Défaut d'encadrement des données de santé : la Cnil sanctionne IQVIA à hauteur de 5 millions d'euros

Le 28 mai 2026, la Commission nationale de l'informatique et des libertés (ci-après « Cnil ») a rendu publique une sanction de 5 millions d'euros prononcée à l'encontre de la société IQVIA OPERATIONS FRANCE. Cette décision intervient à l'issue de plusieurs années d'investigations portant sur deux importants entrepôts de données de santé exploités par l'entreprise. L'autorité a relevé plusieurs manquements relatifs à l'information des personnes concernées, à l'exercice de leurs droits, au respect des conditions attachées aux autorisations délivrées ainsi qu'à la sécurité des données. Cette affaire rappelle les exigences particulièrement élevées qui entourent le traitement des données de santé et l'exploitation des entrepôts de données de santé. 

Une enquête déclenchée à la suite de signalements et de plaintes 

IQVIA OPERATIONS FRANCE, filiale française du groupe américain IQVIA, exerce une activité de conseil et de réalisation d'études dans le domaine de la santé, pour son propre compte ou pour celui d'acteurs de l'industrie pharmaceutique. Pour mener ces travaux, la société s'appuie notamment sur deux entrepôts de données de santé autorisés par la Cnil : l'entrepôt LRX, alimenté par les données collectées auprès d'environ 14 000 pharmacies, et l'entrepôt EMR, alimenté par des données provenant de plusieurs milliers de médecins. 

L'affaire trouve son origine dans la diffusion d'un reportage de l'émission « Cash Investigation », qui a suscité de nombreuses interrogations sur les traitements de données réalisés par la société. À la suite de cette diffusion, la Cnil a reçu plusieurs plaintes émanant de particuliers et d'associations dénonçant notamment un manque de transparence concernant la collecte et l'utilisation des données de santé. 

L'autorité a alors engagé plusieurs contrôles auprès de la société ainsi que de certains partenaires participant à l'alimentation des entrepôts. Ces vérifications ont conduit la formation restreinte de la Cnil à constater que plusieurs garanties imposées lors de la délivrance des autorisations n'étaient pas respectées. Les manquements relevés concernaient notamment l'information des personnes concernées, l'exercice effectif de leurs droits ainsi que certaines mesures de sécurité destinées à protéger les données traitées. 

Compte tenu de la nature particulièrement sensible des données concernées, du nombre très important de personnes touchées et de la position de la société sur le marché, la Cnil a prononcé une amende de 5 millions d'euros assortie d'injonctions de mise en conformité. 

La distinction essentielle entre anonymisation et pseudonymisation 

Dans le cadre de sa défense, IQVIA soutenait que les données exploitées dans ses entrepôts étaient anonymes et qu'elles ne relevaient donc plus du champ d'application du Règlement général sur la protection des données (ci-après « RGPD »). Cet argument s'appuyait notamment sur les enseignements tirés d'un arrêt rendu par la Cour de justice de l'Union européenne le 4 septembre 2025. 

La Cnil n'a toutefois pas retenu cette analyse. Selon elle, les données concernées demeuraient pseudonymisées et non anonymisées. Cette distinction est fondamentale en droit de la protection des données. Alors que l'anonymisation rend impossible toute réidentification d'une personne, la pseudonymisation consiste uniquement à remplacer certains éléments identifiants afin de réduire les risques d'identification sans les faire disparaître totalement. 

Pour l'autorité, les données conservées dans les entrepôts LRX et EMR restaient donc des données à caractère personnel soumises aux exigences du RGPD. Les garanties prévues par la réglementation ainsi que par les autorisations délivrées demeuraient pleinement applicables. 

Cette position confirme l'approche constante des autorités de contrôle européennes : la pseudonymisation constitue une mesure de sécurité importante, mais elle ne permet pas à elle seule de soustraire un traitement au cadre juridique applicable aux données personnelles. 

Des obligations renforcées pour les acteurs de la santé 

La formation restreinte a notamment reproché à IQVIA de ne pas avoir respecté certaines conditions attachées aux autorisations délivrées pour l'exploitation des deux entrepôts de données de santé. Parmi les manquements constatés figurent des insuffisances dans les mesures de sécurité ainsi que l'absence d'analyse régulière de certains journaux de connexion. 

La Cnil a également relevé des défaillances concernant l'information des personnes dont les données alimentaient les entrepôts. Les contrôles effectués auprès de pharmacies partenaires ont notamment mis en évidence des lacunes dans l'information fournie aux patients sur la transmission de leurs données à IQVIA et sur l'exercice de leurs droits. 

Cette décision illustre une nouvelle fois l'attention particulière portée par la Cnil aux traitements de données de santé, considérés comme des données sensibles au sens du RGPD. Les organismes qui exploitent de tels traitements doivent non seulement disposer d'une base juridique appropriée et, le cas échéant, des autorisations requises, mais également respecter de manière effective l'ensemble des garanties destinées à protéger les droits et libertés des personnes concernées. 

L'affaire IQVIA rappelle ainsi que l'obtention d'une autorisation préalable ne constitue pas une dispense de conformité. Le respect continu des engagements pris auprès de la Cnil demeure une condition essentielle à la licéité des traitements mis en œuvre. 

Par LOCK-T, avec la participation de Chelsea MINKA, stagiaire.