La sanction de 5 millions d’euros infligée par la CNIL à IQVIA France rappelle qu’une autorisation préalable ne suffit pas à sécuriser durablement un traitement de données de santé. Pour Alexandra Iteanu, avocate à la Cour, cette décision met en lumière plusieurs exigences clés du RGPD, de la qualification des données à l’information effective des personnes concernées.
Une autorisation délivrée par la CNIL ne met pas un organisme à l’abri des contrôles, ni à l’abri des sanctions. Le 26 mai dernier, l’autorité de contrôle a annoncé avoir sanctionné la société IQVIA France, spécialisée dans le domaine de la recherche en santé, d’une amende administrative à hauteur de 5 millions d’euros, pour plusieurs manquements relatifs au RGPD[1] dans le cadre de sa gestion de deux entrepôts de données de santé.
Comme c’est l’usage dans ce secteur, cette société avait constitué deux entrepôts de données de santé afin de procéder à des études, l’un était en partenariat avec des pharmacies, l’autre avec des médecins. Ces deux entrepôts avaient bien fait l’objet des formalités obligatoires préalables, via des demandes d’autorisation auprès de la CNIL.
À la suite de la diffusion d’un reportage sur une chaîne de télévision publique, la CNIL a été saisie de plusieurs plaintes de particuliers et d’associations. Ces évènements l’ont amenée à publier un communiqué sur son site web et plusieurs contrôles ont été diligentés auprès de la société et de ses partenaires pharmaciens.
Le 26 mai 2026, dans sa délibération n°SAN-2026-008, la formation restreinte sanctionne la société d’une amende de 5 millions d’euros et prononce une injonction de mise en conformité assortie d’une astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois.
Plusieurs leçons sont à tirer de cette histoire.
- L’autorisation délivrée par la CNIL pour un traitement de données n’est pas un blanc-seing
La société visée avait bien obtenu les autorisations de la CNIL pour la constitution et la gestion de ses entrepôts de données. L’autorité de contrôle a cependant constaté plusieurs manquements sur le fondement de ces autorisations, comme l’absence d’analyse régulière des journaux de connexion sur les deux entrepôts, ou l’absence d’authentification multi-facteur pour l’accès aux données de l’entrepôt EMR (cons. 143).
L’obtention de cette formalité ne doit pas être perçue comme un droit acquis, mais plutôt comme un engagement de l’organisme sur la durée.
- En RGPD, une mauvaise qualification de votre statut (responsable de traitement, sous-traitant) ou des données que vous traitez (sensibles, pseudonymes, anonymes) et tout votre traitement peut être considéré comme illicite par la CNIL
IQVIA se fonde sur un arrêt de la Cour de Justice de l’Union Européenne du 4 septembre 2025[2] pour qualifier les données qu’elle traite dans ces entrepôts de données anonymes, et donc échapper aux obligations imposées par le RGPD (cons. 33).
La CNIL rejette l’argument. La richesse des données traitées (année de naissance, sexe, diagnostic, vaccins, arrêts de travail, identifiant unique de parcours de soins) rendait le risque de réidentification trop élevé pour retenir la qualification de données anonymes. La formation restreinte ajoute un argument difficilement contestable : IQVIA avait elle-même sollicité et obtenu des autorisations de la CNIL, reconnaissant de fait qu’elle traitait des données personnelles. On ne peut plaider l’anonymisation après coup (cons. 100).
- La pseudonymisation ne suffit pas : d’autres mesures de sécurité sont nécessaires
Le RGPD reconnaît la pseudonymisation comme une mesure de sécurité. Mais elle ne suffit pas à elle seule.
La CNIL le rappelle ici et précise quelles mesures complémentaires sont attendues : cloisonnement du réseau, authentification forte, journalisation des accès. Sur ce dernier point, la délibération est particulièrement instructive : la journalisation ne doit pas seulement permettre de détecter des anomalies, elle doit aussi permettre de retracer l’ensemble des opérations de consultation, de création et de modification des données (cons. 151).
- Ce qui est annoncé dans les mentions d’information doit être exact… et effectivement appliqué
La CNIL a relevé que certaines mentions figurant dans les notices d’information destinées aux personnes concernées étaient inexactes, notamment les durées de conservation indiquées, qui n’étaient pas celles appliquées en pratique (cons. 173).
Mais le manquement le plus flagrant concerne les pharmacies partenaires, puisque la CNIL a relevé qu’aucune d’entre elles n’informait ses clients de la transmission de leurs données à IQVIA lors de l’achat de médicaments. La formation restreinte est claire : confier cette obligation à des tiers ne dispense pas d’en assurer l’effectivité. Le responsable de traitement doit s’en porter garant.
- Contrôle CNIL : prenez garde aux retombées médiatiques
Enfin, il est intéressant de noter que si la plupart des contrôles CNIL sont aléatoires, ou clairement défini dans le rapport annuel de la CNIL selon certains secteurs, ici l’élément déclencheur est une émission télévisée, suivi d’un nombre de plaintes important contre cet organisme. L’exposition médiatique négative est souvent un déclencheur pour un contrôle CNIL.
Cette délibération est donc riche d’enseignements. Elle illustre qu’une autorisation accordée par la CNIL n’est pas un acquis, elle s’accompagne de conditions que le responsable de traitement doit respecter dans la durée, sous peine de se voir sanctionné malgré elle. Elle rappelle qu’une donnée pseudonymisée reste une donnée personnelle à part entière, soumise à l’ensemble des obligations du RGPD. Elle confirme enfin que l’information des personnes concernées est une obligation de résultat, pas de moyen : peu importe que des tiers en soient chargés, c’est au responsable de traitement d’en garantir l’effectivité.
Le non-respect de ces conditions appelle la sanction. Et si l’amende fait mal aux comptes, c’est la publicité de la décision qui fait mal à la réputation plus durablement. Dans un monde où la confiance numérique est devenue un actif stratégique, une sanction CNIL rendue publique vaut parfois plus cher que les millions d’euros qu’elle prononce.
[1] Règlement UE n°2016/679 dit « RGPD »
[2] Affaire C-413/23 P EDPS c. SRB
