la CNIL : LRX, alimenté depuis 2018 par les données d’environ 14 000 pharmacies, et EMR, constitué à partir de 2021 à partir de données collectées auprès de plusieurs milliers de médecins. Des périmètres considérables, couvrant au total plusieurs dizaines de millions de personnes.
Les contrôles menés auprès de la société et de pharmacies partenaires ont révélé un écart patent entre les engagements pris lors des demandes d’autorisation et la réalité des traitements mis en œuvre. Sur le volet sécurité, aucun dispositif ne permettait d’analyser régulièrement les journaux de connexion pour détecter des activités anormales, et l’entrepôt EMR fonctionnait sans authentification multifacteur. Ce même entrepôt concentre d’autres griefs : les mentions d’information délivrées aux patients s’avéraient inexactes, et aucune procédure opérationnelle ne permettait à ces derniers d’exercer effectivement leur droit d’opposition. La société a depuis remédié aux défaillances de sécurité, mais les manquements relatifs à l’information et au droit d’opposition font l’objet d’injonctions assorties d’une astreinte de 10 000 euros par jour au-delà d’un délai de six mois.
Pseudonymisation, responsabilité de traitement : la CNIL pose ses lignes
L’affaire a aussi été l’occasion pour la formation restreinte de trancher une question juridique que la société avait tenté d’exploiter à son avantage. En s’appuyant sur un arrêt de la Cour de justice de l’Union européenne rendu le 4 septembre 2025, IQVIA a soutenu que les données figurant dans ses entrepôts étaient anonymes et donc hors du champ du RGPD. La CNIL a écarté l’argument sans ambiguïté : les données sont pseudonymes, non anonymes. L’existence d’un identifiant unique par patient, la profondeur des informations collectées (année de naissance, sexe, parcours de soins, situation matrimoniale, diagnostics, allergies, poids, arrêts de travail) et la possibilité de réidentification par croisement avec des données publiques suffisent à maintenir ces traitements dans le périmètre de la réglementation. La formation restreinte a au passage relevé qu’IQVIA n’avait jamais contesté traiter des données personnelles avant cet arrêt, et avait elle-même sollicité les autorisations correspondantes.
Sur le volet LRX, les contrôles effectués dans quatre pharmacies partenaires ont mis en évidence qu’aucune d’entre elles n’informait ses clients de la transmission de leurs données à IQVIA. La formation restreinte a été claire : si la société a délégué cette obligation d’information aux pharmaciens, elle en reste responsable en tant que responsable de traitement. À cela s’ajoutent deux manquements supplémentaires : des études conduites pour son propre compte hors de tout cadre légal au titre de l’article 66 de la loi Informatique et Libertés, et une conception logicielle défaillante — le logiciel de gestion déployé dans les pharmacies transmettait les données des clients à IQVIA y compris lorsque ceux-ci avaient exprimé un refus, en violation des exigences de protection des données dès la conception posées par l’article 25 du RGPD. L’amende de 5 millions d’euros, rendue publique, a été calibrée au regard de la sensibilité des données traitées, du nombre de personnes concernées, de la position d’IQVIA sur son marché et de ses capacités financières.
