28 mai 2026
Le 26 mai 2026, la formation restreinte de la CNIL a prononcé une amende de 5 millions d'euros à l'encontre de la société IQVIA Operations France, filiale française du groupe américain IQVIA, spécialisé dans les données et les services pour l'industrie pharmaceutique. Cette délibération (SAN-2026-008) marque une étape importante dans la régulation des entrepôts de données de santé en France et soulève des questions de fond sur la frontière entre pseudonymisation et anonymisation, une question au cœur de l'actualité jurisprudentielle européenne.
Contexte : deux entrepôts, des dizaines de millions de patients
IQVIA Operations France exploite deux entrepôts de données de santé, tous deux autorisés par la CNIL :
- L'entrepôt LRX (autorisé en 2018) : alimenté par des données collectées auprès d'environ 14 000 pharmacies, il porte principalement sur les dispensations médicamenteuses.
- L'entrepôt EMR (autorisé en 2021) : alimenté par des données issues de plusieurs milliers de médecins, il contient des informations cliniques bien plus granulaires (diagnostics, symptômes, allergies, poids, taille, situation matrimoniale, catégorie socio-professionnelle, etc).
Ces entrepôts permettent à IQVIA de réaliser des études pour son propre compte ou pour le compte de laboratoires pharmaceutiques.
Quel a été le déclencheur de la procédure de contrôle ? Un reportage du magazine Cash Investigation, qui a conduit à des plaintes de particuliers et d'associations dénonçant un manque de transparence à l'égard des patients concernés.
Pseudonymisation vs. anonymisation : la CNIL tranche après l'arrêt SRB
L'argument d'IQVIA
Dans le cadre de la procédure, IQVIA a invoqué l'arrêt SRB de la Cour de justice de l'Union européenne du 4 septembre 2025 pour soutenir que les données figurant dans ses entrepôts étaient anonymes et, partant, que le RGPD ne leur était pas applicable. L'arrêt SRB a précisé la notion de donnée à caractère personnel en affinant l'appréciation du critère de réidentifiabilité, notamment au regard des moyens raisonnablement disponibles.
Pour en savoir plus, consultez notre article : "Données pseudonymisées, toujours personnelles?"
La réponse de la formation restreinte
La formation restreinte a fermement écarté cet argument. Elle a considéré que les données traitées par IQVIA étaient pseudonymes, et non anonymes, pour plusieurs raisons cumulatives :
- L'existence d'un identifiant unique par patient dans chaque entrepôt, permettant de reconstituer un parcours de soin individuel ;
- La profondeur et la richesse des données collectées (année de naissance, sexe, informations médicales, données socio-démographiques pour l'entrepôt EMR) ;
- La possibilité de croisement avec des données accessibles publiquement, rendant la réidentification réalisable avec des moyens raisonnables.
La formation restreinte a également relevé un élément de cohérence procédurale : jusqu'à l'arrêt SRB, IQVIA n'avait jamais contesté traiter des données personnelles, ayant elle-même sollicité et obtenu les autorisations de la CNIL. Elle ne pouvait donc, sans contradiction, se prévaloir d'une qualification rétroactive d'anonymat pour échapper à la responsabilité de manquements constatés.
Enseignement clé : L'arrêt SRB ne constitue pas un blanc-seing pour requalifier en « anonymes » des données simplement pseudonymisées. La granularité des données et la disponibilité de bases de données tierces sont des facteurs déterminants dans l'appréciation du risque de réidentification.
Les manquements sanctionnés
1. Non-respect des conditions des autorisations délivrées (art. 66 Loi Informatique et Libertés)
L'article 66.III de la Loi Informatique et Libertés soumet les traitements de données de santé à autorisation préalable de la CNIL. Ces autorisations comportent des conditions auxquelles le responsable de traitement est tenu de se conformer. La formation restreinte a constaté plusieurs défaillances :
Sécurité des données :
- Absence d'analyse régulière des journaux de connexion pour les deux entrepôts, empêchant la détection efficace d'activités anormales ;
- Absence d'authentification multifacteur pour l'accès à l'entrepôt EMR.
Information des personnes (entrepôt EMR) :
- La notice d'information délivrée aux patients comportait des mentions inexactes, en violation des exigences posées par l'autorisation.
Droit d'opposition (entrepôt EMR) :
- Aucune procédure effective ne permettait aux personnes concernées d'exercer leur droit d'opposition tel que prévu par l'autorisation.
2. Défaut d'information des personnes pour l'entrepôt LRX (art. 14 RGPD)
L'article 14 du RGPD impose au responsable de traitement d'informer les personnes concernées lorsque leurs données sont collectées auprès d'un tiers. Or, les contrôles effectués auprès de quatre pharmacies partenaires ont révélé qu'aucune d'entre elles n'informait ses clients de la transmission de leurs données à IQVIA.
La formation restreinte a rappelé une règle fondamentale : si IQVIA a délégué aux pharmaciens le soin de délivrer cette information, c'est bien à elle, en tant que responsable de traitement, qu'il appartient de s'assurer de l'effectivité de cette obligation. La sous-traitance de la communication n'exonère pas le responsable de son obligation de résultat.
3. Traitements hors cadre légal (art. 66 Loi Informatique et Libertés)
La formation restreinte a constaté qu'IQVIA avait réalisé des études pour son propre compte à partir de l'entrepôt LRX sans disposer d'une base légale adaptée : les autorisations obtenues ne couvrant pas ces usages spécifiques.
4. Violation du principe de privacy by default (art. 25 RGPD)
Concernant l'entrepôt LRX, la conception du logiciel de gestion utilisé dans les pharmacies partenaires présentait une faille majeure : il transmettait les données des patients à IQVIA même en cas de refus de ces derniers. Ce manquement au principe de protection des données dès la conception et par défaut (article 25 RGPD) illustre les conséquences concrètes d'une architecture technique non conforme.
Portée et enseignements de cette décision
La délibération SAN-2026-008 ne se lit pas comme une simple sanction sectorielle.
Ce qui distingue cette décision, c'est la profondeur du contrôle opéré. La CNIL a audité des systèmes et non seulement la documentation. Elle a vérifié ce que les logiciels faisaient réellement, ce que les pharmaciens transmettaient effectivement, ce que les patients pouvaient exercer en pratique. Et c'est précisément cet écart entre le déclaré et le réel qui a fondé la sanction.
Voici ce que cette méthode révèle pour l'ensemble des organisations qui traitent des données personnelles.
Pseudonymiser ne suffit pas à sortir du champ du RGPD
Pour apprécier le caractère personnel des données, la formation restreinte n'a pas examiné la seule technique de pseudonymisation employée. Elle a analysé la richesse des informations disponibles, la présence d'identifiants uniques, les possibilités d'individualisation et les capacités de recoupement avec des sources externes.
Une analyse de pseudonymisation ne peut jamais être réalisée de façon isolée. L'arrêt SRB de la CJUE du 4 septembre 2025 n'a pas abaissé le seuil de qualification de donnée personnelle, il a affiné l'appréciation des moyens raisonnables de réidentification. Supprimer les identifiants directs ne suffit pas.
Une notice d'information n'a de valeur que si elle reflète ce qui se passe réellement
La CNIL reproche à IQVIA d'avoir fourni aux patients une information inexacte sur la durée de conservation de leurs données, au point de prononcer une injonction spécifique sur ce point. Le message est clair : la question n'est pas de savoir si l'on dispose d'une notice, mais si cette notice décrit fidèlement les flux effectifs, les partenaires réels et les traitements secondaires.
Ce qui ne peut pas être exercé ne peut pas être considéré comme un droit
La formation restreinte ne s'est pas contentée de vérifier qu'une procédure de droit d'opposition était formellement prévue. Elle a vérifié que ce droit pouvait s'exercer concrètement, notamment directement auprès du médecin pour l'entrepôt EMR. C'est exactement ce type d'écart que la CNIL sanctionne. Pour les organisations, cela signifie que la gestion des droits des personnes doit être pensée comme un processus vivant, testé et maintenu, et non comme une case à cocher.
La conformité ne s'arrête pas à la conception : elle se teste dans l'exécution
L'article 25 du RGPD, souvent traité comme une formalité, prend ici une dimension très concrète. Des modules logiciels continuaient à collecter et transmettre des données malgré le refus exprimé par les pharmaciens. Le code ne respectait pas le choix de l'utilisateur. Ce point devrait alerter toutes les organisations qui intègrent des briques logicielles tierces dans leurs systèmes : la conformité de l'architecture globale ne peut pas être présumée à partir de la conformité de chaque composant pris isolément.
Multiplier les intervenants ne dilue pas la responsabilité
IQVIA a tenté de répartir la responsabilité entre les pharmaciens, les médecins et les tiers impliqués dans la pseudonymisation. La CNIL n'a pas suivi ce raisonnement : dès lors qu'une entité détermine les finalités et une part essentielle des moyens d'un traitement, elle en reste le responsable, quels que soient le nombre d'acteurs dans la chaîne ou la complexité de l'architecture technique. Cette position concerne directement toute organisation qui s'appuie sur des sous-traitants, des éditeurs SaaS ou des hébergeurs : la fragmentation des flux ne fragmente pas la responsabilité juridique.
La sanction : 5 millions d'euros et des injonctions sous astreinte
Pour fixer le montant de l'amende, la formation restreinte a tenu compte de plusieurs facteurs aggravants :
- La nature des données : données de santé, catégorie particulièrement sensible au sens de l'article 9 du RGPD ;
- Le nombre de personnes concernées : plusieurs dizaines de millions de patients ;
- La position d'IQVIA sur le marché de la donnée de santé pharmaceutique ;
- Les capacités financières du groupe.
Par ailleurs, la CNIL a prononcé des injonctions ordonnant à IQVIA de remédier aux manquements persistants relatifs à la notice d'information EMR et au droit d'opposition, dans un délai de six mois, sous peine d'une astreinte de 10 000 euros par jour de retard.
Il convient de noter que les manquements de sécurité avaient déjà été corrigés par IQVIA entre la date des contrôles et la délibération, ce qui a probablement été pris en compte favorablement dans la détermination de l'amende.
Conclusion
La délibération SAN-2026-008 contre IQVIA Operations France rappelle une réalité simple : la conformité RGPD ne se mesure plus uniquement à la qualité des documents produits.
Pour les responsables de traitement opérant dans l'écosystème de la donnée de santé, et, plus largement, pour tout acteur gérant des traitements complexes impliquant de multiples intervenants, cette décision est un signal clair : l'audit de conformité doit descendre au niveau des paramétrages, des comportements logiciels et de l'exécution effective des droits.
Des outils de gouvernance des données comme Dastra permettent aux organisations de structurer leur conformité au-delà de la simple documentation. En cartographiant les traitements et en modélisant les flux de données réels, Dastra aide à détecter les écarts entre ce qui est déclaré dans les notices d'information et ce qui est effectivement mis en œuvre.
La gestion des demandes de droits (opposition, accès, rectification) y est également centralisée et traçable, ce qui permet de démontrer à tout moment que ces droits fonctionnent réellement dans les outils et pas seulement sur le papier.
Demandez une démonstration de Dastra et découvrez comment cartographier vos flux et piloter les droits des personnes en pratique.
Sources : Délibération SAN-2026-008 du 26 mai 2026 (Légifrance) * Communiqué CNIL du 28 mai 2026