CNIL | SAN-2026-008 | 26 MAI 2026 | AFFAIRE IQVIA OPERATIONS FRANCE |
DONNÉES DE SANTÉ HORS CONTRÔLE : IQVIA CONDAMNÉE À 5 MILLIONS D’EUROS POUR AVOIR BÂTI UN EMPIRE PHARMACEUTIQUE SUR L’IGNORANCE DES PATIENTS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
CONSEILS AUX RESPONSABLES DE TRAITEMENT
UNE OBLIGATION DE RÉSULTAT, NON DE MOYENS DÉCLARATIFS
La délibération SAN-2026-008 délivre un premier enseignement fondamental qui dépasse le cas particulier des entrepôts de données de santé : une autorisation délivrée par la CNIL ne vaut que si les traitements mis en œuvre respectent, en pratique et de manière continue, l’intégralité des conditions posées par cette autorisation. Cette évidence procédurale, que certains opérateurs tendent à oublier une fois l’autorisation obtenue, est ici érigée en exigence de conformité opposable.
La formation restreinte a relevé que la société IQVIA, bien qu’ayant obtenu des autorisations en 2018 et 2021 pour ses entrepôts LRX et EMR, « ne respectait pas les conditions posées par les autorisations délivrées » — que ce soit en matière de sécurité, d’information des personnes ou de droits des personnes concernées. Ce constat illustre un phénomène récurrent dans la pratique : l’énergie juridique et technique est concentrée sur l’obtention de l’autorisation, tandis que la conformité opérationnelle post-autorisation est sous-pilotée, voire abandonnée à l’inertie organisationnelle.
Tout responsable de traitement ayant sollicité ou obtenu une autorisation de la CNIL — que ce soit dans le cadre de l’article 66 de la loi Informatique et Libertés pour les traitements de santé, dans le cadre d’une demande d’autorisation spécifique pour des traitements sensibles, ou encore dans le cadre d’une déclaration de conformité à une méthodologie de référence — doit donc organiser un suivi structuré de la conformité aux termes de cette autorisation. Ce suivi ne peut être déclaratif : il doit être documenté, régulièrement actualisé et rattaché à des responsables identifiés. Il suppose notamment de procéder périodiquement à une confrontation entre les engagements pris lors de la demande d’autorisation et les pratiques effectives constatées sur le terrain, sous forme d’audit interne ou de revue DPO.
En pratique, les responsables de traitement concernés devraient maintenir un registre de suivi des conditions d’autorisation, listant point par point chaque engagement pris, le référent technique en charge, l’état d’implémentation et la date du dernier contrôle. Lorsqu’une évolution du système d’information, un changement de prestataire ou une modification des flux de données est envisagée, la première question à poser n’est pas « est-ce techniquement réalisable ? » mais bien « cette modification est-elle compatible avec les termes de l’autorisation en vigueur ? ». Si elle ne l’est pas, une demande de modification ou de nouvelle autorisation doit être déposée avant toute mise en production.
B. MAÎTRISER EFFECTIVEMENT LA CHAÎNE DE COLLECTE, Y COMPRIS LES OPÉRATIONS CONFIÉES À DES TIERS
La délibération établit avec force que la délégation contractuelle ne décharge pas le responsable de traitement de sa responsabilité à l’égard des obligations qui lui incombent, notamment en matière d’information des personnes concernées lors d’une collecte indirecte. La formation restreinte a ainsi rappelé que « si la société a confié aux pharmaciens — seuls à être en contact direct avec les personnes concernées — le soin de délivrer cette information pour son compte, c’est bien à IQVIA qu’il appartient de s’assurer du respect de cette obligation, en tant que responsable de traitement ».
Ce principe, directement déduit de l’article 14 du RGPD relatif à l’information lors d’une collecte indirecte, impose une logique de contrôle effectif et non de simple délégation contractuelle. Il ne suffit pas d’insérer dans un contrat de partenariat une clause imposant au co-contractant de délivrer l’information préalable aux personnes concernées ; encore faut-il mettre en place des mécanismes concrets permettant de s’assurer que cette obligation est bien remplie — instructions détaillées, supports d’information standardisés, formation des partenaires, vérifications périodiques et, le cas échéant, audits ponctuels.
Les opérateurs qui s’appuient sur des réseaux de partenaires pour collecter des données — qu’il s’agisse de pharmacies, de médecins, d’agents commerciaux, de plateformes en marque blanche ou de distributeurs — doivent donc intégrer dans leur programme de conformité un volet spécifique dédié à la maîtrise de la chaîne de collecte indirecte. Ce volet devrait comprendre, au minimum : l’audit de l’effectivité de la délivrance de l’information préalable auprès d’un échantillon représentatif de partenaires ; un mécanisme de remontée d’information en cas de difficulté pratique ; et un dispositif de mise à jour des supports d’information lors de toute modification des conditions du traitement.
LE PRIVACY BY DESIGN EST UNE EXIGENCE, NON UNE POSTURE
La formation restreinte a retenu, à l’encontre d’IQVIA, un manquement à l’article 25 du RGPD relatif à la protection des données dès la conception (privacy by design). En l’occurrence, le module extracteur intégré aux logiciels de gestion d’officine transmettait les données des patients à IQVIA même en cas de refus du pharmacien d’alimenter l’entrepôt LRX. Ce défaut de conception — qui fait de la transmission de données le comportement par défaut du logiciel, indépendamment de la volonté du pharmacien partenaire — caractérise une violation manifeste du principe de privacy by default posé par l’article 25, §2 du RGPD.
Cet enseignement vaut pour tout responsable de traitement qui développe ou fait développer des outils techniques utilisés par des tiers dans le cadre de la collecte de données. Le cahier des charges imposé à un éditeur de logiciel ou à un prestataire technique doit impérativement intégrer les exigences de protection des données dès la phase de conception, et non les traiter comme un ajout ultérieur ou une simple vérification de conformité a posteriori. Il appartient au responsable de traitement de s’assurer, au stade de la recette du logiciel, que le comportement par défaut du système est conforme aux exigences du RGPD : collecte minimale, transmission sur action positive de l’utilisateur, impossibilité technique de contourner les mécanismes de refus.
Sur le plan contractuel, les clauses imposant aux éditeurs de logiciels ou aux sous-traitants techniques de concevoir leurs outils dans le respect des exigences de protection des données doivent être précises et contraignantes. Il ne suffit pas d’une référence générale au RGPD ou à la loi Informatique et Libertés ; il convient de lister les fonctionnalités spécifiques exigées — impossibilité de collecter sans consentement actif, blocage technique des transmissions non-autorisées, gestion des refus dans le flux de données — et de les soumettre à des tests de conformité documentés avant toute mise en production.
MFA ET ANALYSE DES JOURNAUX DE CONNEXION
La délibération confirme, en matière de sécurité des entrepôts de données de santé, les deux exigences déjà sanctionnées dans les délibérations SAN-2026-001 (Free Mobile) et SAN-2026-003 (France Travail). La formation restreinte a constaté que, pour les deux entrepôts LRX et EMR, « aucune mesure ne permettait d’analyser, de manière régulière, les journaux de connexions », et que, pour l’entrepôt EMR, « aucune authentification multifacteur n’était mise en œuvre pour accéder aux données ». Ces deux manquements, bien que remédiés au cours de la procédure, ont néanmoins pesé dans la détermination de l’amende.
L’authentification multifacteur (MFA) est désormais une exigence de conformité non-négociable pour tout accès à des entrepôts de données de santé. Au regard du régime d’autorisation applicable à ces entrepôts en vertu de l’article 66 de la loi Informatique et Libertés, les conditions d’accès constituent une composante essentielle des garanties imposées par l’autorisation. Toute organisation traitant des données de santé dans un entrepôt — qu’il soit autorisé par la CNIL ou conforme à un référentiel — doit s’assurer que l’accès à ces données n’est possible qu’après une authentification à deux facteurs au minimum, et que cette exigence s’applique sans exception à tous les utilisateurs, y compris les administrateurs et les prestataires.
L’analyse régulière des journaux de connexion est tout aussi indispensable. La simple conservation des logs, sans exploitation opérationnelle, est une conformité illusoire. Tout responsable de traitement d’un entrepôt de données de santé doit mettre en place un dispositif permettant de détecter en temps quasi-réel les accès anormaux : connexions en dehors des horaires habituels, volumétrie inhabituelle d’extraction, connexions depuis des adresses IP non-référencées, comptes d’utilisateurs partageant des accès simultanés. La recommandation de la CNIL sur la journalisation, publiée en 2021, fournit un cadre technique précis qui doit être regardé comme un standard minimal opposable.
E. RESPECTER SCRUPULEUSEMENT LA FRONTIÈRE ENTRE LES FINALITÉS AUTORISÉES ET LES FINALITÉS PROPRES
La délibération souligne un manquement d’une particulière gravité : IQVIA réalisait, pour son propre compte et à des fins commerciales, des études à partir des données de l’entrepôt LRX, « hors de tout cadre légal », alors même que l’autorisation n° 2018-289 « exclut expressément » ces traitements de son périmètre et renvoie à des formalités propres. La tentation d’exploiter un entrepôt de données au-delà des finalités déclarées est compréhensible pour un acteur dont le modèle économique repose sur la valorisation de données de santé ; elle n’en est pas moins illicite.
Ce manquement illustre une dérive que tout opérateur de données de grande dimension doit prévenir avec rigueur : le détournement progressif de finalité. Les données collectées pour une finalité autorisée ne peuvent être librement réutilisées à d’autres fins, même lorsque ces fins semblent compatibles ou connexes. Toute nouvelle finalité d’exploitation doit faire l’objet d’une analyse préalable rigoureuse au regard du principe de limitation des finalités posé par l’article 5, §1, point b) du RGPD, et, lorsque la nouvelle finalité n’est pas compatible avec la finalité initiale, d’une base légale propre — et, dans le domaine de la santé, d’une autorisation ou d’une conformité à un référentiel spécifique.
Sur le plan pratique, les responsables de traitement d’entrepôts de données de santé devraient établir une cartographie dynamique des usages, permettant de tracer en temps réel les études et analyses réalisées à partir de l’entrepôt, d’identifier leur finalité, de vérifier leur compatibilité avec l’autorisation en vigueur et de déclencher le processus de demande d’autorisation complémentaire le cas échéant. Ce dispositif de gouvernance interne des usages est d’autant plus nécessaire que les entrepôts de grande dimension peuvent faire l’objet de sollicitations multiples — études pour le compte de laboratoires pharmaceutiques, études internes, projets de recherche en partenariat — dont la multiplication rend difficile le contrôle des frontières entre finalités autorisées et non-autorisées.
F. GARANTIR L’EXACTITUDE DES MENTIONS D’INFORMATION DÉLIVRÉES AUX PERSONNES CONCERNÉES
La formation restreinte a relevé que la notice d’information de l’entrepôt EMR indiquait une durée de conservation non conforme aux termes de l’autorisation délivrée. Cette inexactitude n’était pas mineure : en mentionnant une durée calée sur « la durée de réalisation des études » sans préciser la durée de conservation en base active de dix ans prévue par l’autorisation, la notice privait les patients d’une information essentielle pour apprécier l’ampleur du traitement auquel leurs données de santé étaient soumises.
La complétude et l’exactitude des mentions d’information ne sont pas de simples exigences formelles ; elles conditionnent la capacité des personnes concernées à exercer effectivement leurs droits. Tout responsable de traitement doit procéder, à intervalles réguliers et systématiquement lors de toute modification du traitement ou de son cadre légal, à une vérification de la conformité des supports d’information aux conditions effectives du traitement. Cette vérification doit porter sur les durées de conservation mentionnées (en les confrontant aux durées réelles et aux éventuelles exigences issues d’autorisations ou de référentiels), sur les finalités déclarées, sur les bases légales invoquées et sur les droits exercés et leurs modalités pratiques.
CONSEILS AUX PERSONNES CONCERNÉES
A. COMPRENDRE LA NATURE DES DONNÉES TRANSMISES ET LE CADRE DANS LEQUEL ELLES LE SONT
La délibération SAN-2026-008 révèle qu’une proportion très significative de patients français — « plusieurs dizaines de millions » de personnes selon la formation restreinte — ont vu leurs données de santé collectées et versées dans les entrepôts LRX ou EMR d’IQVIA, souvent sans en être informées. Pour l’entrepôt LRX, les données transmises comprenaient, pour chaque patient, un identifiant unique permettant de suivre son « parcours de soin » au fil du temps, ainsi que les données relatives aux médicaments dispensés. Pour l’entrepôt EMR, les données incluaient un profil de santé extrêmement détaillé : « année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle, diagnostics, symptômes, allergies, poids, taille, pouls, prescriptions médicamenteuses, vaccins, examens, arrêts de travail ».
Les personnes qui fréquentent des pharmacies ou des cabinets de médecins généralistes partenaires d’IQVIA sont susceptibles d’avoir été concernées par ces traitements, sans avoir été informées de cette collecte — la CNIL ayant constaté que les officines partenaires contrôlées n’informaient leurs patients ni par voie d’affichage, ni à l’occasion de la délivrance des médicaments.
B. EXERCER SON DROIT D’OPPOSITION ET VÉRIFIER LES MODALITÉS PRATIQUES DE SON EXERCICE
L’article 66 de la loi Informatique et Libertés, combiné au RGPD, reconnaît aux personnes concernées un droit d’opposition à la collecte et au traitement de leurs données de santé dans le cadre d’entrepôts autorisés. Pour l’entrepôt EMR, la formation restreinte a précisément retenu que l’absence de « procédure permettant aux personnes de pouvoir exercer leur droit d’opposition de manière effective » constituait un manquement aux termes de l’autorisation délivrée, ayant donné lieu à injonction.
Les personnes concernées souhaitant s’opposer à la transmission de leurs données à IQVIA dans le cadre de l’entrepôt LRX peuvent exercer ce droit directement auprès de leur pharmacie partenaire ou auprès d’IQVIA, en adressant une demande formelle à l’adresse du DPO de la société. Pour l’entrepôt EMR, compte tenu de l’injonction prononcée et du délai de six mois accordé à la société pour mettre en œuvre une procédure effective, les personnes concernées sont fondées à solliciter d’IQVIA l’état d’avancement de la mise en conformité et les modalités pratiques d’exercice de ce droit.
C. SAISIR LA CNIL EN CAS DE DIFFICULTÉ DANS L’EXERCICE DES DROITS
La CNIL est compétente pour recevoir les plaintes des personnes qui estiment que leurs droits n’ont pas été respectés dans le cadre des traitements mis en œuvre par IQVIA. Cette compétence vaut tant en ce qui concerne l’exercice du droit d’information, du droit d’accès, du droit d’opposition ou du droit d’effacement. La CNIL peut notamment, dans le cadre de l’instruction des plaintes individuelles, enjoindre le responsable de traitement de donner suite à une demande restée sans réponse ou ayant fait l’objet d’un refus insuffisamment motivé. Si les manquements constatés au cours de la présente procédure ont déjà fait l’objet de sanctions, les personnes dont les droits seraient méconnus postérieurement à la décision — notamment dans le délai d’exécution des injonctions — demeurent fondées à saisir l’autorité de contrôle.
D. ENVISAGER UNE ACTION EN RESPONSABILITÉ CIVILE DEVANT LES JURIDICTIONS COMPÉTENTES
Les personnes ayant subi un préjudice du fait des manquements relevés par la formation restreinte — notamment du fait de l’absence d’information préalable à la collecte de leurs données de santé, ou du fait de l’impossibilité d’exercer effectivement leur droit d’opposition — peuvent engager la responsabilité civile d’IQVIA devant les juridictions compétentes, sur le fondement de l’article 82 du RGPD et des articles 1240 et 1241 du code civil. L’existence d’une délibération de sanction de la CNIL établissant les manquements caractérisés facilite considérablement la démonstration du fait fautif, même si elle ne préjuge pas de la nature et de l’étendue du préjudice individuel. Des actions en responsabilité individuelles ou collectives — notamment via les associations de défense des droits des personnes concernées, habilitées par l’article 80 du RGPD — peuvent être envisagées.
DIX ACTIONS PRIORITAIRES POST-DÉCISION
Les enseignements pratiques de la délibération SAN-2026-008 peuvent être résumés en dix actions prioritaires pour tout responsable de traitement d’un entrepôt de données de santé ou, plus généralement, pour tout opérateur ayant obtenu une autorisation ou une décision de conformité de la CNIL :
1. Procéder à un audit de conformité complet confrontant les termes de l’autorisation ou du référentiel applicable à l’état réel des pratiques — en matière de sécurité, d’information, de droits des personnes et de finalités — et documenter les écarts constatés.
2. Mettre en place ou vérifier l’effectivité de l’authentification multifacteur pour tous les accès aux systèmes traitant des données de santé, sans exception pour les comptes d’administration ou de prestataires.
3. Auditer les journaux de connexion et vérifier qu’un dispositif d’analyse régulière et automatisée est en place, avec des règles d’alerte paramétrées et des procédures de traitement des signaux anormaux.
4. Contrôler in situ, auprès d’un échantillon représentatif de partenaires de collecte (pharmacies, médecins, distributeurs), que l’information préalable aux personnes concernées est effectivement délivrée dans les formes et délais prévus.
5. Mettre à jour les supports d’information (notices, pages web, affichage en officine) pour s’assurer qu’ils reflètent exactement les conditions du traitement — durées de conservation, finalités, base légale, droits — et non une version générique ou approximative de celles-ci.
6. Revoir la conception des outils techniques de collecte pour s’assurer que le comportement par défaut est la non-transmission, et que la transmission n’est activée que par une action positive et délibérée du partenaire.
7. Cartographier l’ensemble des études et analyses réalisées à partir des entrepôts de données, les confronter aux finalités autorisées et identifier celles qui pourraient nécessiter une autorisation complémentaire ou une déclaration de conformité propre.
8. Vérifier que les procédures d’exercice des droits des personnes sont opérationnelles, testées et accessibles — et notamment que le droit d’opposition peut être exercé de manière effective, sans obstacle technique ou organisationnel.
9. Intégrer dans tous les contrats avec des éditeurs de logiciels ou des prestataires techniques des clauses précises imposant le respect des exigences de privacy by design et prévoyant des tests de conformité préalables à la mise en production.
10. Désigner un DPO ou renforcer le rôle du DPO existant dans le pilotage de la conformité post-autorisation, en lui attribuant un mandat formel de vérification périodique du respect des conditions des autorisations obtenues et un accès direct aux équipes techniques responsables des entrepôts.
POINTS ESSENTIELS
Par délibération du 26 mai 2026, la formation restreinte de la CNIL a sanctionné la société IQVIA OPERATIONS FRANCE — filiale française du groupe étasunien IQVIA, « leader mondial de la recherche clinique et de la donnée de santé » présent dans plus de cent pays — d’une amende administrative de 5 millions d’euros, assortie d’injonctions sous astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois. La décision sanctionne le non-respect, par la société, des conditions imposées par les deux autorisations que la CNIL lui avait délivrées — en 2018 pour l’entrepôt LRX (Longitudinal prescription data, alimenté par environ 14 000 officines partenaires) et en 2021 pour l’entrepôt EMR (Electronic medical records, alimenté par des données issues de cabinets de médecins généralistes) — ainsi que des manquements aux articles 14 et 25 du RGPD portant respectivement sur l’information des personnes lors d’une collecte indirecte et sur la protection des données dès la conception.
La délibération revêt une portée doctrinale de premier ordre en ce qu’elle tranche, pour la première fois dans le cadre d’une procédure de sanction, la question de la qualification de données pseudonymisées contenues dans un entrepôt de santé de grande dimension au regard de l’arrêt SRB rendu le 4 septembre 2025 par la CJUE (C-413/23). IQVIA avait en effet soutenu, en réaction à cet arrêt, que les données de ses entrepôts étaient anonymes et que le RGPD ne leur était donc pas applicable. La formation restreinte a rejeté sans ambiguïté cet argument en retenant que « ces données n’étaient pas anonymes, mais seulement pseudonymes, la réidentification des personnes concernées étant possible, avec des moyens raisonnables », au vu notamment de la profondeur des données collectées pour chaque patient pseudonymisé — identifiant unique, année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle, diagnostics, allergies, prescriptions, arrêts de travail — de la possibilité de les combiner avec des données publiquement accessibles et de la jurisprudence convergente du Conseil d’État (CE, 13 février 2026, n° 498628, 498629 et 498749). Elle a, en outre, relevé qu’avant la procédure, IQVIA n’avait jamais contesté traiter des données personnelles et avait elle-même sollicité les autorisations de la CNIL en cette qualité — ce qui prive l’argument de toute cohérence juridique.
Sur les manquements aux autorisations, la formation restreinte a constaté l’absence d’authentification multifacteur pour accéder aux données de l’entrepôt EMR et l’absence d’analyse régulière des journaux de connexion pour les deux entrepôts — manquements aux garanties de sécurité imposées par les deux autorisations. Elle a également relevé l’inexactitude des mentions de durée de conservation figurant dans la notice d’information de l’entrepôt EMR, ainsi que l’absence de procédure effective permettant l’exercice du droit d’opposition — deux points ayant donné lieu à injonctions. Pour l’entrepôt LRX, elle a en outre constaté que la société réalisait, pour son propre compte, des études « hors de tout cadre légal », l’autorisation excluant expressément ces traitements de son périmètre et renvoyant à des formalités propres, et que la conception du module extracteur intégré aux logiciels de gestion d’officine permettait la transmission des données « même en cas de refus » du pharmacien — constitutif d’un manquement à l’article 25 du RGPD. L’information des personnes (article 14 RGPD) : les contrôles effectués auprès de quatre officines parisiennes partenaires ont mis en évidence qu’« aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA » — manquement imputable à IQVIA en sa qualité de responsable de traitement, nonobstant la délégation contractuelle confiée aux pharmaciens.
Le montant de l’amende a été calculé sur la base du chiffre d’affaires consolidé du groupe IQVIA HOLDINGS INC. (15 milliards de dollars), conformément à la jurisprudence de la CJUE sur l’unité économique (C-383/23, Ilva A/S), en tenant compte de la gravité des manquements portant sur des données de santé « particulièrement sensibles », du nombre élevé de personnes concernées (« plusieurs dizaines de millions ») et de la position de l’opérateur sur son marché. La décision constitue, avec la délibération SAN-2026-001 (Free Mobile, 27 M€) et la délibération SAN-2026-003 (France Travail, 5 M€), un jalon supplémentaire dans la jurisprudence de la CNIL fixant les standards techniques et organisationnels — MFA, journalisation opérationnelle, privacy by design, information effective — désormais opposables à tout responsable de traitement de données de santé à grande échelle.
28.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats