Accueil > Actualité médicale > Informatique médicale

Données de santé : la CNIL sanctionne IQVIA et rappelle les limites de la pseudonymisation

| 02/06/2026 | par Caducee.net | | Partager

Données de santé : la CNIL sanctionne IQVIA et rappelle les limites de la pseudonymisation La Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 5 millions d’euros à IQVIA OPERATIONS FRANCE pour des manquements liés à deux entrepôts de données de santé. La décision, très attendue dans l’écosystème de la e-santé, éclaire une ligne de fracture majeure : une donnée pseudonymisée reste soumise au règlement général sur la protection des données (RGPD) lorsqu’une réidentification demeure raisonnablement possible.[1][2]

À retenir (lecture rapide)

• La CNIL inflige 5 millions d’euros à IQVIA pour deux entrepôts de données de santé.

• Les griefs portent sur l’information des patients, le droit d’opposition, la sécurité et certains usages.

• La décision réaffirme qu’une pseudonymisation robuste ne fait pas automatiquement sortir du RGPD.

• IQVIA conteste la lecture juridique de la CNIL et se réserve la possibilité d’un recours.

Deux entrepôts de données de santé au cœur de la sanction

Prononcée le 26 mai 2026 et rendue publique deux jours plus tard, la sanction vise la filiale française du groupe IQVIA, spécialisée dans les études sur les maladies, les traitements et les pratiques de soins, pour son propre compte ou pour des laboratoires pharmaceutiques. La société exploitait deux entrepôts autorisés par la CNIL : LRX, créé en 2018 à partir de données issues d’environ 14 000 pharmacies, et EMR, autorisé en 2021, alimenté par des données collectées auprès de plusieurs milliers de médecins.^[1]^[2]

Dans sa délibération, la CNIL souligne l’ampleur des traitements. Pour LRX, IQVIA évoquait dans une plaquette destinée aux pharmaciens « 20 millions de patients anonymisés suivis dans le temps ». Pour EMR, la société a indiqué environ 2 000 médecins partenaires lors du contrôle, tandis qu’une plaquette de présentation mentionnait 3 000 médecins. La formation restreinte retient que les traitements affectent, ou sont susceptibles d’affecter, plusieurs dizaines de millions de personnes.^[2]

Avec 5 millions d’euros, l’amende occupe une place notable dans le paysage français de la protection des données, d’autant qu’elle concerne des traitements de santé à très grande échelle. Son poids économique doit néanmoins être apprécié au regard de la taille internationale du groupe IQVIA : la sanction porte donc autant une portée financière qu’un message de conformité adressé aux acteurs de la donnée de santé.

Une affaire inscrite dans une séquence ouverte en 2021

La décision ne surgit pas dans un vide médiatique ou réglementaire. Dès mai 2021, la CNIL avait rappelé le cadre légal de l’entrepôt LRX après l’annonce d’une enquête de Cash Investigation consacrée à la collecte de données de santé en pharmacie. Elle précisait alors que le droit d’opposition devait pouvoir s’exercer auprès des pharmaciens partenaires, que les données devaient être pseudonymisées et que les clients d’IQVIA ne pouvaient recevoir aucune donnée personnelle issue de l’entrepôt.^[3]

Le mois suivant, France Assos Santé saisissait la CNIL en dénonçant deux risques : le manque d’information des patients et un possible éloignement entre les finalités annoncées lors de la collecte et les usages ultérieurs des données.^[4] Cinq ans plus tard, la sanction donne à cette controverse une portée plus structurante pour les professionnels de santé, les éditeurs de logiciels et les industriels exploitant des entrepôts de données.

La pseudonymisation au centre du débat juridique

Le cœur du dossier tient à la qualification des données. Dans la procédure, IQVIA a soutenu, après l’arrêt SRB rendu par la Cour de justice de l’Union européenne (CJUE) le 4 septembre 2025, que les données figurant dans les entrepôts LRX et EMR étaient anonymes. Une telle qualification les aurait placées hors du champ des règles applicables aux données personnelles. La CNIL a écarté cet argument : selon elle, les données étaient pseudonymes, mais non anonymes, car une réidentification demeurait possible avec des moyens raisonnables.^[1]^[2]

La défense d’IQVIA ne se réduisait pas à un simple argument de forme. La société faisait valoir que les données étaient protégées par des tiers de confiance, des procédés de chiffrement et une séparation des informations susceptibles d’empêcher, en pratique, l’identification des patients par les destinataires des études. La CNIL adopte une lecture plus globale : elle examine non seulement ce que les clients finaux peuvent voir, mais aussi la structure complète du traitement, la granularité des informations, la présence d’identifiants, la durée du suivi et les croisements raisonnablement envisageables.

Dans LRX, les données de ventes de médicaments pouvaient être reliées à un code unique permettant un suivi longitudinal du parcours de chaque patient. Dans EMR, les données pouvaient inclure l’année de naissance, le sexe, les prescriptions, les diagnostics, les symptômes, les allergies, les arrêts de travail, mais aussi des éléments relatifs à la situation matrimoniale, au nombre d’enfants ou à la catégorie socio-professionnelle. Pour la CNIL, cette profondeur informationnelle rendait le risque de réidentification suffisamment sérieux pour maintenir l’application du RGPD.^[1]^[2]

Information des patients, opposition et sécurité : les failles retenues

La CNIL reproche d’abord à IQVIA de ne pas avoir respecté les conditions fixées dans ses autorisations. Lors des contrôles, elle a relevé plusieurs lacunes de sécurité, notamment l’absence d’analyse régulière des journaux de connexion pour les deux entrepôts et l’absence d’authentification multifacteur pour accéder à EMR. La société a toutefois démontré, depuis les contrôles, avoir corrigé les manquements relatifs à la sécurité et à la confidentialité des données.^[1]^[2]

Le grief le plus sensible concerne l’information des patients. Pour LRX, les contrôles réalisés dans quatre pharmacies ont établi qu’aucune n’informait ses clients de la transmission de leurs données à IQVIA. La CNIL rappelle que, même si cette information était confiée aux pharmaciens, IQVIA restait responsable de sa délivrance effective en tant que responsable de traitement.^[1]^[2]

Pour EMR, la formation restreinte a également relevé une notice d’information inexacte et l’absence d’une procédure permettant aux patients d’exercer effectivement leur droit d’opposition. Deux autres manquements complètent le tableau : certaines études réalisées par IQVIA à partir de LRX l’auraient été hors cadre légal, et les modules intégrés aux logiciels de gestion d’officine pouvaient extraire des données de patients même lorsque le pharmacien avait refusé leur transmission à IQVIA. La CNIL y voit une atteinte au principe de protection des données dès la conception prévu par l’article 25 du RGPD.^[1]^[2]

Des injonctions qui visent la conformité opérationnelle

La sanction financière s’accompagne d’injonctions à mettre les traitements en conformité dans un délai de six mois, sous astreinte de 10 000 euros par jour de retard. IQVIA doit notamment mieux informer les patients concernés par EMR, rendre effectif leur droit d’opposition, s’assurer que les officines partenaires informent réellement leurs clients, cesser certaines études LRX sans base conforme et corriger les extractions de données lorsque le pharmacien a refusé la transmission.^[1]^[2]

La décision reste susceptible d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification. Selon l’AFP, relayée par Boursorama, IQVIA France a pris acte de la sanction et « se réserve le droit de faire appel ».

L’entreprise affirme également que « les mesures de sécurité identifiées ont été mises en place et nous restons engagés à renforcer en continu notre dispositif de sécurité et de gouvernance ».^[5]

Entre ces deux positions, la divergence demeure profonde. IQVIA insiste sur les dispositifs techniques et organisationnels censés empêcher l’identification des patients. La CNIL, elle, retient une appréciation plus large du risque, fondée sur la nature des données, leur volume, leur structuration et leur potentiel de croisement. C’est précisément cette tension qui donne à la décision sa portée au-delà du seul cas IQVIA.

Un signal de vigilance pour les professionnels de santé

Pour les pharmaciens, les médecins et les éditeurs de logiciels, cette sanction rappelle que la collecte indirecte de données de santé ne se résume pas à un flux technique. Elle suppose une information visible, une opposition praticable et la capacité de prouver que ces droits fonctionnent réellement au point de contact avec le patient. À défaut, la conformité reste théorique.

L’affaire s’inscrit aussi dans un contexte où la cybersécurité en santé devient un sujet de gouvernance quotidienne, bien au-delà des seuls épisodes de rançongiciel.^[7] Elle rejoint les alertes sur la maîtrise des accès aux logiciels manipulant des données de patients, où l’authentification multifacteur (MFA), la traçabilité et l’analyse d’impact relative à la protection des données (AIPD) deviennent des leviers concrets de réduction du risque.^[8]

La sanction IQVIA ne crée pas un nouveau droit. Elle remet les règles existantes au centre du jeu : dans les entrepôts de données de santé, l’autorisation administrative n’est pas un blanc-seing. Elle doit se traduire dans les contrats, les logiciels, les notices d’information, les audits et la capacité à démontrer que les droits des patients ne restent pas lettre morte.