[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fVe8SE1QFHd7hyHKrH6exXVPe_IHhKZYQ4VEx89muOkU":3,"white_papers":59},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":4,"state":17,"author":18,"authorId":19,"datePublication":24,"dateCreation":25,"dateUpdate":26,"mainCategory":27,"categories":42,"metaDatas":48,"imageUrl":49,"imageThumbUrls":50,"id":58},false,"*28 mai 2026*\n\nLe 26 mai 2026, la formation restreinte de la CNIL a prononcé une amende de **5 millions d'euros** à l'encontre de la société **IQVIA Operations France**, filiale française du groupe américain IQVIA, spécialisé dans les données et les services pour l'industrie pharmaceutique. Cette délibération (SAN-2026-008) marque une étape importante dans la régulation des entrepôts de données de santé en France et soulève des questions de fond sur la frontière entre pseudonymisation et anonymisation, une question au cœur de l'actualité jurisprudentielle européenne.\n\n---\n\n## Contexte : deux entrepôts, des dizaines de millions de patients\n\nIQVIA Operations France exploite deux entrepôts de données de santé, tous deux autorisés par la CNIL :\n\n- **L'entrepôt LRX** (autorisé en 2018) : alimenté par des données collectées auprès d'environ 14 000 pharmacies, il porte principalement sur les dispensations médicamenteuses.\n- **L'entrepôt EMR** (autorisé en 2021) : alimenté par des données issues de plusieurs milliers de médecins, il contient des informations cliniques bien plus granulaires (diagnostics, symptômes, allergies, poids, taille, situation matrimoniale, catégorie socio-professionnelle, etc).\n\nCes entrepôts permettent à IQVIA de réaliser des études pour son propre compte ou pour le compte de laboratoires pharmaceutiques.\n\nQuel a été le déclencheur de la procédure de contrôle ? Un reportage du magazine *Cash Investigation*, qui a conduit à des plaintes de particuliers et d'associations dénonçant un **manque de transparence** à l'égard des patients concernés.\n\n---\n\n## Pseudonymisation vs. anonymisation : la CNIL tranche après l'arrêt SRB\n\n### L'argument d'IQVIA\n\nDans le cadre de la procédure, IQVIA a invoqué l'arrêt **SRB de la Cour de justice de l'Union européenne du 4 septembre 2025** pour soutenir que les données figurant dans ses entrepôts étaient **anonymes** et, partant, que le RGPD ne leur était pas applicable. L'arrêt SRB a précisé la notion de donnée à caractère personnel en affinant l'appréciation du critère de réidentifiabilité, notamment au regard des moyens raisonnablement disponibles.\n\nPour en savoir plus, consultez notre article : \"[Données pseudonymisées, toujours personnelles?\"](https://www.dastra.eu/fr/blog/cjue-2025-donnees-pseudonymisees-toujours-personnelles/59570)\n\n### La réponse de la formation restreinte\n\nLa formation restreinte a fermement écarté cet argument. Elle a considéré que les données traitées par IQVIA étaient **pseudonymes, et non anonymes**, pour plusieurs raisons cumulatives :\n\n1. **L'existence d'un identifiant unique** par patient dans chaque entrepôt, permettant de reconstituer un parcours de soin individuel ;\n2. **La profondeur et la richesse des données** collectées (année de naissance, sexe, informations médicales, données socio-démographiques pour l'entrepôt EMR) ;\n3. **La possibilité de croisement avec des données accessibles publiquement**, rendant la réidentification réalisable avec des moyens raisonnables.\n\nLa formation restreinte a également relevé un élément de cohérence procédurale : jusqu'à l'arrêt SRB, IQVIA n'avait jamais contesté traiter des données personnelles, ayant elle-même sollicité et obtenu les autorisations de la CNIL. Elle ne pouvait donc, sans contradiction, se prévaloir d'une qualification rétroactive d'anonymat pour échapper à la responsabilité de manquements constatés.\n\n> **Enseignement clé** : L'arrêt SRB ne constitue pas un blanc-seing pour requalifier en « anonymes » des données simplement pseudonymisées. La granularité des données et la disponibilité de bases de données tierces sont des facteurs déterminants dans l'appréciation du risque de réidentification.\n\n---\n\n## Les manquements sanctionnés\n\n### 1. Non-respect des conditions des autorisations délivrées (art. 66 Loi Informatique et Libertés)\n\nL'article 66.III de la Loi Informatique et Libertés soumet les traitements de données de santé à autorisation préalable de la CNIL. Ces autorisations comportent des conditions auxquelles le responsable de traitement est tenu de se conformer. La formation restreinte a constaté plusieurs défaillances :\n\n**Sécurité des données :**\n\n- Absence d'analyse régulière des **journaux de connexion** pour les deux entrepôts, empêchant la détection efficace d'activités anormales ;\n- Absence d'**authentification multifacteur** pour l'accès à l'entrepôt EMR.\n\n**Information des personnes (entrepôt EMR) :**\n\n- La **notice d'information** délivrée aux patients comportait des mentions inexactes, en violation des exigences posées par l'autorisation.\n\n**Droit d'opposition (entrepôt EMR) :**\n\n- Aucune procédure effective ne permettait aux personnes concernées d'**exercer leur droit d'opposition** tel que prévu par l'autorisation.\n\n### 2. Défaut d'information des personnes pour l'entrepôt LRX (art. 14 RGPD)\n\nL'article 14 du RGPD impose au responsable de traitement d'informer les personnes concernées lorsque leurs données sont collectées auprès d'un tiers. Or, les contrôles effectués auprès de quatre pharmacies partenaires ont révélé qu'**aucune d'entre elles n'informait ses clients** de la transmission de leurs données à IQVIA.\n\nLa formation restreinte a rappelé une règle fondamentale : si IQVIA a délégué aux pharmaciens le soin de délivrer cette information, c'est bien à elle, en tant que **responsable de traitement**, qu'il appartient de s'assurer de l'effectivité de cette obligation. La sous-traitance de la communication n'exonère pas le responsable de son obligation de résultat.\n\n### 3. Traitements hors cadre légal (art. 66 Loi Informatique et Libertés)\n\nLa formation restreinte a constaté qu'IQVIA avait réalisé des **études pour son propre compte** à partir de l'entrepôt LRX sans disposer d'une base légale adaptée : les autorisations obtenues ne couvrant pas ces usages spécifiques.\n\n### 4. Violation du principe de *privacy by default* (art. 25 RGPD)\n\nConcernant l'entrepôt LRX, la conception du logiciel de gestion utilisé dans les pharmacies partenaires présentait une faille majeure : il **transmettait les données des patients à IQVIA même en cas de refus de ces derniers**. Ce manquement au principe de protection des données dès la conception et par défaut (article 25 RGPD) illustre les conséquences concrètes d'une architecture technique non conforme.\n\n## Portée et enseignements de cette décision\n\nLa délibération SAN-2026-008 ne se lit pas comme une simple sanction sectorielle.\n\nCe qui distingue cette décision, c'est la profondeur du contrôle opéré. La CNIL a audité des systèmes et non seulement la documentation. Elle a vérifié ce que les logiciels faisaient réellement, ce que les pharmaciens transmettaient effectivement, ce que les patients pouvaient exercer en pratique. Et c'est précisément cet écart entre le déclaré et le réel qui a fondé la sanction.\n\nVoici ce que cette méthode révèle pour l'ensemble des organisations qui traitent des données personnelles.\n\n**Pseudonymiser ne suffit pas à sortir du champ du RGPD**\n\nPour apprécier le caractère personnel des données, la formation restreinte n'a pas examiné la seule technique de pseudonymisation employée. Elle a analysé la richesse des informations disponibles, la présence d'identifiants uniques, les possibilités d'individualisation et les capacités de recoupement avec des sources externes. \\\nUne analyse de pseudonymisation ne peut jamais être réalisée de façon isolée. L'arrêt SRB de la CJUE du 4 septembre 2025 n'a pas abaissé le seuil de qualification de donnée personnelle, il a affiné l'appréciation des moyens raisonnables de réidentification. Supprimer les identifiants directs ne suffit pas.\n\n**Une notice d'information n'a de valeur que si elle reflète ce qui se passe réellement**\n\nLa CNIL reproche à IQVIA d'avoir fourni aux patients une information inexacte sur la durée de conservation de leurs données, au point de prononcer une injonction spécifique sur ce point. Le message est clair : la question n'est pas de savoir si l'on dispose d'une notice, mais si cette notice décrit fidèlement les flux effectifs, les partenaires réels et les traitements secondaires.\n\n**Ce qui ne peut pas être exercé ne peut pas être considéré comme un droit**\n\nLa formation restreinte ne s'est pas contentée de vérifier qu'une procédure de droit d'opposition était formellement prévue. Elle a vérifié que ce droit pouvait s'exercer concrètement, notamment directement auprès du médecin pour l'entrepôt EMR. C'est exactement ce type d'écart que la CNIL sanctionne. Pour les organisations, cela signifie que la gestion des droits des personnes doit être pensée comme un processus vivant, testé et maintenu, et non comme une case à cocher. \n\n**La conformité ne s'arrête pas à la conception : elle se teste dans l'exécution**\n\nL'article 25 du RGPD, souvent traité comme une formalité, prend ici une dimension très concrète. Des modules logiciels continuaient à collecter et transmettre des données malgré le refus exprimé par les pharmaciens. Le code ne respectait pas le choix de l'utilisateur. Ce point devrait alerter toutes les organisations qui intègrent des briques logicielles tierces dans leurs systèmes : la conformité de l'architecture globale ne peut pas être présumée à partir de la conformité de chaque composant pris isolément.\n\n**Multiplier les intervenants ne dilue pas la responsabilité**\n\nIQVIA a tenté de répartir la responsabilité entre les pharmaciens, les médecins et les tiers impliqués dans la pseudonymisation. La CNIL n'a pas suivi ce raisonnement : dès lors qu'une entité détermine les finalités et une part essentielle des moyens d'un traitement, elle en reste le responsable, quels que soient le nombre d'acteurs dans la chaîne ou la complexité de l'architecture technique. Cette position concerne directement toute organisation qui s'appuie sur des sous-traitants, des éditeurs SaaS ou des hébergeurs : la fragmentation des flux ne fragmente pas la responsabilité juridique.\n\n---\n\n## La sanction : 5 millions d'euros et des injonctions sous astreinte\n\nPour fixer le montant de l'amende, la formation restreinte a tenu compte de plusieurs facteurs aggravants :\n\n- La **nature des données** : données de santé, catégorie particulièrement sensible au sens de l'article 9 du RGPD ;\n- Le **nombre de personnes concernées** : plusieurs dizaines de millions de patients ;\n- La **position d'IQVIA sur le marché** de la donnée de santé pharmaceutique ;\n- Les **capacités financières** du groupe.\n\nPar ailleurs, la CNIL a prononcé des **injonctions** ordonnant à IQVIA de remédier aux manquements persistants relatifs à la notice d'information EMR et au droit d'opposition, dans un délai de **six mois**, sous peine d'une **astreinte de 10 000 euros par jour de retard**.\n\nIl convient de noter que les manquements de sécurité avaient déjà été corrigés par IQVIA entre la date des contrôles et la délibération, ce qui a probablement été pris en compte favorablement dans la détermination de l'amende.\n\n---\n\n## Conclusion\n\nLa délibération SAN-2026-008 contre IQVIA Operations France rappelle une réalité simple : **la conformité RGPD ne se mesure plus uniquement à la qualité des documents produits**.\n\nPour les responsables de traitement opérant dans l'écosystème de la donnée de santé, et, plus largement, pour tout acteur gérant des traitements complexes impliquant de multiples intervenants, cette décision est un signal clair : l'audit de conformité doit descendre au niveau des paramétrages, des comportements logiciels et de l'exécution effective des droits.\n\nDes outils de gouvernance des données comme **Dastra** permettent aux organisations de structurer leur conformité au-delà de la simple documentation. En cartographiant les traitements et en modélisant les flux de données réels, Dastra aide à détecter les écarts entre ce qui est déclaré dans les notices d'information et ce qui est effectivement mis en œuvre.\n\nLa gestion des demandes de droits (opposition, accès, rectification) y est également centralisée et traçable, ce qui permet de démontrer à tout moment que ces droits fonctionnent réellement dans les outils et pas seulement sur le papier.\n\n[**Demandez une démonstration de Dastra**](https://www.dastra.eu/fr/contacts/demo) **et découvrez comment cartographier vos flux et piloter les droits des personnes en pratique.**\n\n---\n\n*Sources : [Délibération SAN-2026-008 du 26 mai 2026 (Légifrance)](https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000054136834) \\* [Communiqué CNIL du 28 mai 2026](https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia)*","\u003Cp>\u003Cem>28 mai 2026\u003C/em>\u003C/p>\n\u003Cp>Le 26 mai 2026, la formation restreinte de la CNIL a prononcé une amende de \u003Cstrong>5 millions d'euros\u003C/strong> à l'encontre de la société \u003Cstrong>IQVIA Operations France\u003C/strong>, filiale française du groupe américain IQVIA, spécialisé dans les données et les services pour l'industrie pharmaceutique. Cette délibération (SAN-2026-008) marque une étape importante dans la régulation des entrepôts de données de santé en France et soulève des questions de fond sur la frontière entre pseudonymisation et anonymisation, une question au cœur de l'actualité jurisprudentielle européenne.\u003C/p>\n\u003Chr />\n\u003Ch2 id=\"contexte-deux-entrepots-des-dizaines-de-millions-de-patients\">Contexte : deux entrepôts, des dizaines de millions de patients\u003C/h2>\n\u003Cp>IQVIA Operations France exploite deux entrepôts de données de santé, tous deux autorisés par la CNIL :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>L'entrepôt LRX\u003C/strong> (autorisé en 2018) : alimenté par des données collectées auprès d'environ 14 000 pharmacies, il porte principalement sur les dispensations médicamenteuses.\u003C/li>\n\u003Cli>\u003Cstrong>L'entrepôt EMR\u003C/strong> (autorisé en 2021) : alimenté par des données issues de plusieurs milliers de médecins, il contient des informations cliniques bien plus granulaires (diagnostics, symptômes, allergies, poids, taille, situation matrimoniale, catégorie socio-professionnelle, etc).\u003C/li>\n\u003C/ul>\n\u003Cp>Ces entrepôts permettent à IQVIA de réaliser des études pour son propre compte ou pour le compte de laboratoires pharmaceutiques.\u003C/p>\n\u003Cp>Quel a été le déclencheur de la procédure de contrôle ? Un reportage du magazine \u003Cem>Cash Investigation\u003C/em>, qui a conduit à des plaintes de particuliers et d'associations dénonçant un \u003Cstrong>manque de transparence\u003C/strong> à l'égard des patients concernés.\u003C/p>\n\u003Chr />\n\u003Ch2 id=\"pseudonymisation-vs.anonymisation-la-cnil-tranche-apres-larret-srb\">Pseudonymisation vs. anonymisation : la CNIL tranche après l'arrêt SRB\u003C/h2>\n\u003Ch3 id=\"largument-diqvia\">L'argument d'IQVIA\u003C/h3>\n\u003Cp>Dans le cadre de la procédure, IQVIA a invoqué l'arrêt \u003Cstrong>SRB de la Cour de justice de l'Union européenne du 4 septembre 2025\u003C/strong> pour soutenir que les données figurant dans ses entrepôts étaient \u003Cstrong>anonymes\u003C/strong> et, partant, que le RGPD ne leur était pas applicable. L'arrêt SRB a précisé la notion de donnée à caractère personnel en affinant l'appréciation du critère de réidentifiabilité, notamment au regard des moyens raisonnablement disponibles.\u003C/p>\n\u003Cp>Pour en savoir plus, consultez notre article : \"\u003Ca href=\"https://www.dastra.eu/fr/blog/cjue-2025-donnees-pseudonymisees-toujours-personnelles/59570\">Données pseudonymisées, toujours personnelles?\"\u003C/a>\u003C/p>\n\u003Ch3 id=\"la-reponse-de-la-formation-restreinte\">La réponse de la formation restreinte\u003C/h3>\n\u003Cp>La formation restreinte a fermement écarté cet argument. Elle a considéré que les données traitées par IQVIA étaient \u003Cstrong>pseudonymes, et non anonymes\u003C/strong>, pour plusieurs raisons cumulatives :\u003C/p>\n\u003Col>\n\u003Cli>\u003Cstrong>L'existence d'un identifiant unique\u003C/strong> par patient dans chaque entrepôt, permettant de reconstituer un parcours de soin individuel ;\u003C/li>\n\u003Cli>\u003Cstrong>La profondeur et la richesse des données\u003C/strong> collectées (année de naissance, sexe, informations médicales, données socio-démographiques pour l'entrepôt EMR) ;\u003C/li>\n\u003Cli>\u003Cstrong>La possibilité de croisement avec des données accessibles publiquement\u003C/strong>, rendant la réidentification réalisable avec des moyens raisonnables.\u003C/li>\n\u003C/ol>\n\u003Cp>La formation restreinte a également relevé un élément de cohérence procédurale : jusqu'à l'arrêt SRB, IQVIA n'avait jamais contesté traiter des données personnelles, ayant elle-même sollicité et obtenu les autorisations de la CNIL. Elle ne pouvait donc, sans contradiction, se prévaloir d'une qualification rétroactive d'anonymat pour échapper à la responsabilité de manquements constatés.\u003C/p>\n\u003Cblockquote>\n\u003Cp>\u003Cstrong>Enseignement clé\u003C/strong> : L'arrêt SRB ne constitue pas un blanc-seing pour requalifier en « anonymes » des données simplement pseudonymisées. La granularité des données et la disponibilité de bases de données tierces sont des facteurs déterminants dans l'appréciation du risque de réidentification.\u003C/p>\n\u003C/blockquote>\n\u003Chr />\n\u003Ch2 id=\"les-manquements-sanctionnes\">Les manquements sanctionnés\u003C/h2>\n\u003Ch3 id=\"non-respect-des-conditions-des-autorisations-delivrees-art.66-loi-informatique-et-libertes\">1. Non-respect des conditions des autorisations délivrées (art. 66 Loi Informatique et Libertés)\u003C/h3>\n\u003Cp>L'article 66.III de la Loi Informatique et Libertés soumet les traitements de données de santé à autorisation préalable de la CNIL. Ces autorisations comportent des conditions auxquelles le responsable de traitement est tenu de se conformer. La formation restreinte a constaté plusieurs défaillances :\u003C/p>\n\u003Cp>\u003Cstrong>Sécurité des données :\u003C/strong>\u003C/p>\n\u003Cul>\n\u003Cli>Absence d'analyse régulière des \u003Cstrong>journaux de connexion\u003C/strong> pour les deux entrepôts, empêchant la détection efficace d'activités anormales ;\u003C/li>\n\u003Cli>Absence d'\u003Cstrong>authentification multifacteur\u003C/strong> pour l'accès à l'entrepôt EMR.\u003C/li>\n\u003C/ul>\n\u003Cp>\u003Cstrong>Information des personnes (entrepôt EMR) :\u003C/strong>\u003C/p>\n\u003Cul>\n\u003Cli>La \u003Cstrong>notice d'information\u003C/strong> délivrée aux patients comportait des mentions inexactes, en violation des exigences posées par l'autorisation.\u003C/li>\n\u003C/ul>\n\u003Cp>\u003Cstrong>Droit d'opposition (entrepôt EMR) :\u003C/strong>\u003C/p>\n\u003Cul>\n\u003Cli>Aucune procédure effective ne permettait aux personnes concernées d'\u003Cstrong>exercer leur droit d'opposition\u003C/strong> tel que prévu par l'autorisation.\u003C/li>\n\u003C/ul>\n\u003Ch3 id=\"defaut-dinformation-des-personnes-pour-lentrepot-lrx-art.14-rgpd\">2. Défaut d'information des personnes pour l'entrepôt LRX (art. 14 RGPD)\u003C/h3>\n\u003Cp>L'article 14 du RGPD impose au responsable de traitement d'informer les personnes concernées lorsque leurs données sont collectées auprès d'un tiers. Or, les contrôles effectués auprès de quatre pharmacies partenaires ont révélé qu'\u003Cstrong>aucune d'entre elles n'informait ses clients\u003C/strong> de la transmission de leurs données à IQVIA.\u003C/p>\n\u003Cp>La formation restreinte a rappelé une règle fondamentale : si IQVIA a délégué aux pharmaciens le soin de délivrer cette information, c'est bien à elle, en tant que \u003Cstrong>responsable de traitement\u003C/strong>, qu'il appartient de s'assurer de l'effectivité de cette obligation. La sous-traitance de la communication n'exonère pas le responsable de son obligation de résultat.\u003C/p>\n\u003Ch3 id=\"traitements-hors-cadre-legal-art.66-loi-informatique-et-libertes\">3. Traitements hors cadre légal (art. 66 Loi Informatique et Libertés)\u003C/h3>\n\u003Cp>La formation restreinte a constaté qu'IQVIA avait réalisé des \u003Cstrong>études pour son propre compte\u003C/strong> à partir de l'entrepôt LRX sans disposer d'une base légale adaptée : les autorisations obtenues ne couvrant pas ces usages spécifiques.\u003C/p>\n\u003Ch3 id=\"violation-du-principe-de-privacy-by-default-art.25-rgpd\">4. Violation du principe de \u003Cem>privacy by default\u003C/em> (art. 25 RGPD)\u003C/h3>\n\u003Cp>Concernant l'entrepôt LRX, la conception du logiciel de gestion utilisé dans les pharmacies partenaires présentait une faille majeure : il \u003Cstrong>transmettait les données des patients à IQVIA même en cas de refus de ces derniers\u003C/strong>. Ce manquement au principe de protection des données dès la conception et par défaut (article 25 RGPD) illustre les conséquences concrètes d'une architecture technique non conforme.\u003C/p>\n\u003Ch2 id=\"portee-et-enseignements-de-cette-decision\">Portée et enseignements de cette décision\u003C/h2>\n\u003Cp>La délibération SAN-2026-008 ne se lit pas comme une simple sanction sectorielle.\u003C/p>\n\u003Cp>Ce qui distingue cette décision, c'est la profondeur du contrôle opéré. La CNIL a audité des systèmes et non seulement la documentation. Elle a vérifié ce que les logiciels faisaient réellement, ce que les pharmaciens transmettaient effectivement, ce que les patients pouvaient exercer en pratique. Et c'est précisément cet écart entre le déclaré et le réel qui a fondé la sanction.\u003C/p>\n\u003Cp>Voici ce que cette méthode révèle pour l'ensemble des organisations qui traitent des données personnelles.\u003C/p>\n\u003Cp>\u003Cstrong>Pseudonymiser ne suffit pas à sortir du champ du RGPD\u003C/strong>\u003C/p>\n\u003Cp>Pour apprécier le caractère personnel des données, la formation restreinte n'a pas examiné la seule technique de pseudonymisation employée. Elle a analysé la richesse des informations disponibles, la présence d'identifiants uniques, les possibilités d'individualisation et les capacités de recoupement avec des sources externes. \u003Cbr />\nUne analyse de pseudonymisation ne peut jamais être réalisée de façon isolée. L'arrêt SRB de la CJUE du 4 septembre 2025 n'a pas abaissé le seuil de qualification de donnée personnelle, il a affiné l'appréciation des moyens raisonnables de réidentification. Supprimer les identifiants directs ne suffit pas.\u003C/p>\n\u003Cp>\u003Cstrong>Une notice d'information n'a de valeur que si elle reflète ce qui se passe réellement\u003C/strong>\u003C/p>\n\u003Cp>La CNIL reproche à IQVIA d'avoir fourni aux patients une information inexacte sur la durée de conservation de leurs données, au point de prononcer une injonction spécifique sur ce point. Le message est clair : la question n'est pas de savoir si l'on dispose d'une notice, mais si cette notice décrit fidèlement les flux effectifs, les partenaires réels et les traitements secondaires.\u003C/p>\n\u003Cp>\u003Cstrong>Ce qui ne peut pas être exercé ne peut pas être considéré comme un droit\u003C/strong>\u003C/p>\n\u003Cp>La formation restreinte ne s'est pas contentée de vérifier qu'une procédure de droit d'opposition était formellement prévue. Elle a vérifié que ce droit pouvait s'exercer concrètement, notamment directement auprès du médecin pour l'entrepôt EMR. C'est exactement ce type d'écart que la CNIL sanctionne. Pour les organisations, cela signifie que la gestion des droits des personnes doit être pensée comme un processus vivant, testé et maintenu, et non comme une case à cocher.\u003C/p>\n\u003Cp>\u003Cstrong>La conformité ne s'arrête pas à la conception : elle se teste dans l'exécution\u003C/strong>\u003C/p>\n\u003Cp>L'article 25 du RGPD, souvent traité comme une formalité, prend ici une dimension très concrète. Des modules logiciels continuaient à collecter et transmettre des données malgré le refus exprimé par les pharmaciens. Le code ne respectait pas le choix de l'utilisateur. Ce point devrait alerter toutes les organisations qui intègrent des briques logicielles tierces dans leurs systèmes : la conformité de l'architecture globale ne peut pas être présumée à partir de la conformité de chaque composant pris isolément.\u003C/p>\n\u003Cp>\u003Cstrong>Multiplier les intervenants ne dilue pas la responsabilité\u003C/strong>\u003C/p>\n\u003Cp>IQVIA a tenté de répartir la responsabilité entre les pharmaciens, les médecins et les tiers impliqués dans la pseudonymisation. La CNIL n'a pas suivi ce raisonnement : dès lors qu'une entité détermine les finalités et une part essentielle des moyens d'un traitement, elle en reste le responsable, quels que soient le nombre d'acteurs dans la chaîne ou la complexité de l'architecture technique. Cette position concerne directement toute organisation qui s'appuie sur des sous-traitants, des éditeurs SaaS ou des hébergeurs : la fragmentation des flux ne fragmente pas la responsabilité juridique.\u003C/p>\n\u003Chr />\n\u003Ch2 id=\"la-sanction-5-millions-deuros-et-des-injonctions-sous-astreinte\">La sanction : 5 millions d'euros et des injonctions sous astreinte\u003C/h2>\n\u003Cp>Pour fixer le montant de l'amende, la formation restreinte a tenu compte de plusieurs facteurs aggravants :\u003C/p>\n\u003Cul>\n\u003Cli>La \u003Cstrong>nature des données\u003C/strong> : données de santé, catégorie particulièrement sensible au sens de l'article 9 du RGPD ;\u003C/li>\n\u003Cli>Le \u003Cstrong>nombre de personnes concernées\u003C/strong> : plusieurs dizaines de millions de patients ;\u003C/li>\n\u003Cli>La \u003Cstrong>position d'IQVIA sur le marché\u003C/strong> de la donnée de santé pharmaceutique ;\u003C/li>\n\u003Cli>Les \u003Cstrong>capacités financières\u003C/strong> du groupe.\u003C/li>\n\u003C/ul>\n\u003Cp>Par ailleurs, la CNIL a prononcé des \u003Cstrong>injonctions\u003C/strong> ordonnant à IQVIA de remédier aux manquements persistants relatifs à la notice d'information EMR et au droit d'opposition, dans un délai de \u003Cstrong>six mois\u003C/strong>, sous peine d'une \u003Cstrong>astreinte de 10 000 euros par jour de retard\u003C/strong>.\u003C/p>\n\u003Cp>Il convient de noter que les manquements de sécurité avaient déjà été corrigés par IQVIA entre la date des contrôles et la délibération, ce qui a probablement été pris en compte favorablement dans la détermination de l'amende.\u003C/p>\n\u003Chr />\n\u003Ch2 id=\"conclusion\">Conclusion\u003C/h2>\n\u003Cp>La délibération SAN-2026-008 contre IQVIA Operations France rappelle une réalité simple : \u003Cstrong>la conformité RGPD ne se mesure plus uniquement à la qualité des documents produits\u003C/strong>.\u003C/p>\n\u003Cp>Pour les responsables de traitement opérant dans l'écosystème de la donnée de santé, et, plus largement, pour tout acteur gérant des traitements complexes impliquant de multiples intervenants, cette décision est un signal clair : l'audit de conformité doit descendre au niveau des paramétrages, des comportements logiciels et de l'exécution effective des droits.\u003C/p>\n\u003Cp>Des outils de gouvernance des données comme \u003Cstrong>Dastra\u003C/strong> permettent aux organisations de structurer leur conformité au-delà de la simple documentation. En cartographiant les traitements et en modélisant les flux de données réels, Dastra aide à détecter les écarts entre ce qui est déclaré dans les notices d'information et ce qui est effectivement mis en œuvre.\u003C/p>\n\u003Cp>La gestion des demandes de droits (opposition, accès, rectification) y est également centralisée et traçable, ce qui permet de démontrer à tout moment que ces droits fonctionnent réellement dans les outils et pas seulement sur le papier.\u003C/p>\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/contacts/demo\">\u003Cstrong>Demandez une démonstration de Dastra\u003C/strong>\u003C/a> \u003Cstrong>et découvrez comment cartographier vos flux et piloter les droits des personnes en pratique.\u003C/strong>\u003C/p>\n\u003Chr />\n\u003Cp>\u003Cem>Sources : \u003Ca href=\"https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000054136834\" rel=\"nofollow\">Délibération SAN-2026-008 du 26 mai 2026 (Légifrance)\u003C/a> * \u003Ca href=\"https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia\" rel=\"nofollow\">Communiqué CNIL du 28 mai 2026\u003C/a>\u003C/em>\u003C/p>\n","IQVIA sanctionnée par la CNIL : 5 enseignements RGPD","La CNIL sanctionne IQVIA à hauteur de 5 M€ pour manquements au RGPD. Découvrez les 6 enseignements clés pour tous les responsables de traitement.",1890,10,"IQVIA sanctionnée par la CNIL : 5 enseignements pour tous les responsables de traitement",0,"","fr","iqvia-sanctionnee-cnil-5-enseignements-responsables-traitement","Le 26 mai 2026, la CNIL a sanctionné IQVIA Operations France d'une amende de 5 millions d'euros pour violations du RGPD et de la loi Informatique et Libertés dans la gestion de ses entrepôts de données de santé","Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":22,"blogUrl":22,"color":22,"userId":19,"creationDate":23},20352,"Leïla Sayssa","https://static.dastra.eu/tenant-3/avatar/20352/TDYeY3C8Rz1lLE/dpo-avatar-h01-150.png",null,"2025-03-03T11:08:22","2026-06-03T08:43:00","2026-06-03T08:43:07.796866","2026-06-04T07:55:37.4421459",{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":22,"count":22,"imageUrl":22,"parent":22,"order":12,"translations":33},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[34,36,39],{"lang":14,"name":29,"description":35},"Une liste d'articles rédigés par la communauté",{"lang":37,"name":29,"description":38},"es","Una lista de artículos escritos por la comunidad",{"lang":40,"name":29,"description":41},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[43],{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":22,"count":22,"imageUrl":22,"parent":22,"order":12,"translations":44},[45,46,47],{"lang":14,"name":29,"description":35},{"lang":37,"name":29,"description":38},{"lang":40,"name":29,"description":41},[],"https://static.dastra.eu/content/e41a7fd9-59e0-45a4-b592-c0543e29cd7b/visuel-article-original.png",[51,52,53,54,55,56,57],"https://static.dastra.eu/content/e41a7fd9-59e0-45a4-b592-c0543e29cd7b/visuel-article-1000.webp","https://static.dastra.eu/content/e41a7fd9-59e0-45a4-b592-c0543e29cd7b/visuel-article.webp","https://static.dastra.eu/content/e41a7fd9-59e0-45a4-b592-c0543e29cd7b/visuel-article-1500.webp","https://static.dastra.eu/content/e41a7fd9-59e0-45a4-b592-c0543e29cd7b/visuel-article-800.webp","https://static.dastra.eu/content/e41a7fd9-59e0-45a4-b592-c0543e29cd7b/visuel-article-600.webp","https://static.dastra.eu/content/e41a7fd9-59e0-45a4-b592-c0543e29cd7b/visuel-article-300.webp","https://static.dastra.eu/content/e41a7fd9-59e0-45a4-b592-c0543e29cd7b/visuel-article-100.webp",60080,{"items":60,"total":148,"size":85,"page":85},[61],{"title":62,"nbDownloads":63,"excerpt":64,"lang":14,"url":65,"intro":66,"featured":67,"state":17,"author":68,"authorId":69,"datePublication":73,"dateCreation":74,"dateUpdate":75,"mainCategory":76,"categories":83,"metaDatas":133,"imageUrl":138,"imageThumbUrls":139,"id":147},"AI Act : Déployer un AI Management System (AIMS) en 6 étapes",61,"Méthode opérationnelle pour structurer la gouvernance IA et répondre efficacement aux exigences de l’AI Act","ai-act-deployer-un-ai-management-system-aims-en-6-etapes","L’intelligence artificielle entre dans une nouvelle ère : celle de la gouvernance. Avec l’AI Act (UE 2024/1689), les organisations doivent désormais structurer et démontrer la conformité de leurs systèmes d’IA dans un cadre exigeant et évolutif.\n\nFace à la complexité réglementaire et à la multiplication des usages, beaucoup peinent à passer à l’opérationnel. Les initiatives restent souvent dispersées, générant des risques juridiques, opérationnels et réputationnels.\n\nL’AI Management System (AIMS) apporte une réponse structurée. Ce guide propose une méthode en 6 étapes pour déployer une gouvernance IA efficace, alignée avec les exigences de l’AI Act.",true,{"id":69,"displayName":70,"avatarUrl":71,"bio":22,"blogUrl":22,"color":22,"userId":69,"creationDate":72},38,"Paul-Emmanuel Bidault","https://static.dastra.eu/tenant-27/avatar/38/paul-emmanuel-bidault-150.jpg","2019-12-03T19:09:28","2026-03-30T20:17:00","2026-03-30T20:17:09.7405659","2026-04-20T12:08:34.6382717",{"id":77,"name":78,"description":22,"url":79,"color":80,"parentId":22,"count":22,"imageUrl":22,"parent":22,"order":81,"translations":82},70,"Livre blanc","white-papers","#1795d3",3,[],[84,92,97,112,114,120],{"id":85,"name":86,"description":87,"url":88,"color":89,"parentId":22,"count":22,"imageUrl":22,"parent":22,"order":85,"translations":90},1,"Actualités & veille","Toutes les dernières actualités sur la conformité GDPR dans l'application.","watch","#6c1414",[91],{"lang":14,"name":86,"description":87},{"id":28,"name":29,"description":35,"url":31,"color":32,"parentId":22,"count":22,"imageUrl":22,"parent":22,"order":12,"translations":93},[94,95,96],{"lang":14,"name":29,"description":35},{"lang":37,"name":29,"description":38},{"lang":40,"name":29,"description":41},{"id":98,"name":99,"description":100,"url":101,"color":102,"parentId":28,"count":22,"imageUrl":22,"parent":22,"order":103,"translations":104},69,"Expertise","Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.","indepth","#000000",5,[105,106,109],{"lang":14,"name":99,"description":100},{"lang":40,"name":107,"description":108},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":37,"name":110,"description":111},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",{"id":77,"name":78,"description":22,"url":79,"color":80,"parentId":22,"count":22,"imageUrl":22,"parent":22,"order":81,"translations":113},[],{"id":115,"name":116,"description":22,"url":117,"color":118,"parentId":85,"count":22,"imageUrl":22,"parent":22,"order":12,"translations":119},155,"AI","ai","#37c71a",[],{"id":121,"name":122,"description":123,"url":117,"color":124,"parentId":98,"count":22,"imageUrl":22,"parent":22,"order":12,"translations":125},213,"Intelligence artificielle","Tout les articles relatifs à l'intelligence artificielle","#5856d6",[126,127,130],{"lang":14,"name":122,"description":123},{"lang":40,"name":128,"description":129},"Künstliche Intelligenz","Alle Artikel zum Thema künstliche Intelligenz",{"lang":37,"name":131,"description":132},"Inteligencia artificial","Todos los artículos sobre el tema de la inteligencia artificial",[134],{"typeMetaDataId":135,"value":136,"id":137},4,"https://static.dastra.eu/backofficefilescontainer/9c636312-c372-468b-9059-72f09b4963e7/Livret AI Act - 6 étapes pour déployer AIMS.pdf",117357,"https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-original.png",[140,141,142,143,144,145,146],"https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-1000.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-1500.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-800.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-600.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-300.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-100.webp",59947,17]