CNIL | SAN-2026-008 | 26 MAI 2026 | AFFAIRE IQVIA OPERATIONS FRANCE |
DONNÉES DE SANTÉ HORS DE CONTRÔLE: IQVIA « LEADER MONDIAL DE LA DONNÉE DE SANTÉ » TRAITAIT DES DONNÉES DE MILLIONS DE PATIENTS À LEUR INSU ET SANS RESPECT DE LA SÉCURITÉ MINIMALE IMPOSÉE PAR LA SENSIBILITÉ DE TELLES INFORMATIONS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
PRÉSENTATION DES FAITS ET DE LA PROCÉDURE
A. L’OPÉRATEUR EN CAUSE ET SON ACTIVITÉ
La société IQVIA OPERATIONS FRANCE est une société par actions simplifiée à associé unique dont le siège social est situé 17 bis place des Reflets à Courbevoie (92400). Elle appartient au groupe étasunien IQVIA (anciennement QUINTILES et IMS HEALTH, INC.), présent dans plus de cent pays dans le monde et qui se présente, sur son site web, comme le « leader mondial de la recherche clinique et de la donnée de santé ». La société IQVIA OPERATIONS FRANCE exerce notamment une activité de conseil et de réalisation d’études, pour son propre compte ou pour le compte de laboratoires pharmaceutiques, en analysant l’activité des officines ainsi que le suivi des parcours de soins des patients.
La délibération précise que, en 2023, la société a réalisé un chiffre d’affaires de 152,6 millions d’euros, pour un résultat net de 23,3 millions d’euros. Sa société mère, IQVIA HOLDINGS INC., a réalisé pour la même année un chiffre d’affaires de 15 milliards de dollars (environ 12,9 milliards d’euros), pour un bénéfice de 1,3 milliard de dollars. Ce contexte financier de groupe multinational d’envergure est déterminant dans l’appréciation du montant de l’amende prononcée.
B. LES ENTREPÔTS DE DONNÉES DE SANTÉ AUTORISÉS PAR LA CNIL
Pour procéder à ses études, la société s’appuie sur deux entrepôts de données de santé que la CNIL l’a expressément autorisée à constituer :
—-L’entrepôt LRX (Longitudinal prescription data), alimenté par des données collectées auprès d’environ 14 000 officines, autorisé par la délibération n° 2018-289 du 12 septembre 2018. Sa finalité, telle que définie par l’autorisation, est de « mener des études non interventionnelles visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications ».
—-L’entrepôt EMR (Electronic medical records), alimenté par des données collectées auprès de médecins, autorisé par la délibération n° 2021-015 du 4 février 2021, aux fins de « mener des études sur l’évaluation et l’analyse des pratiques de soins en médecine générale ».
La délibération décrit précisément l’architecture technique des entrepôts. L’entrepôt LRX : lorsque le pharmacien enregistre les ventes de médicaments dans son logiciel de gestion d’officine (LGO), « un module intégré à ce logiciel (développé par l’éditeur du LGO pour le compte d’IQVIA et selon un cahier des charges fixé par cette dernière) permet d’extraire les données et de générer un flux, nommé Pharmastat. Ce flux comprend non seulement les données relatives aux ventes de médicaments mais également un code d’identification du patient, généré par le module extracteur à l’aide d’une fonction de hachage à partir de l’INS-C », ainsi que le prénom, l’année de naissance et le genre de la personne concernée. Ce code est transmis à deux tiers de confiance successifs, qui procèdent à un double hachage afin de réduire les risques de réidentification.
L’entrepôt EMR : sont collectées, pour les patients, des données d’identification — « année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle » — ainsi que des données de santé issues des consultations : « date de visite, diagnostic, symptômes, allergies, poids, taille, pouls, prescriptions médicamenteuses, vaccins, examens, arrêts de travail ». Ces données, issues de deux flux distincts ([Z+] et DA), sont versées dans l’entrepôt via une plateforme « Hub EMR » hébergée par un tiers de confiance certifié HDS.
C. L’ORIGINE DE LA PROCÉDURE ET SON DÉROULEMENT
La procédure trouve son origine dans la diffusion, sur une chaîne de télévision grand public, d’un reportage consacré aux données traitées par la société IQVIA — il s’agit en l’occurrence du magazine Cash Investigation. La CNIL a, le 17 mai 2021, publié sur son site web un communiqué rappelant le cadre légal applicable et a précisé que des contrôles seraient diligentés. Simultanément, « la CNIL a, après la diffusion du reportage, été saisie de plusieurs plaintes et signalements émanant de particuliers et d’associations, relatifs aux traitements mis en œuvre par la société IQVIA ».
Les contrôles sur site ont été menés en deux temps. Les 6 et 7 juillet 2021, une délégation a procédé à un contrôle sur place au siège de la société. Par ailleurs, les 24 septembre, 29 octobre et 26 novembre 2021, des contrôles sur place ont été menés auprès de six officines parisiennes partenaires de la société. La présidente de la Commission a désigné le rapporteur le 18 juillet 2024, soit plus de trois ans après la décision d’ouverture de l’instruction, circonstance ayant suscité une contestation procédurale de la société.
Le rapport de sanction a été notifié à la société le 31 mars 2025. La procédure contradictoire a été jalonnée de quatre jeux d’écriture déposés par la société IQVIA, dont un dépôt, le 7 octobre 2025, d’une analyse remettant en cause la qualification des données en cause — argument fondé sur l’arrêt SRB rendu par la CJUE le 4 septembre 2025 (CJUE, première chambre, 4 septembre 2025, C-413/23). L’instruction a été clôturée le 16 février 2026, et la formation restreinte a siégé le 26 mars 2026.
LES QUESTIONS PROCÉDURALES PRÉALABLES
A. LA QUESTION DE LA DURÉE DE LA PROCÉDURE AU REGARD DE L’ARTICLE 6 DE LA CEDH
La société IQVIA a soulevé une exception de procédure fondée sur la violation de son droit à un procès équitable, tel que garanti par l’article 6 de la Convention européenne des droits de l’homme. Elle faisait valoir que le délai de « trois ans et neuf mois » s’étant écoulé entre la décision de contrôle du 29 juin 2021 et la réception du rapport de sanction le 31 mars 2025 était excessif, compte tenu des critères de la Cour EDH : complexité de l’affaire, comportement des parties et enjeu du litige. Elle arguait notamment que, du fait de ces délais, elle « n’avait pu disposer du temps et des facilités nécessaires à la préparation de sa défense », plusieurs personnes présentes au moment des contrôles ayant entre-temps quitté la société.
La formation restreinte a écarté ce moyen en s’appuyant sur la jurisprudence du Conseil d’État, qui a jugé que « le principe des droits de la défense s’applique seulement à la procédure ouverte par la notification du rapport prévu par l’article 22 de la loi du 6 janvier 1978 […] et non aux diligences préalables effectuées par le rapporteur ou aux contrôles réalisés à sa demande » (CE, 10ème/9ème ch., 14 mai 2024, n° 472221, inédit). De même, la CEDH a précisé que « l’accusation » s’entend comme « la notification officielle, émanant de l’autorité compétente, du reproche d’avoir accompli une infraction » (CEDH, Deweer c. Belgique, 27 février 1980, n° 6903/75, point 46). La formation restreinte a relevé qu’il s’était écoulé moins d’un an entre la notification du rapport de sanction (date de l’« accusation » formelle) et la séance du 26 mars 2026, délai qu’elle considère non-déraisonnable au vu de la complexité du dossier.
Cette solution est juridiquement fondée. La délibération rappelle opportunément que la Cour EDH elle-même a estimé que « exiger que semblable enquête préparatoire soit assujettie aux garanties d’une procédure judiciaire énoncées à l’article 6 par. 1 gênerait indûment, en pratique, la réglementation efficace, dans l’intérêt public, d’activités financières et commerciales complexes » (CEDH, Saunders c. Royaume-Uni, 17 décembre 1996, n° 19187/91, § 67). Cependant, il est permis de s’interroger sur les conséquences pratiques d’un délai de vingt-et-un mois séparant le dernier contact de la délégation de contrôle avec la société et la désignation du rapporteur. Si la formation restreinte « regrette » ce délai, elle le justifie par la complexité du dossier tout en omettant que ce type d’attente prolongée est préjudiciable à l’effectivité de la sanction, susceptible d’affaiblir la portée dissuasive de la délibération au moment de sa notification.
B. LA MÉCONNAISSANCE ALLÉGUÉE DE LA CHARTE DES CONTRÔLES DE LA CNIL
La société faisait valoir que les délais contrevenaient aux principes édictés par la charte des contrôles de la CNIL, laquelle prévoit qu’« en cas de circonstances exceptionnelles allongeant le temps d’instruction du dossier, un courrier est adressé à l’organisme contrôlé ». La formation restreinte a écarté cet argument en relevant que la charte « n’a pas vocation à se substituer aux dispositions légales applicables » et ne prévoit pas de délai impératif entre la procédure de contrôle et la désignation d’un rapporteur. Elle a toutefois reconnu que l’absence de courrier d’information à la société constituait un « regret » sans pour autant « entacher la procédure d’une quelconque irrégularité ».
Cette position est cohérente avec la hiérarchie des normes, mais elle soulève une question de gouvernance interne. La charte des contrôles, bien que dépourvue de valeur normative contraignante, participe de la confiance légitime que les opérateurs peuvent placer dans les pratiques de la Commission. L’absence de toute communication pendant vingt-et-un mois, dans un contexte où la société avait fourni ses derniers éléments en octobre 2022, pourrait légitimement susciter une interrogation sur l’adéquation des ressources de l’autorité de contrôle à ses ambitions en matière de sanction.
ANONYMES OU PSEUDONYMES ?
A. L’ARGUMENT CENTRAL D’IQVIA FONDÉ SUR L’ARRÊT SRB
La défense d’IQVIA a reposé sur un argument d’une portée juridique considérable : à la suite de l’arrêt SRB de la CJUE du 4 septembre 2025, la société a soutenu que les données figurant dans les entrepôts LRX et EMR étaient anonymes et que, dès lors, les règles relatives à la protection des données personnelles étaient inapplicables et les autorisations délivrées étaient « de fait devenues sans objet ». Selon son interprétation de l’arrêt SRB, celui-ci aurait « clarifié le fait que la notion de données à caractère personnel est relative et non absolue » et qu’« un même ensemble de données peut constituer pour une entité A des données à caractère personnel […] et, pour une autre entité B, des données parfaitement anonymes ».
L’argument est techniquement sophistiqué et procède d’une lecture sélective de l’arrêt SRB. Il convient de rappeler les circonstances précises de cet arrêt : le Conseil de résolution unique (CRU) avait pseudonymisé des commentaires d’actionnaires et de créanciers, puis les avait transmis à un cabinet d’audit indépendant, en lui attribuant un code alphanumérique généré de manière aléatoire, sans possibilité de regrouper les commentaires d’une même personne. C’est dans ce contexte très particulier que la Cour a considéré que, pour ce destinataire, les données pouvaient ne plus présenter de caractère personnel.
B. LE REJET SANS AMBIGUÏTÉ PAR LA FORMATION RESTREINTE
La formation restreinte a rejeté l’argument d’IQVIA sur plusieurs fondements cumulatifs, qui méritent une analyse approfondie.
En premier lieu, elle a relevé que la société IQVIA n’était pas un simple destinataire de données pseudonymisées, mais le responsable de l’ensemble du traitement, y compris dès la phase de collecte auprès des pharmacies ou des médecins. Or, la CJUE elle-même a précisé dans l’arrêt SRB que « la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée » (point 87 de l’arrêt SRB, soulignement ajouté). Cette précision de la Cour — « personnes autres que le responsable de traitement » — constitue une distinction fondamentale qui prive d’emblée l’argumentation d’IQVIA de son fondement. La société IQVIA étant elle-même l’architecte du processus de pseudonymisation (« elle admet elle-même avoir “défini un processus global de flux et de pseudonymisation, via plusieurs process et plusieurs tiers de confiance”»), elle ne saurait se prévaloir de ce processus pour se soustraire à la qualification de données personnelles.
En deuxième lieu, la richesse des données traitées rend irréaliste toute prétention à l’anonymisation. La formation restreinte insiste sur le fait que l’entrepôt EMR contient, pour chaque patient pseudonymisé : « l’année de naissance, son sexe, sa situation matrimoniale, son nombre d’enfants, sa catégorie socio-professionnelle, sa ou ses dates de visite chez le médecin, le diagnostic posé, ses symptômes, ses allergies, son poids, sa taille, son pouls, ses prescriptions médicamenteuses, ses vaccins, ses examens ou encore ses arrêts de travail ». La combinaison de ces données avec un identifiant unique permettant un suivi longitudinal constitue une combinaison d’une densité informationnelle telle qu’elle ne résiste pas, selon l’avis 05/2014 du G29, au risque d’individualisation, qui correspond à « la possibilité d’isoler une partie ou la totalité des enregistrements identifiant un individu dans un ensemble de données ».
En troisième lieu, la formation restreinte a tiré argument de la jurisprudence très récente du Conseil d’État, qui, dans deux décisions du 13 février 2026 (CE, 10ème et 9ème chambres, 13 février 2026, n° 498628, 498629 et 498749, T.) relatives à des bases de données constituées par d’autres acteurs du marché à partir de données collectées auprès de médecins et d’officines pharmaceutiques, a confirmé que des données similaires — incluant « des éléments d’identification comme l’âge, le sexe ou la catégorie socio-professionnelle, ainsi que des données de santé » — « bien que pseudonymisées, n’étaient pas anonymisées ». Le Conseil d’État avait relevé qu’une « individualisation dans l’ensemble des données n’a[vait] nécessité que peu de temps et de moyens ».
En quatrième lieu, la formation restreinte a relevé qu’avant la production du rapport commandé à la société […] pour les besoins de la procédure de sanction, IQVIA n’avait « jamais contesté que les données figurant dans les entrepôts LRX et EMR étaient des données à caractère personnel » et avait elle-même sollicité les autorisations de la CNIL en cette qualité de responsable de traitement de données personnelles — ce qui démontre que l’argument de l’anonymisation constitue un revirement opportuniste consécutif à l’arrêt SRB, et non une conviction de longue date.
C. LES IMPLICATIONS DOCTRINALES DE LA QUALIFICATION RETENUE
La position de la formation restreinte s’inscrit dans la continuité de la jurisprudence de la CJUE sur la notion de données à caractère personnel. Depuis l’arrêt Breyer (CJUE, 2ème ch., 19 octobre 2016, C-582/14), la Cour a constamment rappelé que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ». L’arrêt OC c/ Commission européenne (CJUE, 6ème ch., 7 mars 2024, C-479/22) a précisé que « l’identification indirecte » implique que « des informations supplémentaires doivent être combinées avec les données en cause aux fins de l’identification », ce qui correspond précisément à la situation des entrepôts LRX et EMR. Le CEPD, dans sa décision contraignante 1/2021 relative au litige WhatsApp Ireland, a par ailleurs rappelé que « ce qui est pertinent pour que le RGPD s’applique, c’est-à-dire pour que les données soient considérées comme “à caractère personnel”, est plutôt de savoir si les données concernent une personne qui peut être identifiée, directement ou indirectement, et si le responsable du traitement ou un tiers a la capacité technique d’individualiser une personne concernée dans un ensemble de données », indépendamment de toute intention de réidentification.
La délibération SAN-2026-008 constitue ainsi un jalon doctrinal important en ce qu’elle précise que l’arrêt SRB, loin de renverser la présomption de caractère personnel des données pseudonymisées lorsque le responsable de traitement est lui-même l’architecte de la pseudonymisation, ne fait que confirmer que l’analyse doit être conduite au cas par cas, « au regard des faits de l’espèce, des caractéristiques des traitements en cause et du rôle occupé par les différents acteurs ».
LA RESPONSABILITÉ D’IQVIA DANS LA CONSTITUTION DES ENTREPÔTS
LA RESPONSABILITÉ DÈS LA COLLECTE EN OFFICINE
La société IQVIA prétendait n’être responsable de traitement qu’à compter de la réception des données sur la plateforme du second tiers de confiance, soutenant que les pharmaciens étaient seuls responsables de la transmission des données à la société [X]. La formation restreinte a rejeté cette fragmentation artificielle du traitement.
Elle a rappelé que le module extracteur intégré aux logiciels de gestion d’officine était « développé par les éditeurs de LGO, pour le compte exclusif de la société IQVIA, sur la base d’un cahier des charges établi par cette dernière », que le contrat conclu avec les éditeurs « désigne expressément [IQVIA] comme étant responsable de traitement, et les seconds comme étant ses sous-traitants », et que la norme Pharmastat était « définie par la société IQVIA, laquelle fixe notamment le format et la structuration des fichiers, la fréquence de la collecte et de la transmission, le devenir des données ». Ces éléments convergent pour établir qu’IQVIA « détermine à la fois la finalité (à savoir la construction d’un “flux LRX” aux fins d’alimenter l’entrepôt LRX) et les moyens » du traitement dès son origine.
La notice d’information à destination des patients, élaborée par IQVIA elle-même, conforte cette analyse : elle précise que « les données collectées par IQVIA sont traitées sur la base légale de l’intérêt légitime d’IQVIA (et de l’autorisation délivrée par la CNIL), en sa qualité de responsable de traitement ». La formation restreinte a en outre relevé que, lors du contrôle sur place, IQVIA « a confirmé être “responsable du traitement de l’entrepôt LRX ainsi que de son alimentation” ». La cohérence du raisonnement est irréprochable au regard des lignes directrices 07/2020 du CEPD, selon lesquelles la qualité de responsable de traitement « résulte d’une analyse des éléments factuels ou des circonstances de l’espèce et, en tant que telle, n’est pas négociable ».
LA MÊME LOGIQUE, LES MÊMES CONCLUSIONS
Le même raisonnement a été appliqué à l’entrepôt EMR. La société IQVIA soutenait que les médecins agissaient en qualité de responsables de traitement s’agissant de la communication des données de leurs patients. La formation restreinte a écarté cet argument en relevant qu’IQVIA « détermine à la fois la finalité (à savoir construire un flux permettant d’alimenter l’entrepôt EMR) et les moyens de ces opérations (en choisissant notamment de contracter avec tel ou tel acteur et en fixant les modalités de collecte des normes “Médical 21” et “Disease Analyzer”) ».
LES MANQUEMENTS RETENUS PAR LA FORMATION RESTREINTE
A. LES MANQUEMENTS AUX AUTORISATIONS DÉLIVRÉES (ARTICLE 66 LIL)
1. MANQUEMENTS AUX OBLIGATIONS DE SÉCURITÉ (ENTREPÔTS LRX ET EMR)
La formation restreinte a constaté que les traitements mis en œuvre ne respectaient pas les prescriptions de sécurité imposées par les autorisations délivrées. Pour les deux entrepôts, « aucune mesure ne permettait d’analyser, de manière régulière, les journaux de connexions », rendant impossible la détection efficace des activités anormales. Pour l’entrepôt EMR, « aucune authentification multifacteur n’était mise en œuvre pour accéder aux données ».
Ces manquements ne sont pas inédits dans la jurisprudence de la CNIL. La délibération SAN-2026-001 relative à Free Mobile avait déjà sanctionné, au titre de l’article 32 du RGPD, l’absence d’authentification multifacteurs pour l’accès à distance et l’inexploitation opérationnelle des journaux de connexion. La délibération SAN-2026-003 relative à France Travail avait pareillement insisté sur la nécessité d’une analyse régulière des journaux de connexion comme composante essentielle du principe de « défense en profondeur ». La cohérence de la jurisprudence de la CNIL sur ce point est désormais établie : l’absence de MFA et l’absence d’analyse opérationnelle des logs constituent des manquements manifestes aux obligations de sécurité dès lors que des données sensibles — a fortiori des données de santé — sont en jeu.
La société a démontré avoir remédié à ces manquements au cours de la procédure. La formation restreinte en a pris acte et n’a pas prononcé d’injonction sur ce point, tout en rappelant qu’« il appartient à la société de “s’assurer de façon continue que les mesures de sécurité mises en place permettent de garantir que les risques sur les personnes restent à un niveau acceptable” ».
2. INFORMATION INEXACTE DANS LA NOTICE EMR (DURÉE DE CONSERVATION)
La formation restreinte a relevé une inexactitude dans la notice d’information destinée aux patients de l’entrepôt EMR. À la question « Combien de temps vos données sont-elles conservées ? », la notice indique : « Vos données sont conservées pendant la durée de réalisation des études et analyses mises en œuvre par IQVIA et ses partenaires contractuels. Elles feront ensuite l’objet d’une procédure d’archivage sécurisée pour une durée conforme à la réglementation en vigueur ». Or, l’autorisation délivrée prévoit, non pas une durée indéterminée calée sur la réalisation des études, mais « une conservation en base active pendant une durée de dix ans, puis anonymisation ou suppression ». IQVIA avait elle-même confirmé à la délégation de contrôle que les données de l’entrepôt EMR étaient conservées pendant dix ans.
La formation restreinte a écarté l’argument de la société selon lequel la notice avait été soumise à la CNIL sans susciter de remarques, en rappelant que « [l]a délivrance d’une information complète et exacte aux personnes concernées est essentielle, en ce qu’elle seule permet à ces dernières d’avoir conscience que leurs données de santé sont versées et conservées dans des entrepôts privés de recherche pendant une durée relativement longue ».
3. ABSENCE DE PROCÉDURE D’EXERCICE EFFECTIF DU DROIT D’OPPOSITION (ENTREPÔT EMR)
La formation restreinte a constaté l’absence de mise en œuvre d’une procédure permettant aux personnes de pouvoir exercer leur droit d’opposition de manière effective L’entrepôt EMR. Les données étant collectées par des médecins : l’absence de mécanisme permettant aux patients de s’opposer directement au traitement constitue un manquement à l’autorisation, laquelle prévoyait des garanties spécifiques pour les droits des personnes. Des injonctions ont été prononcées sur ce point, la société devant y remédier dans un délai de six mois.
4. ÉTUDES RÉALISÉES POUR COMPTE PROPRE SANS CADRE LÉGAL (ENTREPÔT LRX)
La formation restreinte a retenu un manquement d’une particulière gravité : la société IQVIA réalisait, pour son propre compte, des études à partir des données figurant dans l’entrepôt LRX « hors de tout cadre légal ». L’autorisation n° 2018-289 relative à l’entrepôt LRX « exclut expressément » de son champ les études réalisées à partir de cet entrepôt et « rappelle que les traitements de données de santé à caractère personnel qui seront mis en œuvre ultérieurement à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont des traitements distincts qui doivent faire l’objet, par la société IQVIA, de formalités propres ».
La société invoquait une déclaration de conformité à la méthodologie de référence MR-004 déposée auprès de la CNIL le 31 juillet 2018. La formation restreinte a écarté cet argument en relevant que les conditions de la MR-004 n’étaient pas remplies, notamment faute d’une information préalable et individuelle des patients, condition sine qua non pour bénéficier de cette méthodologie.
B. LE MANQUEMENT À L’OBLIGATION D’INFORMATION DES PERSONNES (ARTICLE 14 DU RGPD)
1. L’ABSENCE D’INFORMATION PAR LES PHARMACIES PARTENAIRES
Les contrôles effectués auprès de quatre pharmacies partenaires ont révélé qu’« aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA ». Or, IQVIA avait confié aux pharmaciens le soin de délivrer cette information pour son compte. La formation restreinte a rappelé avec fermeté que « si la société a confié aux pharmaciens — seuls à être en contact direct avec les personnes concernées — le soin de délivrer cette information pour son compte, c’est bien à IQVIA qu’il appartient de s’assurer du respect de cette obligation, en tant que responsable de traitement ». L’article 14 du RGPD impose en effet au responsable de traitement de fournir, lors de la collecte indirecte de données, une information complète aux personnes concernées — obligation qui ne peut être allégée par une simple délégation contractuelle sans mécanisme de contrôle effectif.
C. LE MANQUEMENT AU PRINCIPE DE PROTECTION DES DONNÉES DÈS LA CONCEPTION (ARTICLE 25 DU RGPD)
La formation restreinte a retenu un manquement à l’article 25 du RGPD, relatif à la protection des données by design. En effet, la conception du logiciel de gestion d’officine intégrant le module extracteur était telle que les données des patients étaient transmises à IQVIA même en cas de refus du pharmacien de participer à la collecte. Ce défaut de conception ne peut être regardé que comme un manquement à l’obligation de mettre en place, dès la conception du traitement, des mesures techniques et organisationnelles garantissant que seules les données dont la transmission a été contractuellement acceptée sont effectivement collectées.
ANALYSE CRITIQUE DU RAISONNEMENT DE LA CNIL
UNE MOTIVATION EXEMPLAIRE DANS LA CONFRONTATION ENTRE ANONYMAT ET PSEUDONYMISATION
La délibération SAN-2026-008 se distingue par la qualité et la densité de sa motivation sur la question de la qualification des données. La formation restreinte a méthodiquement :
- Rappelé le cadre normatif : article 4, points 1 et 5 du RGPD, considérant 26, avis 05/2014 du G29 ;
- Exposé la jurisprudence de la CJUE : arrêts Breyer, OC c/ Commission européenne et SRB dans leur continuité, et non dans une opposition artificielle ;
- Confronté la situation concrète d’IQVIA aux conditions posées par l’arrêt SRB pour que les données pseudonymisées puissent perdre leur caractère personnel — conditions qui ne sont pas réunies en l’espèce ;
- Mobilisé la jurisprudence nationale : décisions du Conseil d’État du 13 février 2026 portant sur des bases de données parfaitement comparables.
Cette démarche rigoureuse confère à la délibération une autorité persuasive forte et constitue un précédent utile pour les futurs dossiers portant sur des bases de données pseudonymisées dans le secteur de la santé.
UNE APPRÉCIATION SÉVÈRE MAIS DÉFENDABLE DES MANQUEMENTS
La pluralité des manquements retenus — sécurité insuffisante, information inexacte, absence d’exercice effectif du droit d’opposition, études sans cadre légal, absence d’information par les pharmacies, conception défaillante des logiciels — donne l’impression d’une accumulation de griefs qui, pris isolément, seraient de gravité inégale. On peut toutefois souligner que la CNIL a pondéré son appréciation en tenant compte des mesures de remédiation apportées par la société pendant la procédure s’agissant des manquements de sécurité, conduisant à l’absence d’injonction sur ces points. Cette prise en compte du comportement postérieur du responsable de traitement, bien qu’elle ne soit pas expressément requise par l’article 83 du RGPD, s’inscrit dans une logique d’effectivité de la conformité.
LA JUSTE MESURE DE L’UNITÉ ÉCONOMIQUE
La formation restreinte a fondé le calcul de l’amende sur le chiffre d’affaires du groupe IQVIA HOLDINGS INC. (15 milliards de dollars, soit 12,9 milliards d’euros), en application de la jurisprudence de la CJUE relative à la notion d’« unité économique » (CJUE, cinquième chambre, C-383/23, Ilva A/S, points 22 à 29). Elle a rappelé « qu’il existe une présomption selon laquelle la société IQVIA HOLDINGS INC. exerce une influence déterminante sur le comportement de sa filiale » et que « le groupe IQVIA se présente […] comme une seule et unique entité, “leader mondial de la recherche clinique et de la donnée de santé”, traitant plus de 120 milliards de données de santé par an ».
Au regard d’un chiffre d’affaires de groupe de 12,9 milliards d’euros, une amende de 5 millions d’euros représente moins de 0,04 % du chiffre d’affaires annuel. Ce montant apparaît manifestement modéré, en particulier au regard du nombre de personnes concernées — « plusieurs dizaines de millions » — et de la nature des données traitées. Si la formation restreinte a pris soin de justifier ce montant par la combinaison de la gravité des manquements, de leur pluralité et des capacités financières de l’opérateur, il reste que la sanction ne saurait exercer un effet pleinement dissuasif au niveau du groupe que si son montant est réellement perçu comme significatif par rapport aux bénéfices économiques générés par les traitements en cause.
CONTEXTUALISATION JURISPRUDENTIELLE
A. LES PRÉCÉDENTS DE LA CNIL SUR LES ENTREPÔTS DE DONNÉES DE SANTÉ
La délibération SAN-2026-008 s’inscrit dans un corpus jurisprudentiel cohérent de la CNIL en matière de données de santé pseudonymisées. Dès 2014 (délibération de mise en demeure concernant l’ancien IMS Health France, ancêtre d’IQVIA), la CNIL avait engagé une première procédure sur des bases analogues, établissant que les données de prescription pharmaceutique, même pseudonymisées, devaient être regardées comme des données à caractère personnel. Cette position avait conduit IQVIA à solliciter les autorisations délivrées en 2018 et 2021 — ce qui rend d’autant plus significatif le revirement argumentaire de la société lors de la présente procédure.
La délibération SAN-2024-013 du 5 septembre 2024 relative à la société [Z], concernant des données de patients collectées auprès de médecins dans des conditions très similaires à celles de l’entrepôt EMR, avait déjà retenu un manquement à l’article 66 de la loi Informatique et Libertés et établi que ces données constituaient des données à caractère personnel — décision confirmée par le Conseil d’État le 13 février 2026 dans les décisions précitées.
B. LA CONVERGENCE DES JURISPRUDENCES CNIL ET CONSEIL D’ÉTAT
La délibération SAN-2026-008 présente la particularité de s’appuyer expressément sur des décisions du Conseil d’État rendues simultanément à son instruction (CE, 13 février 2026, n° 498628, 498629 et 498749, T.), ce qui traduit une convergence remarquable et bienvenue des jurisprudences de l’autorité de contrôle et du juge administratif sur la question de la nature des données de santé pseudonymisées collectées auprès de professionnels de santé. Cette convergence renforce la prévisibilité juridique pour les opérateurs du secteur et ferme la voie à l’argument, désormais définitivement écarté, selon lequel les bases de données de prescription et de dossiers médicaux pseudonymisés constitueraient des données anonymes.
L’INTÉGRATION DE L’IA DANS LES ENTREPÔTS DE SANTÉ
La présente affaire revêt une dimension prospective d’importance. Les entrepôts de données de santé de grande dimension sont désormais couramment utilisés pour entraîner des modèles d’intelligence artificielle en santé. La qualification de données pseudonymisées comme données à caractère personnel, confirmée par cette délibération, implique que tout traitement par IA réalisé à partir de tels entrepôts demeure soumis au cadre du RGPD et de la loi Informatique et Libertés, y compris l’obligation d’autorisation préalable ou de conformité à un référentiel pour les traitements de santé. Le recours à l’IA ne constitue donc pas un vecteur d’anonymisation : la profondeur des données sur lesquelles les modèles sont entraînés, combinée à la richesse des embeddings produits, peut au contraire accroître les risques de réidentification.
TABLEAU RÉCAPITULATIF DES DÉCISIONS ET DISPOSITIONS CITÉES
| Texte / Décision | Nature | Paragraphes de référence | Objet dans la délibération |
|---|---|---|---|
| RGPD, art. 4, pt. 1 | Disposition réglementaire | §§ 72, 95 | Définition des données à caractère personnel |
| RGPD, art. 4, pt. 5 | Disposition réglementaire | § 73 | Définition de la pseudonymisation |
| RGPD, art. 4, pt. 7 | Disposition réglementaire | § 51 | Définition du responsable de traitement |
| RGPD, art. 14 | Disposition réglementaire | §§ 11, 195 s. | Information des personnes lors de collecte indirecte |
| RGPD, art. 25 | Disposition réglementaire | §§ 11, 253 s. | Protection des données by design et by default |
| RGPD, art. 83 | Disposition réglementaire | §§ 280 s. | Critères de détermination du montant de l’amende |
| RGPD, considérant 26 | Disposition réglementaire | § 74 | Interprétation des données anonymes/pseudonymes |
| Art. 66, III, loi IIL | Disposition législative | §§ 11, 115 s. | Régime d’autorisation des traitements de santé |
| Délibération CNIL n° 2018-289 du 12 sept. 2018 | Autorisation CNIL | §§ 3, 35, 242 | Autorisation de l’entrepôt LRX |
| Délibération CNIL n° 2021-015 du 4 fév. 2021 | Autorisation CNIL | §§ 3, 41, 170 | Autorisation de l’entrepôt EMR |
| CJUE, C-582/14, Breyer, 19 oct. 2016 | Arrêt préjudiciel | § 78 | Définition de l’identifiabilité raisonnable |
| CJUE, C-40/17, Fashion ID, 29 juil. 2019 | Arrêt préjudiciel | § 50 | Définition du traitement par étapes |
| CJUE, C-479/22, OC c/ Commission, 7 mars 2024 | Arrêt préjudiciel | § 79 | Identification indirecte et données personnelles |
| CJUE, C-413/23, SRB, 4 sept. 2025 | Arrêt préjudiciel | §§ 80, 88-92 | Relativité du caractère personnel des données pseudonymes |
| CJUE, C-383/23, Ilva A/S | Arrêt | §§ 301, 305 | Calcul de l’amende sur CA de l’unité économique |
| CE, 10e/9e ch., 14 mai 2024, n° 472221 | Décision | § 21 | Application de l’art. 6 CEDH à la procédure CNIL |
| CE, 10e/9e ch., 19 juin 2020, n° 430810 | Décision | § 27 | Délai de réponse au rapport de sanction |
| CE, 13 fév. 2026, n° 498628, 498629, 498749, T. | Décision | § 81 | Données pseudonymisées de santé non anonymes |
| CNIL, SAN-2024-013, 5 sept. 2024 | Délibération sanction | § 85 | Données collectées auprès de médecins = données personnelles |
| Conseil constitutionnel, n° 2025-1154 QPC, 8 août 2025 | Décision QPC | Visa | Fondement constitutionnel |
| CEDH, Neumeister c. Autriche, 27 juin 1968, n° 1936/63 | Arrêt | § 19 | Point de départ du délai raisonnable |
| CEDH, Deweer c. Belgique, 27 fév. 1980, n° 6903/75 | Arrêt | § 19 | Définition de l’accusation |
| CEDH, Saunders c. Royaume-Uni, 17 déc. 1996, n° 19187/91 | Arrêt | § 23 | Non-applicabilité de l’art. 6 CEDH à l’enquête |
| CEDH, Fayed c. Royaume-Uni, 21 sept. 1994, n° 17101/90 | Arrêt | § 23 | Non-applicabilité de l’art. 6 CEDH à l’enquête |
| CEPD, Lignes directrices 07/2020, 7 juil. 2021 | Lignes directrices | § 51 | Notion de responsable de traitement |
| CEPD, Décision contraignante 1/2021, 28 juil. 2021 | Décision | § 95 | Notion d’identifiabilité / intention vs capacité |
| G29, Avis 05/2014, 10 avr. 2014 | Avis | §§ 75-76 | Critères de l’anonymisation (individualisation, corrélation, inférence) |
| MR-004 (méthodologie de référence CNIL) | Référentiel | §§ 239, 245 s. | Cadre alternatif pour études de santé |
POINTS ESSENTIELS
Par délibération du 26 mai 2026, la formation restreinte de la CNIL a sanctionné la société IQVIA OPERATIONS FRANCE — filiale française du groupe étasunien IQVIA, « leader mondial de la recherche clinique et de la donnée de santé » présent dans plus de cent pays — d’une amende administrative de 5 millions d’euros, assortie d’injonctions sous astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois. La décision sanctionne le non-respect, par la société, des conditions imposées par les deux autorisations que la CNIL lui avait délivrées — en 2018 pour l’entrepôt LRX (Longitudinal prescription data, alimenté par environ 14 000 officines partenaires) et en 2021 pour l’entrepôt EMR (Electronic medical records, alimenté par des données issues de cabinets de médecins généralistes) — ainsi que des manquements aux articles 14 et 25 du RGPD portant respectivement sur l’information des personnes lors d’une collecte indirecte et sur la protection des données dès la conception.
La délibération revêt une portée doctrinale de premier ordre en ce qu’elle tranche, pour la première fois dans le cadre d’une procédure de sanction, la question de la qualification de données pseudonymisées contenues dans un entrepôt de santé de grande dimension au regard de l’arrêt SRB rendu le 4 septembre 2025 par la CJUE (C-413/23). IQVIA avait en effet soutenu, en réaction à cet arrêt, que les données de ses entrepôts étaient anonymes et que le RGPD ne leur était donc pas applicable. La formation restreinte a rejeté sans ambiguïté cet argument en retenant que « ces données n’étaient pas anonymes, mais seulement pseudonymes, la réidentification des personnes concernées étant possible, avec des moyens raisonnables », au vu notamment de la profondeur des données collectées pour chaque patient pseudonymisé — identifiant unique, année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle, diagnostics, allergies, prescriptions, arrêts de travail — de la possibilité de les combiner avec des données publiquement accessibles et de la jurisprudence convergente du Conseil d’État (CE, 13 février 2026, n° 498628, 498629 et 498749). Elle a, en outre, relevé qu’avant la procédure, IQVIA n’avait jamais contesté traiter des données personnelles et avait elle-même sollicité les autorisations de la CNIL en cette qualité — ce qui prive l’argument de toute cohérence juridique.
Sur les manquements aux autorisations, la formation restreinte a constaté l’absence d’authentification multifacteur pour accéder aux données de l’entrepôt EMR et l’absence d’analyse régulière des journaux de connexion pour les deux entrepôts — manquements aux garanties de sécurité imposées par les deux autorisations. Elle a également relevé l’inexactitude des mentions de durée de conservation figurant dans la notice d’information de l’entrepôt EMR, ainsi que l’absence de procédure effective permettant l’exercice du droit d’opposition — deux points ayant donné lieu à injonctions. Pour l’entrepôt LRX, elle a en outre constaté que la société réalisait, pour son propre compte, des études « hors de tout cadre légal », l’autorisation excluant expressément ces traitements de son périmètre et renvoyant à des formalités propres, et que la conception du module extracteur intégré aux logiciels de gestion d’officine permettait la transmission des données « même en cas de refus » du pharmacien — constitutif d’un manquement à l’article 25 du RGPD. L’information des personnes (article 14 RGPD) : les contrôles effectués auprès de quatre officines parisiennes partenaires ont mis en évidence qu’« aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA » — manquement imputable à IQVIA en sa qualité de responsable de traitement, nonobstant la délégation contractuelle confiée aux pharmaciens.
Le montant de l’amende a été calculé sur la base du chiffre d’affaires consolidé du groupe IQVIA HOLDINGS INC. (15 milliards de dollars), conformément à la jurisprudence de la CJUE sur l’unité économique (C-383/23, Ilva A/S), en tenant compte de la gravité des manquements portant sur des données de santé « particulièrement sensibles », du nombre élevé de personnes concernées (« plusieurs dizaines de millions ») et de la position de l’opérateur sur son marché. La décision constitue, avec la délibération SAN-2026-001 (Free Mobile, 27 M€) et la délibération SAN-2026-003 (France Travail, 5 M€), un jalon supplémentaire dans la jurisprudence de la CNIL fixant les standards techniques et organisationnels — MFA, journalisation opérationnelle, privacy by design, information effective — désormais opposables à tout responsable de traitement de données de santé à grande échelle.
30.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats