CNIL | SAN-2026-008 | 26 MAI 2026 | AFFAIRE IQVIA OPERATIONS FRANCE |

 

ANALYSE CRITIQUE      MANQUEMENTS      FAQ      CONSEILS     

 

 

 

1. Un acteur mondial de la donnée de santé sanctionné pour ne pas avoir respecté ses propres autorisations CNIL

La société IQVIA OPERATIONS FRANCE, filiale française du groupe IQVIA — leader mondial autoproclamé de la recherche clinique et de la donnée de santé —, avait elle-même sollicité et obtenu de la CNIL deux autorisations exceptionnelles pour constituer des entrepôts de données de santé : l’entrepôt LRX (Longitudinal prescription data), alimenté par des données d’officines, et l’entrepôt EMR (Electronic medical records), alimenté par des données de médecins partenaires. Ces autorisations, fondées sur l’article 66-III de la loi Informatique et Libertés, étaient assorties de conditions précises. La formation restreinte retient que, en pratique, les traitements mis en œuvre ne respectaient pas ces conditions, que ce soit en matière de sécurité technique, d’information des personnes concernées ou de réalisation d’études.

Ce paradoxe — un opérateur obtenant une autorisation qu’il n’est pas en mesure de respecter — est au cœur de la délibération. La formation restreinte souligne que la société, en tant que premier acteur privé autorisé par la CNIL à constituer un entrepôt de données de santé au titre de l’intérêt public, aurait dû se montrer d’autant plus irréprochable quant au respect des termes de l’autorisation délivrée. La singularité de ce statut de précurseur emportait une obligation de rigueur renforcée qui n’a manifestement pas été honorée.

 

2. Des entrepôts traitant des dizaines de millions de données de santé sans analyse des logs ni authentification multifacteur

La formation restreinte a constaté deux défaillances majeures de sécurité affectant les entrepôts LRX et EMR. D’une part, pour les deux entrepôts, aucune mesure ne permettait d’analyser de manière régulière les journaux de connexion, rendant impossible la détection efficace des activités anormales. L’analyse des logs constitue pourtant un pilier fondamental de tout dispositif de sécurité : c’est ce mécanisme qui permet de détecter les intrusions et les accès non autorisés avant que le dommage ne soit irréversible. D’autre part, pour l’entrepôt EMR spécifiquement, aucune authentification multifacteur (MFA) n’était mise en œuvre pour l’accès aux données — alors que la MFA est aujourd’hui considérée comme une mesure de sécurité standard, particulièrement pour des données de santé. Ces défaillances sont d’autant plus significatives que les entrepôts d’IQVIA traitent les données de plusieurs dizaines de millions de personnes — la société évoquant elle-même vingt millions de patients suivis dans le temps pour le seul entrepôt LRX. L’ANSSI rappelle dans son rapport de novembre 2024 sur la menace informatique dans le secteur de la santé que de telles données ont une valeur importante à la revente, ce qui fait du risque de violation de données une menace documentée et concrète dans ce secteur.

 

3. Un déficit d’information chronique envers les patients en situation de collecte indirecte

Le manquement à l’article 14 du RGPD découle de la structure même du modèle économique d’IQVIA : les données des patients ne sont pas collectées directement par la société, mais à l’occasion d’achats de médicaments en officine ou de consultations médicales, dans un contexte où la personne concernée est naturellement focalisée sur sa santé et non sur les conditions de traitement de ses données. La formation restreinte souligne que ce contexte — maladie, urgence, stress — réduit la vigilance des personnes, rendant l’information encore plus essentielle.

Or, l’information fournie était insuffisante et inexacte, notamment sur les durées de conservation des données de l’entrepôt EMR. Par ailleurs, IQVIA avait prévu contractuellement que les officines partenaires informent les patients, mais n’avait mis en place aucun mécanisme de vérification du respect effectif de ces engagements.

La formation restreinte rappelle avec fermeté que cette délégation contractuelle ne décharge pas IQVIA de sa responsabilité finale : le responsable du traitement demeure en définitive garant de la délivrance effective de l’information, quels que soient les relais contractuels mis en place. Cette position consolide la logique d’accountability du RGPD dans les chaînes de collecte indirecte à plusieurs intermédiaires.

 

4. Des modules d’extraction techniquement incapables de respecter le refus du pharmacien : la violation du privacy by design

L’article 25 du RGPD impose que la protection des données soit intégrée dès la conception des traitements — et non ajoutée a posteriori. Le manquement retenu porte sur les modules d’extraction des données intégrés aux logiciels de gestion d’officine (LGO), que la société avait fait développer en son nom et pour son compte par des éditeurs tiers. Ces modules permettaient de collecter les données des patients des officines pour alimenter l’entrepôt LRX.

Or, lorsqu’un pharmacien exprimait son refus de transmettre les données de ses patients à IQVIA, les modules ne traduisaient pas ce refus en contrainte technique effective : l’extraction des données se poursuivait malgré le refus exprimé. La formation restreinte souligne que la société avait entièrement la main sur ces modules, ayant elle-même mandaté leur développement. Elle aurait donc dû y intégrer, dès la phase de conception, les dispositions techniques garantissant le respect du refus du pharmacien.

Ce manquement illustre avec une précision remarquable la portée concrète du principe de privacy by design : la conformité au RGPD ne peut se réduire à des engagements contractuels ou procéduraux — elle doit être encodée dans l’architecture technique elle-même.

 

5. La tentative de re-qualification des données en données anonymes : une stratégie de défense tardive et incohérente rejetée

Dans le sillage de l’arrêt SRB rendu par la CJUE le 4 septembre 2025, la société a soutenu en cours de procédure que les données des entrepôts LRX et EMR étaient anonymes, ce qui aurait soustrait ces traitements à l’application du RGPD et, par ricochet, anéanti le fondement des manquements reprochés. La formation restreinte a rejeté cet argument avec une fermeté motivée par trois éléments cumulatifs.

Premièrement, chaque patient est associé dans les entrepôts à un identifiant unique permettant de suivre son parcours de soins dans le temps — ce qui établit une permanence du lien entre les données et l’individu, incompatible avec une qualification d’anonymat véritable. Deuxièmement, la profondeur des données collectées — données démographiques, médicales détaillées (diagnostics, prescriptions, symptômes, vaccins, arrêts de travail) — crée un profil suffisamment riche pour permettre une ré-identification par croisement avec des données publiquement accessibles. Troisièmement, et de manière décisive, la formation restreinte relève que jusqu’à l’arrêt SRB, la société n’avait jamais contesté traiter des données personnelles et avait elle-même sollicité des autorisations de la CNIL à ce titre — ce qui rend incohérente la prétention tardive à l’anonymat.

Invoquer a posteriori le caractère anonyme de données que l’on avait soi-même fait qualifier de données personnelles pour obtenir une autorisation exceptionnelle constitue une incohérence de fond que la formation restreinte sanctionne avec la clarté qui s’impose.

 

 

FAITS & PROCEDURE

 

 

Par délibération du 26 mai 2026, la formation restreinte de la CNIL a sanctionné la société IQVIA OPERATIONS FRANCE — filiale française du groupe américain IQVIA, « leader mondial de la recherche clinique et de la donnée de santé » présent dans plus de cent pays — d’une amende administrative de 5 millions d’euros, assortie d’injonctions sous astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois. La décision sanctionne le non-respect, par la société, des conditions imposées par les deux autorisations que la CNIL lui avait délivrées — en 2018 pour l’entrepôt LRX (Longitudinal prescription data, alimenté par environ 14 000 officines partenaires) et en 2021 pour l’entrepôt EMR (Electronic medical records, alimenté par des données issues de cabinets de médecins généralistes) — ainsi que des manquements aux articles 14 et 25 du RGPD portant respectivement sur l’information des personnes lors d’une collecte indirecte et sur la protection des données dès la conception.

 

La délibération revêt une portée doctrinale de premier ordre en ce qu’elle tranche, pour la première fois dans le cadre d’une procédure de sanction, la question de la qualification de données pseudonymisées contenues dans un entrepôt de santé de grande dimension au regard de l’arrêt SRB rendu le 4 septembre 2025 par la CJUE (C-413/23). IQVIA avait en effet soutenu, en réaction à cet arrêt, que les données de ses entrepôts étaient anonymes et que le RGPD ne leur était donc pas applicable. La formation restreinte a rejeté sans ambiguïté cet argument en retenant que « ces données n’étaient pas anonymes, mais seulement pseudonymes, la réidentification des personnes concernées étant possible, avec des moyens raisonnables », au vu notamment de la profondeur des données collectées pour chaque patient pseudonymisé — identifiant unique, année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle, diagnostics, allergies, prescriptions, arrêts de travail — de la possibilité de les combiner avec des données publiquement accessibles et de la jurisprudence convergente du Conseil d’État (CE, 13 février 2026, n° 498628, 498629 et 498749). Elle a, en outre, relevé qu’avant la procédure, IQVIA n’avait jamais contesté traiter des données personnelles et avait elle-même sollicité les autorisations de la CNIL en cette qualité — ce qui prive l’argument de toute cohérence juridique.

 

Sur les manquements aux autorisations, la formation restreinte a constaté l’absence d’authentification multifacteur pour accéder aux données de l’entrepôt EMR et l’absence d’analyse régulière des journaux de connexion pour les deux entrepôts — manquements aux garanties de sécurité imposées par les deux autorisations. Elle a également relevé l’inexactitude des mentions de durée de conservation figurant dans la notice d’information de l’entrepôt EMR, ainsi que l’absence de procédure effective permettant l’exercice du droit d’opposition — deux points ayant donné lieu à injonctions. Pour l’entrepôt LRX, elle a en outre constaté que la société réalisait, pour son propre compte, des études « hors de tout cadre légal », l’autorisation excluant expressément ces traitements de son périmètre et renvoyant à des formalités propres, et que la conception du module extracteur intégré aux logiciels de gestion d’officine permettait la transmission des données « même en cas de refus » du pharmacien — constitutif d’un manquement à l’article 25 du RGPD. L’information des personnes (article 14 RGPD) : les contrôles effectués auprès de quatre officines parisiennes partenaires ont mis en évidence qu’« aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA » — manquement imputable à IQVIA en sa qualité de responsable de traitement, nonobstant la délégation contractuelle confiée aux pharmaciens.

 

Le montant de l’amende a été calculé sur la base du chiffre d’affaires consolidé du groupe IQVIA HOLDINGS INC. (15 milliards de dollars), conformément à la jurisprudence de la CJUE sur l’unité économique (C-383/23, Ilva A/S), en tenant compte de la gravité des manquements portant sur des données de santé « particulièrement sensibles », du nombre élevé de personnes concernées (« plusieurs dizaines de millions ») et de la position de l’opérateur sur son marché. La décision constitue, avec la délibération SAN-2026-001 (Free Mobile, 27 M€) et la délibération SAN-2026-003 (France Travail, 5 M€), un jalon supplémentaire dans la jurisprudence de la CNIL fixant les standards techniques et organisationnels — MFA, journalisation opérationnelle, privacy by design, information effective — désormais opposables à tout responsable de traitement de données de santé à grande échelle.