CNIL | SAN-2026-008 | 26 MAI 2026 | AFFAIRE IQVIA OPERATIONS FRANCE |
DONNÉES DE SANTÉ HORS CONTRÔLE : IQVIA CONDAMNÉE À 5 MILLIONS D’EUROS POUR AVOIR BÂTI UN EMPIRE PHARMACEUTIQUE SUR L’IGNORANCE DES PATIENTS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
OÙ EST LA FRONTIÈRE ?
Q1. QUELLE EST LA DIFFÉRENCE ENTRE UNE DONNÉE PSEUDONYMISÉE ET UNE DONNÉE ANONYME AU SENS DU RGPD ?
La distinction entre pseudonymisation et anonymisation est fondamentale, et la délibération SAN-2026-008 en offre une illustration particulièrement pédagogique.
La pseudonymisation est définie à l’article 4, point 5 du RGPD comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires ». La donnée pseudonymisée reste une donnée à caractère personnel : le RGPD lui est pleinement applicable. La pseudonymisation est une mesure de sécurité qui réduit les risques d’identification, mais ne les supprime pas.
L’anonymisation est définie par le considérant 26 du RGPD comme un traitement par lequel « les données ont été rendues anonymes de telle manière que la personne concernée n’est pas ou n’est plus identifiable ». Une donnée véritablement anonyme échappe au champ d’application du RGPD. Elle suppose que le processus d’anonymisation soit irréversible et résiste aux trois tests posés par l’avis 05/2014 du G29 : le test d’individualisation (impossibilité d’isoler un individu dans la base), le test de corrélabilité (impossibilité de relier des données relatives au même individu) et le test d’inférence (impossibilité de déduire des informations sur un individu).
La formation restreinte a appliqué ces critères aux entrepôts LRX et EMR d’IQVIA et a conclu que les données qu’ils contenaient échouaient à tous les tests : l’existence d’un identifiant unique par patient (test d’individualisation), la profondeur des données collectées (test de corrélabilité) et la possibilité de les combiner avec des données publiques (test d’inférence) rendaient la réidentification possible avec des moyens raisonnables. Les données d’IQVIA étaient donc pseudonymisées, non anonymes, et restaient soumises au RGPD.
Q2. L’ARRÊT SRB DE LA CJUE DU 4 SEPTEMBRE 2025 PERMET-IL DE QUALIFIER DES DONNÉES PSEUDONYMISÉES D’ANONYMES POUR LEUR DESTINATAIRE ?
L’arrêt SRB (CJUE, 1ère ch., 4 septembre 2025, C-413/23) a introduit une nuance importante : dans certaines circonstances très particulières, des données pseudonymisées peuvent, pour un destinataire spécifique, ne plus présenter de caractère personnel si ce destinataire n’a aucun moyen de regrouper les informations ou de procéder à la réidentification.
Cette nuance est cependant d’application strictement limitée. Elle ne bénéficie qu’au destinataire qui n’est pas le responsable de traitement et qui, en raison de la façon dont les données lui ont été transmises, n’est objectivement pas en mesure de réidentifier les personnes. Dans l’affaire SRB, le destinataire était un cabinet d’audit indépendant qui avait reçu des commentaires affectés d’un code alphanumérique aléatoire, sans possibilité de regrouper les commentaires d’une même personne.
La situation d’IQVIA est radicalement différente : la société est elle-même l’architecte du processus de pseudonymisation. La CJUE, dans le même arrêt SRB, avait pris soin de préciser que « la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée » — formulation qui exclut expressément le responsable de traitement du bénéfice de cette nuance. IQVIA ayant défini les modalités de pseudonymisation, les flux de données, les identifiants et les tiers de confiance, elle ne pouvait en aucun cas se prévaloir de l’arrêt SRB pour soutenir que ses propres données étaient anonymes.
Q3. COMMENT APPRÉCIER CONCRÈTEMENT SI DES DONNÉES PSEUDONYMISÉES PRÉSENTENT UN RISQUE DE RÉIDENTIFICATION AVEC DES « MOYENS RAISONNABLES » ?
La formation restreinte, en s’appuyant sur le considérant 26 du RGPD, rappelle que « pour déterminer si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs » — notamment le coût de l’identification, le temps nécessaire, les technologies disponibles au moment du traitement et leur évolution prévisible.
Plusieurs indicateurs pratiques permettent d’évaluer ce risque :
La densité informationnelle de l’ensemble de données : Plus les données sont nombreuses et variées par individu pseudonymisé, plus le risque d’individualisation est élevé. L’entrepôt EMR d’IQVIA contenait, pour chaque patient, plus d’une dizaine d’attributs distincts (âge, sexe, diagnostic, prescriptions, poids, taille, etc.) — un profil si détaillé qu’il peut suffire à identifier un individu par simple comparaison avec des données publiques ou semi-publiques.
L’existence d’un identifiant transversal : La présence d’un identifiant unique permettant de suivre un même individu dans le temps (comme le code généré à partir de l’INS-C dans l’entrepôt LRX) facilite considérablement la réidentification, car il permet de reconstituer une trajectoire cohérente et de chercher une correspondance dans d’autres bases.
La possibilité de combinaison avec des données accessibles : Les bases de données publiques ou semi-publiques (réseaux sociaux, registres professionnels, données électorales, presse locale) permettent souvent de réidentifier des individus à partir d’un petit nombre d’attributs caractéristiques. L’avis 05/2014 du G29 citait déjà l’exemple d’une personne identifiable à partir de son seul code postal, son année de naissance et son sexe.
PARTIE 2 — LE RÉGIME D’AUTORISATION DES TRAITEMENTS DE DONNÉES DE SANTÉ
Q4. DANS QUELS CAS UN TRAITEMENT DE DONNÉES DE SANTÉ NÉCESSITE-T-IL UNE AUTORISATION DE LA CNIL ?
L’article 66.III de la loi Informatique et Libertés prévoit que certains traitements de données de santé ne peuvent être mis en œuvre qu’après autorisation de la CNIL. Il s’agit principalement des traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé qui ne sont pas couverts par un référentiel (MR-001, MR-003, MR-004, MR-005, MR-006) établi par la CNIL.
L’article 66.II prévoit une voie alternative : la conformité à un référentiel, qui dispense de demander une autorisation individuelle. Les méthodologies de référence (MR) définissent des cadres types permettant aux responsables de traitement de réaliser certaines catégories d’études sous réserve de respecter les conditions prévues par le référentiel et d’enregistrer une déclaration de conformité auprès de la CNIL.
En dehors de ces deux voies, tout traitement de données de santé à des fins de recherche, d’étude ou d’évaluation est interdit. La société IQVIA avait choisi la voie de l’autorisation pour ses deux entrepôts — ce qui lui imposait de respecter scrupuleusement les conditions posées par ces autorisations. Elle avait par ailleurs tenté de se prévaloir de la MR-004 pour certaines études réalisées pour son propre compte, sans en remplir les conditions préalables.
Q5. QUELLES SONT LES PRINCIPALES OBLIGATIONS IMPOSÉES PAR UNE AUTORISATION CNIL POUR UN ENTREPÔT DE DONNÉES DE SANTÉ ?
Une autorisation de la CNIL pour un entrepôt de données de santé comporte généralement des prescriptions détaillées dans plusieurs domaines :
Finalités autorisées : L’autorisation définit précisément les finalités pour lesquelles les données peuvent être traitées. Toute utilisation à d’autres fins — notamment la réalisation d’études pour compte propre lorsque l’autorisation ne le prévoit pas — constitue un manquement à l’article 66.III.
Mesures de sécurité : L’autorisation peut imposer des mesures de sécurité spécifiques, notamment en matière de contrôle des accès (authentification multifacteur), de journalisation, de chiffrement ou d’hébergement certifié HDS. Ces mesures sont contraignantes et leur non-respect constitue un manquement à l’autorisation, indépendamment de toute violation de données.
Information des personnes concernées : L’autorisation fixe les modalités selon lesquelles les personnes dont les données sont collectées doivent être informées — notamment lorsque la collecte est indirecte, via des professionnels de santé intermédiaires.
Droits des personnes : L’autorisation peut imposer des garanties spécifiques pour l’exercice des droits, notamment le droit d’opposition, dont les modalités pratiques doivent être précisément définies et opérationnelles.
Durées de conservation : L’autorisation fixe les durées de conservation en base active, au terme desquelles les données doivent être anonymisées ou supprimées. Ces durées s’imposent au responsable de traitement et doivent figurer exactement dans les supports d’information délivrés aux personnes concernées.
Q6. QUE RISQUE UN OPÉRATEUR QUI RÉALISE DES ÉTUDES À PARTIR D’UN ENTREPÔT DE SANTÉ AU-DELÀ DES FINALITÉS AUTORISÉES ?
L’opérateur s’expose à un double risque.
Sur le plan de la loi Informatique et Libertés, toute étude réalisée à partir de données de santé hors du cadre légal applicable — autorisation ou conformité à un référentiel — constitue un traitement de données de santé sans base légale, manquant à l’article 66.III. Ce manquement peut être sanctionné indépendamment de tout autre grief, comme le démontre la délibération SAN-2026-008.
Sur le plan du RGPD, le dépassement de finalité peut en outre caractériser une violation du principe de limitation des finalités posé par l’article 5, §1, point b) — les données personnelles ne devant être « collectées pour des finalités déterminées, explicites et légitimes » et ne pouvant être « traitées ultérieurement d’une manière incompatible avec ces finalités ».
La combinaison des deux griefs peut considérablement alourdir la sanction finale. Dans l’affaire IQVIA, ce manquement a été qualifié par la formation restreinte de particulièrement grave, en ce que la société avait connaissance de la limite imposée par son autorisation — qui l’excluait expressément — et l’avait délibérément franchie.
PARTIE 3 — L’INFORMATION DES PERSONNES LORS D’UNE COLLECTE INDIRECTE
Q7. QUELLES SONT LES OBLIGATIONS DU RESPONSABLE DE TRAITEMENT LORSQUE LES DONNÉES NE SONT PAS COLLECTÉES DIRECTEMENT AUPRÈS DES PERSONNES CONCERNÉES ?
L’article 14 du RGPD régit le régime de l’information lors d’une collecte indirecte. Il impose au responsable de traitement de fournir à la personne concernée, « dans un délai raisonnable après avoir obtenu les données à caractère personnel, et au plus tard dans le délai d’un mois », les informations suivantes au minimum :
—-L’identité et les coordonnées du responsable de traitement ;
—-Les coordonnées du délégué à la protection des données, le cas échéant ;
—-Les finalités du traitement et la base légale applicable ;
—-Les catégories de données traitées ;
—-Les destinataires ou catégories de destinataires des données ;
—-La durée de conservation ou les critères utilisés pour la déterminer ;
—-L’existence des droits d’accès, de rectification, d’effacement et d’opposition, ainsi que leurs modalités d’exercice ;
—-Le droit d’introduire une réclamation auprès d’une autorité de contrôle.
L’article 14 prévoit des exceptions à l’obligation d’information individuelle, notamment lorsque la personne concernée dispose déjà de l’information ou lorsque la fourniture de ces informations s’avère impossible ou exige des efforts disproportionnés — auquel cas la CNIL recommande une information par voie publique (affichage, publication sur un site web).
Q8. LE RESPONSABLE DE TRAITEMENT PEUT-IL DÉLÉGUER L’OBLIGATION D’INFORMATION À UN PARTENAIRE DE COLLECTE ? QUELLES PRÉCAUTIONS PRENDRE ?
La délibération SAN-2026-008 répond sans ambiguïté à cette question : la délégation contractuelle ne décharge pas le responsable de traitement de sa responsabilité en cas de non-exécution par le partenaire. La formation restreinte l’affirme explicitement : « si la société a confié aux pharmaciens — seuls à être en contact direct avec les personnes concernées — le soin de délivrer cette information pour son compte, c’est bien à IQVIA qu’il appartient de s’assurer du respect de cette obligation, en tant que responsable de traitement ».
La délégation est juridiquement admissible, à condition d’être assortie de mécanismes effectifs de contrôle. Pour être conforme, le responsable de traitement doit :
Rédiger des instructions précises et détaillées remises aux partenaires, décrivant le contenu exact de l’information à délivrer, les modalités (affichage, remise d’un document, information orale), le moment de sa délivrance et les supports standardisés à utiliser.
Organiser des contrôles périodiques effectifs auprès d’un échantillon représentatif de partenaires — visites sur site, envois de clients mystère, demandes de justificatifs photographiques d’affichage — permettant de vérifier que l’information est réellement délivrée.
Mettre en place un mécanisme de signalement permettant aux partenaires de remonter les difficultés pratiques rencontrées dans la délivrance de l’information et d’obtenir un soutien du responsable de traitement.
Prévoir des sanctions contractuelles en cas de manquement avéré du partenaire à cette obligation, et s’assurer que celles-ci sont effectivement appliquées.
Q9. LES MENTIONS D’INFORMATION SUR LA DURÉE DE CONSERVATION DOIVENT-ELLES REPRODUIRE EXACTEMENT LES TERMES DE L’AUTORISATION CNIL ?
La délibération SAN-2026-008 répond par l’affirmative avec une sévérité particulière. La formation restreinte a rejeté la formulation utilisée par IQVIA dans la notice EMR — « vos données sont conservées pendant la durée de réalisation des études et analyses » — en relevant qu’elle ne permettait pas à la personne concernée de comprendre concrètement la durée effective de conservation de ses données.
Le standard d’exactitude imposé est élevé : les mentions d’information doivent indiquer la durée de conservation précise — en base active, puis en archivage intermédiaire le cas échéant — telle qu’elle résulte des obligations légales, des termes de l’autorisation ou de la politique interne du responsable de traitement. Une formulation vague, circulaire ou imprécise ne satisfait pas à l’exigence de l’article 14.
La formation restreinte a également rappelé l’enjeu spécifique de cette information dans le contexte des données de santé : « la délivrance d’une information complète et exacte aux personnes concernées est essentielle, en ce qu’elle seule permet à ces dernières d’avoir conscience que leurs données de santé sont versées et conservées dans des entrepôts privés de recherche pendant une durée relativement longue ». La durée de conservation — dix ans en l’espèce — est une donnée matérielle qui peut influer sur la décision d’un patient d’exercer ou non son droit d’opposition.
PARTIE 4 — LE PRIVACY BY DESIGN ET LA MAÎTRISE DES OUTILS DE COLLECTE
Q10. LE RESPONSABLE DE TRAITEMENT EST-IL RESPONSABLE DES DÉFAUTS DE CONCEPTION DES LOGICIELS DÉVELOPPÉS POUR SON COMPTE PAR DES SOUS-TRAITANTS ?
Oui, sans réserve. La délibération SAN-2026-008 en apporte une démonstration particulièrement claire. Le module extracteur intégré aux logiciels de gestion d’officine était développé par des éditeurs tiers, mais selon un cahier des charges fixé par IQVIA et pour le compte exclusif d’IQVIA. La formation restreinte en a déduit qu’IQVIA « déterminait à la fois la finalité et les moyens » du traitement, y compris dès la phase de conception technique, et que sa responsabilité au titre de l’article 25 du RGPD était pleinement engagée.
Ce principe a des implications pratiques considérables pour tout responsable de traitement qui fait développer ou paramétrer des outils techniques par des tiers : l’intégration des exigences de privacy by design dans le cahier des charges devient une obligation légale, non un simple choix de bonne gouvernance. Le comportement par défaut du système — collecte ou non-collecte, transmission ou non-transmission — doit être conforme aux exigences du RGPD dès la mise en production, sous peine d’engager la responsabilité du donneur d’ordre.
En pratique, tout responsable de traitement qui fait développer un outil de collecte de données doit :
—-Inclure dans le cahier des charges des spécifications fonctionnelles précises sur les comportements par défaut ;
—-Prévoir une phase de recette incluant des tests de conformité RGPD ;
—-Documenter les tests réalisés et leurs résultats ;
—-Subordonner la mise en production à la validation de ces tests.
Q11. QU’EST-CE QUE LE « PRIVACY BY DEFAULT » ET EN QUOI DIFFÈRE-T-IL DU « PRIVACY BY DESIGN » ?
L’article 25 du RGPD distingue deux obligations complémentaires.
Le privacy by design (§1) impose d’intégrer les garanties de protection des données dès la conception du traitement — c’est-à-dire au moment de la détermination des finalités et des moyens, bien avant la mise en œuvre effective. Il s’agit d’une obligation de procédé : le responsable de traitement doit avoir pensé aux exigences de protection des données au moment où il décidait des modalités techniques et organisationnelles du traitement.
Le privacy by default (§2) impose que le comportement par défaut du système soit conforme aux principes de minimisation — c’est-à-dire que « seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées » par défaut, sans intervention active de l’utilisateur. Il s’agit d’une obligation de résultat : le système, tel qu’il fonctionne par défaut, doit limiter la collecte et la transmission aux données strictement nécessaires.
La violation constatée dans l’affaire IQVIA porte plus précisément sur le privacy by default : le module extracteur transmettait les données par défaut, y compris en cas de refus du pharmacien, sans qu’une action positive soit nécessaire pour activer la collecte. L’opposé de ce qu’exige l’article 25, §2.
PARTIE 5 — LES DROITS DES PERSONNES CONCERNÉES
Q12. COMMENT PUIS-JE EXERCER MON DROIT D’OPPOSITION AU TRAITEMENT DE MES DONNÉES PAR IQVIA ?
À la suite de la délibération SAN-2026-008, la société IQVIA a fait l’objet d’une injonction lui enjoignant de mettre en place, dans un délai de six mois, une procédure permettant aux personnes de « pouvoir exercer leur droit d’opposition de manière effective » pour l’entrepôt EMR. Cette injonction est assortie d’une astreinte de 10 000 euros par jour de retard.
Dès à présent, les personnes souhaitant exercer leur droit d’opposition peuvent adresser une demande écrite à IQVIA OPERATIONS FRANCE, à l’attention de son délégué à la protection des données, en précisant leur identité et les données dont elles demandent le retrait. La délibération indique que la notice d’information d’IQVIA précisait les coordonnées du DPO à cet effet.
Pour l’entrepôt LRX, les personnes peuvent également exercer leur droit d’opposition directement auprès de leur pharmacie partenaire, en demandant que leurs données ne soient plus transmises à IQVIA.
En cas d’absence de réponse ou de réponse insatisfaisante dans un délai d’un mois, les personnes peuvent saisir la CNIL d’une plainte.
Q13. LA CNIL PEUT-ELLE M’INDEMNISER DU PRÉJUDICE SUBI DU FAIT DES MANQUEMENTS D’IQVIA ?
Non. La CNIL est une autorité administrative indépendante dont le rôle est de réguler les traitements de données personnelles et de prononcer des sanctions. Elle n’est pas compétente pour indemniser les personnes physiques victimes de manquements à la réglementation sur la protection des données. La délibération le rappelle expressément : « La CNIL n’est toutefois pas compétente pour indemniser les personnes qui lui ont adressé une plainte. »
Les voies d’indemnisation disponibles sont :
Action en responsabilité civile devant les juridictions civiles de droit commun, sur le fondement de l’article 82 du RGPD — qui prévoit le droit de toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD d’en obtenir réparation du responsable de traitement ou du sous-traitant — et des articles 1240 et 1241 du code civil. La délibération SAN-2026-008, qui établit les manquements d’IQVIA, facilite la démonstration de la faute, même si elle ne préjuge pas de l’étendue du préjudice individuel.
Action collective via les associations habilitées par l’article 80 du RGPD, qui peuvent exercer des recours au nom des personnes concernées pour faire valoir leurs droits. Certaines associations de défense des droits des consommateurs ou des patients sont habilitées à cette fin.
Q14. PUIS-JE DEMANDER À IQVIA L’ACCÈS AUX DONNÉES DE SANTÉ QUI ME CONCERNENT DANS SES ENTREPÔTS ?
Oui. Le droit d’accès garanti par l’article 15 du RGPD est applicable aux traitements mis en œuvre par IQVIA dans le cadre de ses entrepôts LRX et EMR, comme à tout traitement de données à caractère personnel. Toute personne peut adresser à IQVIA une demande d’accès aux données la concernant, en justifiant de son identité.
La société doit répondre à cette demande dans un délai d’un mois, prorogeable de deux mois supplémentaires en cas de complexité ou de grand nombre de demandes. Elle doit notamment indiquer quelles catégories de données la concernant figurent dans ses entrepôts, l’origine de ces données, les finalités du traitement et les destinataires auxquels elles ont été communiquées.
Conseil pratique : Pour une demande relative à l’entrepôt LRX, il est utile de préciser le nom de la pharmacie ou des pharmacies que vous fréquentez habituellement et qui sont susceptibles d’être partenaires d’IQVIA, afin de faciliter la recherche.
PARTIE 6 — SÉCURITÉ DES ENTREPÔTS DE DONNÉES DE SANTÉ
Q15. QUELLES MESURES DE SÉCURITÉ LA CNIL CONSIDÈRE-T-ELLE COMME MINIMALES POUR UN ENTREPÔT DE DONNÉES DE SANTÉ ?
La délibération SAN-2026-008, combinée aux délibérations SAN-2026-001 (Free Mobile) et SAN-2026-003 (France Travail), permet de dégager un socle minimal de sécurité désormais opposable à tout opérateur d’entrepôt de données de santé :
L’authentification multifacteur (MFA) pour tout accès aux données — quelle que soit la modalité d’accès, depuis le réseau interne ou depuis l’extérieur. Dans le contexte des données de santé, qui relèvent de la catégorie particulière de l’article 9 du RGPD, la MFA est une exigence renforcée dont l’absence ne peut être compensée par d’autres mesures.
L’analyse régulière et automatisée des journaux de connexion, permettant de détecter en temps quasi-réel les accès anormaux : volumétrie inhabituelle d’extraction, connexions à des heures atypiques, accès depuis des adresses IP non-référencées, connexions multiples simultanées sur un même compte. La recommandation de la CNIL sur la journalisation (2021) fournit un cadre de référence opérationnel.
L’hébergement certifié HDS (Hébergeur de données de santé) pour les données de santé à caractère personnel traitées pour le compte de tiers, conformément à l’article L. 1111-8 du code de la santé publique.
Des politiques de gestion des habilitations rigoureuses, avec des accès strictement limités aux données nécessaires à l’exercice des fonctions de chaque utilisateur, et une revue périodique des droits accordés.
Des tests d’intrusion et audits de sécurité réguliers, permettant de vérifier l’efficacité des mesures mises en place et de détecter les vulnérabilités avant qu’elles ne soient exploitées.
Q16. LA REMÉDIATION DES MANQUEMENTS DE SÉCURITÉ EN COURS DE PROCÉDURE PERMET-ELLE D’ÉVITER LA SANCTION ?
Non, pas entièrement. La délibération SAN-2026-008 illustre précisément les effets de la remédiation en cours de procédure : la formation restreinte a pris acte des mesures correctives apportées par IQVIA s’agissant des manquements de sécurité (MFA pour l’entrepôt EMR, analyse des journaux de connexion), et en a déduit qu’il n’était pas nécessaire de prononcer d’injonction sur ces points. En revanche, les manquements ont été maintenus dans le calcul de l’amende.
La remédiation produit donc un effet atténuant sur les mesures correctrices prononcées (absence d’injonction, donc absence d’astreinte sur ce point), mais elle n’efface pas le manquement passé et n’empêche pas la formation restreinte de retenir ces faits comme circonstances justifiant une sanction pécuniaire. Plus les manquements de sécurité ont duré, plus ils concernent un volume important de données sensibles et plus leur maintien dans le calcul de l’amende peut peser sur le quantum final.
Le message pratique est double : remédier aux manquements identifiés dès que possible présente un intérêt incontestable (limitation des injonctions et astreintes), mais ne constitue pas une garantie d’exemption de sanction pécuniaire pour les manquements passés.
PARTIE 7 — CALCUL DE L’AMENDE ET NOTION D’UNITÉ ÉCONOMIQUE
Q17. COMMENT LA CNIL CALCULE-T-ELLE LE PLAFOND DE L’AMENDE LORSQUE LE RESPONSABLE DE TRAITEMENT EST UNE FILIALE D’UN GROUPE INTERNATIONAL ?
La formation restreinte a retenu, conformément à la jurisprudence de la CJUE (CJUE, C-383/23, Ilva A/S), le chiffre d’affaires du groupe IQVIA HOLDINGS INC. — 15 milliards de dollars, soit environ 12,9 milliards d’euros — comme base de calcul du plafond légal de l’amende, en lieu et place du seul chiffre d’affaires de la filiale française (152,6 millions d’euros).
Ce choix repose sur la notion d’unité économique : lorsqu’une filiale fait partie d’un groupe qui forme une entité économique intégrée, le plafond de l’amende doit être calculé sur la base du chiffre d’affaires consolidé de ce groupe, et non sur le seul chiffre d’affaires de l’entité juridique directement sanctionnée. La formation restreinte a relevé que « le groupe IQVIA se présente sur son site web comme une seule et unique entité, “leader mondial de la recherche clinique et de la donnée de santé”, traitant plus de 120 milliards de données de santé par an », et qu’« il existe une présomption selon laquelle la société IQVIA HOLDINGS INC. exerce une influence déterminante sur le comportement de sa filiale ».
Les implications pratiques de cette jurisprudence sont importantes pour les groupes internationaux : l’amende maximale applicable à une filiale peut être beaucoup plus élevée que ce que le seul chiffre d’affaires local suggère. Une filiale française dont le chiffre d’affaires est de 150 millions d’euros mais qui appartient à un groupe de 15 milliards de dollars peut théoriquement être exposée à une amende maximale de l’ordre de 260 millions d’euros (2 % du CA mondial pour les manquements visés à l’art. 83, § 4 du RGPD, ou 520 millions d’euros pour les manquements visés à l’art. 83, § 5).
POINTS ESSENTIELS
Par délibération du 26 mai 2026, la formation restreinte de la CNIL a sanctionné la société IQVIA OPERATIONS FRANCE — filiale française du groupe étasunien IQVIA, « leader mondial de la recherche clinique et de la donnée de santé » présent dans plus de cent pays — d’une amende administrative de 5 millions d’euros, assortie d’injonctions sous astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois. La décision sanctionne le non-respect, par la société, des conditions imposées par les deux autorisations que la CNIL lui avait délivrées — en 2018 pour l’entrepôt LRX (Longitudinal prescription data, alimenté par environ 14 000 officines partenaires) et en 2021 pour l’entrepôt EMR (Electronic medical records, alimenté par des données issues de cabinets de médecins généralistes) — ainsi que des manquements aux articles 14 et 25 du RGPD portant respectivement sur l’information des personnes lors d’une collecte indirecte et sur la protection des données dès la conception.
La délibération revêt une portée doctrinale de premier ordre en ce qu’elle tranche, pour la première fois dans le cadre d’une procédure de sanction, la question de la qualification de données pseudonymisées contenues dans un entrepôt de santé de grande dimension au regard de l’arrêt SRB rendu le 4 septembre 2025 par la CJUE (C-413/23). IQVIA avait en effet soutenu, en réaction à cet arrêt, que les données de ses entrepôts étaient anonymes et que le RGPD ne leur était donc pas applicable. La formation restreinte a rejeté sans ambiguïté cet argument en retenant que « ces données n’étaient pas anonymes, mais seulement pseudonymes, la réidentification des personnes concernées étant possible, avec des moyens raisonnables », au vu notamment de la profondeur des données collectées pour chaque patient pseudonymisé — identifiant unique, année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle, diagnostics, allergies, prescriptions, arrêts de travail — de la possibilité de les combiner avec des données publiquement accessibles et de la jurisprudence convergente du Conseil d’État (CE, 13 février 2026, n° 498628, 498629 et 498749). Elle a, en outre, relevé qu’avant la procédure, IQVIA n’avait jamais contesté traiter des données personnelles et avait elle-même sollicité les autorisations de la CNIL en cette qualité — ce qui prive l’argument de toute cohérence juridique.
Sur les manquements aux autorisations, la formation restreinte a constaté l’absence d’authentification multifacteur pour accéder aux données de l’entrepôt EMR et l’absence d’analyse régulière des journaux de connexion pour les deux entrepôts — manquements aux garanties de sécurité imposées par les deux autorisations. Elle a également relevé l’inexactitude des mentions de durée de conservation figurant dans la notice d’information de l’entrepôt EMR, ainsi que l’absence de procédure effective permettant l’exercice du droit d’opposition — deux points ayant donné lieu à injonctions. Pour l’entrepôt LRX, elle a en outre constaté que la société réalisait, pour son propre compte, des études « hors de tout cadre légal », l’autorisation excluant expressément ces traitements de son périmètre et renvoyant à des formalités propres, et que la conception du module extracteur intégré aux logiciels de gestion d’officine permettait la transmission des données « même en cas de refus » du pharmacien — constitutif d’un manquement à l’article 25 du RGPD. L’information des personnes (article 14 RGPD) : les contrôles effectués auprès de quatre officines parisiennes partenaires ont mis en évidence qu’« aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA » — manquement imputable à IQVIA en sa qualité de responsable de traitement, nonobstant la délégation contractuelle confiée aux pharmaciens.
Le montant de l’amende a été calculé sur la base du chiffre d’affaires consolidé du groupe IQVIA HOLDINGS INC. (15 milliards de dollars), conformément à la jurisprudence de la CJUE sur l’unité économique (C-383/23, Ilva A/S), en tenant compte de la gravité des manquements portant sur des données de santé « particulièrement sensibles », du nombre élevé de personnes concernées (« plusieurs dizaines de millions ») et de la position de l’opérateur sur son marché. La décision constitue, avec la délibération SAN-2026-001 (Free Mobile, 27 M€) et la délibération SAN-2026-003 (France Travail, 5 M€), un jalon supplémentaire dans la jurisprudence de la CNIL fixant les standards techniques et organisationnels — MFA, journalisation opérationnelle, privacy by design, information effective — désormais opposables à tout responsable de traitement de données de santé à grande échelle.
28.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats