Données de santé : la CNIL sanctionne IQVIA à hauteur de 5 millions d'euros

Clémentine Beaussier
Clémentine Beaussier
Associée

Nous contacter

Sommaire
Heading 2

Les entreprises qui exploitent des données de santé naviguent dans un cadre juridique particulièrement exigeant. La récente sanction de 5 millions d'euros infligée par la CNIL à IQVIA (France)  illustre parfaitement les risques encourus en cas de manquement aux obligations du RGPD. Cette décision, rendue en mai 2026, offre un éclairage précieux sur les attentes de l'autorité française en matière de transparence, de gouvernance et de sécurité des entrepôts de données de santé.

L'affaire IQVIA : cinq années d'enquête pour une sanction exemplaire

Les faits à l'origine de la procédure

IQVIA Operations France, filiale française du géant américain de la recherche pharmaceutique, exploite deux entrepôts de données de santé (EDS) en France autorisés par la CNIL. Le premier, baptisé LRX et autorisé depuis 2018, collecte des informations auprès d'environ 14 000 pharmacies françaises. Le second, EMR, autorisé en 2021, s'appuie sur les données transmises par plusieurs milliers de médecins.

Ces dispositifs alimentent les études que réalise IQVIA, tant pour son propre compte que pour celui de laboratoires pharmaceutiques partenaires. Lors d'une enquête réalisée par Cash Investigation, de nombreux dysfonctionnements dans l'application des autorisations CNIL ont été révélés, déclenchant de nombreuses plaintes de patients et une investigation approfondie de l'autorité.

La CNIL a mené des contrôles sur site, tant au siège d'IQVIA que dans les pharmacies partenaires. Ces vérifications ont mis au jour des manquements substantiels sur trois volets : l'information des patients, l'exercice de leurs droits, notamment le droit d'opposition, et la sécurité des données traitées.

Une amende record assortie d'une astreinte

Au terme d'une procédure de cinq années, la formation restreinte de la CNIL a prononcé une amende de 5 millions d'euros. Cette sanction s'accompagne d'une injonction de mise en conformité dans un délai de six mois, sous peine d'astreinte de 10 000 euros par jour de retard.

Le montant de l'amende reflète plusieurs facteurs aggravants : la nature sensible des données traitées, le volume considérable d'informations concernées (des millions de patients) et la persistance des manquements malgré les interpellations de l'autorité.

Première clarification juridique : la frontière entre pseudonymisation et anonymisation

L'argument d'IQVIA : des données prétendument anonymes

IQVIA a tenté de se défendre en invoquant l'arrêt rendu par la Cour de justice de l'Union européenne le 4 septembre 2025 dans l'affaire EDPS c/ SRB (C-413/23 P), cf. notre analyse précédente de cette jurisprudence. La société soutenait que ses données étaient anonymes, échappant ainsi aux obligations du RGPD.

Cette stratégie défensive révèle une confusion fréquente entre pseudonymisation et anonymisation. La pseudonymisation, définie à l'article 4 du RGPD, consiste à traiter des données personnelles de telle façon qu'elles ne puissent plus être attribuées à une personne concernée spécifique sans avoir recours à des informations supplémentaires. L'anonymisation, plus radicale, rend impossible toute réidentification, même en recourant à des moyens raisonnables.

La position ferme de la CNIL sur la qualification des données

La CNIL a écarté l'argument d'IQVIA en démontrant que les données restaient pseudonymes et donc des données personnelles. L'autorité a relevé qu'IQVIA collectait de nombreuses informations reliées à un identifiant unique pour chaque patient : âge, sexe, éléments médicaux confiés au praticien, informations sur la situation personnelle...

La combinaison de ces éléments permettait l'identification indirecte des patients par recoupement. Cette analyse s'appuie sur le considérant 26 du RGPD, qui précise qu'il convient de déterminer si des moyens "raisonnablement susceptibles d'être utilisés" permettent d'identifier la personne concernée.

Cette position illustre une approche stricte de l'anonymisation, particulièrement importante dans le secteur de la santé où la richesse des données facilite les techniques de réidentification. L'enseignement de cette clarification : invoquer l'anonymat des données nécessite une démonstration technique très rigoureuse.

Deuxième clarification : les obligations renforcées d'information et de recueil du consentement

L'absence de procédure d'opposition : un manquement grave

La CNIL a relevé qu'IQVIA n'avait prévu aucune procédure permettant l'exercice effectif du droit d'opposition des patients. Cette carence prive les personnes concernées de tout contrôle sur l'usage de leurs données de santé, transformant leur participation en obligation de fait.

Le droit d'opposition, garanti par l'article 21 du RGPD, revêt une importance particulière dans le contexte des données sensibles. Même lorsque le traitement repose sur l'intérêt légitime du responsable (article 6.1.f du RGPD), les personnes doivent pouvoir s'opposer au traitement pour des raisons tenant à leur situation particulière.

Cette exigence s'étend aux traitements de données indirects : quand une entreprise traite des données collectées par des tiers (pharmacies, médecins), elle doit organiser l'exercice des droits. La délégation de la collecte n'exonère pas le responsable du traitement de ses obligations.

Le défaut d'information : méconnaissance de l'article 14 du RGPD

L'article 14 du RGPD vise spécifiquement les situations où les données personnelles n'ont pas été collectées directement auprès de la personne concernée. Il impose au responsable du traitement d'informer ces personnes de l'identité du responsable, des finalités poursuivies, de la base juridique du traitement et des droits dont elles disposent.

La CNIL a constaté qu'aucune des pharmacies partenaires n'informait sa clientèle de la transmission de données à IQVIA. Cette carence engage directement la responsabilité d'IQVIA : ayant confié aux pharmaciens le soin de délivrer cette information, il lui appartenait de s'assurer du respect de cette obligation.

Cette analyse confirme un principe essentiel : la responsabilité du responsable de traitement demeure entière même en cas de délégation à des tiers. Dans la pratique, cela implique la mise en place de mécanismes de contrôle et de formation des intermédiaires.

Les manquements en matière de sécurité : une négligence coûteuse

Des mesures de sécurité insuffisantes

Outre les violations relatives aux droits des personnes, la CNIL a relevé des failles sécuritaires importantes. L'absence d'analyse régulière des journaux de connexion sur les deux EDS prive IQVIA de tout moyen de détecter d'éventuels accès non autorisés ou comportements anormaux.

L'absence d'authentification multifacteur pour l'accès aux données de l'entrepôt EMR constitue une vulnérabilité majeure. Cette mesure de sécurité, désormais considérée comme un standard minimal, aurait dû être implémentée dès la conception du système.

L'exigence particulière de sécurité pour les données de santé

Les données de santé bénéficient d'un régime de protection renforcé en tant que données sensibles au sens de l'article 9 du RGPD. Cette qualification impose des mesures de sécurité adaptées au niveau de risque, conformément à l'article 32 du RGPD.

La recommandation de la CNIL sur la sécurité des données précise les attentes de l'autorité, telles que : chiffrement des données en transit et au repos, contrôles d'accès granulaires, traçabilité des opérations, et plan de continuité d'activité.

Les enseignements opérationnels pour les acteurs du secteur

Une approche stricte de la qualification des données

Cette décision confirme que l'invocation de l'anonymat ne constitue plus une stratégie défensive viable sans démonstration technique rigoureuse. Les entreprises doivent documenter leurs techniques de désidentification et prouver l'impossibilité raisonnable de réidentification.

Pour les laboratoires pharmaceutiques et leurs prestataires, cette exigence implique la mise en place d'audits techniques réguliers et d'évaluations d'impact approfondies.

La responsabilisation de toute la chaîne de traitement

La sanction d'IQVIA illustre l'extension de la responsabilité du responsable de traitement à l'ensemble de sa chaîne d'approvisionnement. Cette responsabilisation impose plusieurs obligations pratiques :

  • Contractualisation précise des obligations d'information avec les collecteurs (pharmacies, médecins)
  • Formation et sensibilisation régulières des partenaires
  • Mise en place d'audits de conformité périodiques
  • Documentation des mesures de contrôle et de leur effectivité

L'impératif de transparence renforcée

L'affaire IQVIA démontre que la transparence ne se limite pas à la publication d'une politique de confidentialité générique. Elle exige une information claire, accessible et personnalisée sur chaque traitement.

Cette exigence se traduit concrètement par la mise en place de dispositifs d'information spécifiques dans les points de collecte (pharmacies, cabinets médicaux) et la création de canaux dédiés à l'exercice des droits.

Perspectives : vers un durcissement du contrôle des entrepôts de données

Un signal fort pour l'écosystème de la recherche médicale

Cette sanction record s'inscrit dans une stratégie de durcissement de la CNIL sur le secteur de la santé. Après les sanctions infligées aux hôpitaux pour défaut de sécurité et les mises en demeure répétées d'acteurs de la santé, l'autorité affirme sa détermination à protéger les données de santé.

Cette évolution répond aux préoccupations croissantes des citoyens concernant l'usage commercial de leurs informations médicales. L'enquête de Cash Investigation a révélé l'ampleur du phénomène et sensibilisé l'opinion publique aux enjeux de transparence.

L'émergence de nouveaux standards de conformité

La décision sanctionnant IQVIA préfigure l'émergence de standards de conformité plus exigeants pour les entrepôts de données de santé. Ces nouvelles exigences portent sur trois volets complémentaires :

La gouvernance des données nécessite la désignation de responsables dédiés, la documentation des flux de données et la mise en place de comités d'éthique internes. La sécurité technique impose l'adoption de technologies de pointe : chiffrement homomorphe, analyses différentielles, environnements de calcul sécurisé.

La transparence opérationnelle exige la publication de rapports d'activité détaillés, la communication sur les études menées et la mise en place de mécanismes de dialogue avec les associations de patients.

Les défis à venir pour les entreprises du secteur

Les entreprises exploitant des données de santé doivent désormais anticiper un contrôle renforcé de leurs pratiques. Cette évolution impose plusieurs adaptations structurelles :

L'investissement dans la conformité devient un impératif stratégique. Les budgets dédiés à la protection des données doivent évoluer d'un centre de coût vers un facteur de compétitivité et de confiance.

La formation des équipes constitue un enjeu majeur. Développeurs, data scientists, équipes commerciales doivent intégrer les principes du privacy by design dans leurs pratiques quotidiennes.

L'accompagnement juridique spécialisé devient indispensable. La complexité croissante de la réglementation et la sévérité des sanctions justifient l'intervention d'un avocat expert en droit du numérique dès la conception des projets.

Recommandations pratiques pour une mise en conformité durable

Face aux enseignements de l'affaire IQVIA, les entreprises du secteur doivent adopter une approche proactive de la conformité. Cette démarche repose sur l'audit exhaustif de l'existant, l'identification des gaps de conformité et la définition d'un plan d'actions priorisé.

La documentation des traitements doit faire l'objet d'une attention particulière. Chaque EDS doit être accompagné d'une analyse d'impact détaillée, d'une cartographie des flux de données et d'une évaluation régulière des risques de réidentification.

La contractualisation avec les tiers collecteurs nécessite une révision complète. Les contrats doivent préciser les obligations d'information, organiser l'exercice des droits et prévoir des mécanismes de contrôle de la conformité.

Enfin, la mise en place d'une gouvernance dédiée s'impose. La désignation d'un data protection officer expert en santé, la création d'un comité de pilotage de la conformité et l'instauration de revues périodiques constituent autant de garde-fous indispensables.

La sanction d'IQVIA marque un tournant dans l'approche française de la protection des données de santé pour la recherche. Elle confirme que l'ère de la tolérance réglementaire est révolue et que la CNIL n'hésitera plus à infliger des sanctions dissuasives. Pour les entreprises du secteur, l'investissement dans la conformité n'est plus une option mais une nécessité stratégique. Dans ce contexte exigeant, l'accompagnement d'un avocat spécialisé en droit du numérique devient un atout décisif pour naviguer sereinement dans la complexité réglementaire et construire une relation de confiance durable avec les patients.

Questions fréquentes

Qu'est-ce qui différencie la pseudonymisation de l'anonymisation en matière de données de santé ?

La pseudonymisation consiste à traiter les données de façon qu'elles ne puissent plus être attribuées à une personne spécifique sans informations supplémentaires. L'anonymisation rend impossible toute réidentification, même avec des moyens raisonnables. Dans l'affaire IQVIA, la CNIL a démontré que malgré l'attribution d'identifiants, la combinaison des données (âge, sexe, informations médicales) permettait encore l'identification. Les données pseudonymes restent soumises au RGPD, contrairement aux données véritablement anonymes.

Quelles sont les obligations d'information spécifiques quand les données ne sont pas collectées directement ?

L'article 14 du RGPD impose au responsable de traitement d'informer les personnes concernées de l'identité du responsable, des finalités, de la base juridique et de leurs droits. Cette information doit être fournie dans un délai d'un mois maximum après l'obtention des données. Dans l'affaire IQVIA, l'entreprise devait s'assurer que les pharmacies informaient effectivement leur clientèle, même si cette obligation était déléguée. En tout état de cause, c'est le responsable de traitement qui reste responsable de la transmission de cette information, même s'il ne peut la transmettre directement.

Quelles sanctions risque une entreprise qui délègue l'information des patients à ses partenaires sans contrôle ?

La responsabilité du responsable de traitement demeure entière même en cas de délégation. L'entreprise risque une amende pouvant atteindre 4% de son chiffre d'affaires annuel mondial ou 20 millions d'euros. Elle doit mettre en place des mécanismes de contrôle, former ses partenaires et vérifier l'effectivité de l'information. Le défaut de surveillance constitue un manquement distinct sanctionnable.

Un entrepôt de données de santé autorisé par la CNIL dispense-t-il du respect du RGPD ?

Non, l'autorisation CNIL pour un EDS ne dispense aucunement du respect du RGPD. Ces deux régimes se cumulent : l'autorisation porte sur l'utilisation des données du SNDS (Système national des données de santé), tandis que le RGPD s'applique à tous les traitements de données personnelles. Les conditions fixées dans l'autorisation CNIL doivent être scrupuleusement respectées, comme l'illustre la sanction d'IQVIA.

Comment prouver qu'un droit d'opposition effectif a été mis en place ?

L'effectivité du droit d'opposition suppose plusieurs éléments : information claire sur l'existence de ce droit, mise à disposition d'un canal facilement accessible (formulaire en ligne, adresse email dédiée), traitement des demandes dans le délai d'un mois, et documentation des suites données. L'entreprise doit également prévoir les modalités techniques d'arrêt du traitement et de suppression des données concernées.

Pour toute question sur l'utilisation des données de santé dans un contexte de recherche et plus généralement sur les entrepôts de données de santé, n'hésitez pas à me contacter : cbeaussier@squairlaw.com

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
3 juin 2026
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
International 
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité