CNIL | SAN-2026-008 | 26 MAI 2026 | AFFAIRE IQVIA OPERATIONS FRANCE |
DONNÉES DE SANTÉ HORS CONTRÔLE : IQVIA CONDAMNÉE À 5 MILLIONS D’EUROS POUR AVOIR BÂTI UN EMPIRE PHARMACEUTIQUE SUR L’IGNORANCE DES PATIENTS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Les entreplots de données de santé IQVIA : nature, architecture et cadre autorisatoire
IQVIA OPERATIONS FRANCE, filiale française du groupe américain IQVIA HOLDINGS INC. — présenté comme « le leader mondial de la recherche clinique et de la donnée de santé » —, exploite deux entrepôts de données de santé constitués en vertu d’autorisations spécifiques délivrées par la CNIL en application de l’article 66-III de la loi Informatique et Libertés. Le premier, LRX (Longitudinal prescription data), autorisé par la délibération n° 2018-289 du 12 juillet 2018, est alimenté par des données collectées auprès d’officines pharmaceutiques et porte sur les prescriptions délivrées aux patients. Le second, EMR (Electronic medical records), autorisé par la délibération n° 2021-015 du 4 février 2021, est quant à lui alimenté par des données issues de médecins partenaires.
L’architecture de ces entrepôts est celle d’une collecte indirecte organisée : les patients ne transmettent pas leurs données directement à IQVIA, mais à l’occasion d’actes ordinaires de santé — une ordonnance récupérée en pharmacie, une consultation médicale. Ce caractère indirect de la collecte revêt une importance juridique centrale dans la délibération, car c’est lui qui conditionne l’applicabilité de l’article 14 du RGPD, relatif à l’obligation d’information en cas de collecte indirecte. La société s’appuyait contractuellement sur ses partenaires — officines et médecins — pour assurer la délivrance de cette information aux patients. Les contrôles ont démontré que cette délégation de fait était défaillante.
Le groupe IQVIA réalise au niveau mondial un chiffre d’affaires de 15 milliards de dollars, pour un bénéfice de 1,3 milliard de dollars. La filiale française, IQVIA OPERATIONS FRANCE, a réalisé en 2023 un chiffre d’affaires de 152,6 millions d’euros pour un résultat net de 23,3 millions d’euros. L’ampleur de ces ressources financières et techniques est explicitement retenue par la formation restreinte comme un facteur aggravant de l’appréciation de la négligence, dans la mesure où la société disposait des moyens de se conformer aux obligations que ses autorisations lui imposaient.
II.
L’origine de la procédure : un reportage télévisé, des plaintes en cascade et des contrôles ciblés
La procédure trouve son origine dans un événement exogène : la diffusion d’un reportage sur une chaîne de télévision grand public, dont une partie consacrée aux traitements mis en œuvre par la société IQVIA. À la suite de ce reportage, la CNIL a publié, le 17 mai 2021, un communiqué rappelant le cadre légal applicable aux entrepôts de données de santé autorisés par ses soins et annonçant la conduite de contrôles. Parallèlement, des plaintes et signalements émanant de particuliers et d’associations ont été reçus par la CNIL, portant sur les pratiques de la société.
Les 6 et 7 juillet 2021, une délégation de la CNIL a procédé à un contrôle sur place au siège d’IQVIA OPERATIONS FRANCE. Ce contrôle était centré sur le respect des dispositions de la loi du 6 janvier 1978 modifiée et du RGPD. Des contrôles complémentaires ont ensuite été menés les 24 septembre, 29 octobre et 26 novembre 2021 auprès de six officines parisiennes partenaires de la société. Ces contrôles croisés — auprès de la société et auprès de ses partenaires en aval — ont révélé une série d’écarts entre les conditions posées par les autorisations et la réalité des pratiques de traitement.
Après plusieurs années d’instruction — marquées notamment par l’intervention de la décision QPC du Conseil constitutionnel du 8 août 2025 et de l’arrêt de la CJUE dit arrêt SRB du 4 septembre 2025 sur la notion de données personnelles —, le rapport de sanction a été notifié à la société le 31 mars 2025. La procédure contradictoire a été particulièrement longue et riche en échanges d’écritures, la clôture de l’instruction n’intervenant que le 16 février 2026, pour une séance devant la formation restreinte fixée au 26 mars 2026.
III.
Le premier manquement : le non-respect des conditions posées par les autorisations CNIL (article 66 loi Informatique et Libertés)
L’article 66-III de la loi Informatique et Libertés constitue le socle normatif spécifique du secteur de la santé en matière de données personnelles : les traitements de données de santé ne peuvent être mis en œuvre qu’après autorisation de la CNIL, ou sous condition de conformité à un référentiel ou à une méthodologie de référence. IQVIA avait bien sollicité et obtenu des autorisations spécifiques pour constituer les entrepôts LRX et EMR. La transgression ne réside donc pas dans le défaut d’autorisation, mais dans le non-respect des conditions que ces autorisations imposaient.
S’agissant de l’entrepôt LRX, la formation restreinte a constaté que des études étaient réalisées par la société à partir de cet entrepôt sans que ces études disposent d’une autorisation CNIL propre, ni ne soient conformes à la méthodologie de référence MR-004 applicable. La méthodologie de référence MR-004 encadre précisément les conditions dans lesquelles des études non interventionnelles utilisant des données de santé à caractère personnel peuvent être réalisées sans autorisation individuelle — à condition d’en respecter strictement le cahier des charges. IQVIA menait des études en dehors de ce cadre, sans en avoir ni l’autorisation ad hoc ni la conformité aux exigences de la MR-004.
S’agissant de la sécurité des deux entrepôts, les contrôles ont révélé que les obligations de sécurité prévues par les autorisations n’étaient pas respectées. Pour les entrepôts LRX et EMR, aucune mesure ne permettait d’analyser, de manière régulière, les journaux de connexions, rendant impossible la détection efficace des activités anormales. Pour l’entrepôt EMR spécifiquement, aucune authentification multifacteur (MFA) n’était mise en œuvre pour accéder aux données — alors que cette mesure figurait parmi les exigences de l’autorisation. Ces carences sont d’une gravité particulière compte tenu du secteur d’activité et de la sensibilité des données traitées, expressément qualifiées de données relevant de l’article 9 du RGPD.
IV.
Le deuxième manquement : le défaut d’information des personnes concernées (article 14 RGPD)
L’article 14 du RGPD régit l’obligation d’information en cas de collecte indirecte : lorsque les données à caractère personnel n’ont pas été collectées directement auprès de la personne concernée, le responsable de traitement doit lui fournir un ensemble d’informations précisément listées — notamment les finalités et la base juridique du traitement, les catégories de données concernées, les éventuels destinataires, la durée de conservation. Le dispositif IQVIA repose structurellement sur une collecte indirecte : les patients d’officines et de médecins n’ont jamais directement sollicité la transmission de leurs données à la société.
S’agissant de l’entrepôt EMR, la formation restreinte a établi que les patients dont les données étaient collectées n’étaient pas destinataires d’une information exacte et complète sur les traitements réalisés, notamment s’agissant de la durée de conservation. Par ailleurs, aucune mesure permettant d’assurer la prise en compte effective du droit d’opposition des patients n’avait été mise en place — les patients ne disposaient d’aucun mécanisme leur permettant de s’opposer directement auprès de leur médecin à la transmission de leurs données à la société IQVIA.
S’agissant de l’entrepôt LRX, alimenté par les officines partenaires, IQVIA s’appuyait sur des engagements contractuels de ces officines pour assurer l’information des patients. Les contrôles croisés menés auprès de six officines parisiennes ont démontré que ces engagements n’étaient pas tenus en pratique. La formation restreinte rappelle que la délégation contractuelle ne saurait exonérer le responsable de traitement de sa responsabilité : « elle demeure en définitive responsable de la délivrance effective de cette information ». Le manquement est donc entièrement imputable à IQVIA, nonobstant la défaillance de ses partenaires.
La formation restreinte retient une gradation dans la gravité de ce manquement. Elle considère comme particulièrement grave l’absence d’information permettant aux patients d’exercer leurs droits, compte tenu du contexte de collecte — maladie, urgence, stress — susceptible de réduire leur vigilance. Elle considère en revanche que l’inexactitude de l’information fournie sur la durée de conservation revêt une gravité moindre, tout en constituant néanmoins un manquement constitué.
V.
Le troisième manquement : le défaut de privacy by design (article 25 RGPD)
L’article 25 du RGPD impose au responsable de traitement de mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées pour garantir la protection des données dès la conception (privacy by design) et par défaut (privacy by default). Ce principe constitue l’une des expressions les plus avancées du principe de responsabilisation (accountability) introduit par le RGPD.
Le manquement constaté porte sur les modules d’extraction des données intégrés aux logiciels de gestion d’officine (LGO). Ces modules, développés pour le compte d’IQVIA par les éditeurs de LGO, permettaient d’extraire les données des patients et de les transmettre à la société. Or, ces modules ne distinguaient pas les patients pour lesquels le pharmacien avait consenti à la transmission de leurs données de ceux pour lesquels le pharmacien avait refusé cette transmission. En d’autres termes : même lorsqu’un pharmacien refusait explicitement de transmettre les données d’un patient, le module logiciel procédait quand même à l’extraction.
La formation restreinte souligne que la société « avait entièrement la main sur les modules d’extraction des données, développés en son nom et pour son compte par les éditeurs de LGO ». Cette maîtrise technique totale lui imposait de garantir que ces modules ne procèdent à aucune extraction contraire à la volonté exprimée des pharmaciens partenaires. L’absence de toute mesure organisationnelle ou technique permettant d’assurer le respect des refus de transmission constitue une violation caractérisée du principe de protection des données dès la conception, d’autant plus difficilement explicable que la société disposait des ressources techniques et financières pour y remédier.
VI.
La question centrale de la qualification des données : pseudonymes vs. anonymes — l’impact de l’arrêt SRB de la CJUE
L’un des éléments les plus remarquables et les plus novateurs sur le plan doctrinal de la délibération SAN-2026-008 concerne la question de la qualification des données figurant dans les entrepôts LRX et EMR. Dans le cadre de la procédure de sanction, en réaction directe à l’arrêt rendu par la Cour de justice de l’Union européenne le 4 septembre 2025 (arrêt SRB), IQVIA a soutenu que ces données étaient anonymes et que, dès lors, les règles relatives à la protection des données personnelles n’étaient pas applicables.
L’arrêt SRB de la CJUE a précisé les critères permettant de déterminer si des données doivent être qualifiées de données à caractère personnel en présence d’un identifiant indirect. La formation restreinte a appliqué ces critères aux données figurant dans les entrepôts IQVIA et est parvenue à la conclusion inverse de celle soutenue par la société : les données sont pseudonymes, non anonymes, et restent donc pleinement soumises au régime du RGPD.
Le raisonnement de la formation restreinte s’articule autour de trois éléments factuels déterminants. Premièrement, chaque patient se voit attribuer un identifiant unique dans chaque entrepôt, permettant de suivre son parcours de soins dans le temps — ce qui permet en soi une forme de réidentification. Deuxièmement, la profondeur et la richesse des données collectées — année de naissance, sexe, informations relatives au médecin consulté et aux prescriptions, ainsi que, pour l’EMR, la situation matrimoniale, le nombre d’enfants, la catégorie socio-professionnelle, le diagnostic posé, les symptômes, les allergies, le poids, la taille, le pouls, les vaccins, les examens ou encore les arrêts de travail — confèrent à l’ensemble un pouvoir de réidentification manifeste. Troisièmement, la combinaison des données détenues par IQVIA avec des données publiquement accessibles permettrait une réidentification des personnes concernées.
La formation restreinte rappelle par ailleurs que « jusqu’à l’arrêt SRB, la société n’avait jamais contesté traiter des données personnelles, et qu’elle avait à cet égard sollicité et obtenu des autorisations de la CNIL, qu’elle se devait de respecter ». Cette observation neutralise opportunément l’argument de la société : on ne saurait invoquer a posteriori l’anonymat de données que l’on a soi-même présentées comme personnelles pour en obtenir l’autorisation de traitement.
VII.
L’appréciation de la gravité et le rôle du secteur d’activité dans la caractérisation de la négligence
Pour apprécier la gravité des manquements et statuer sur le prononcé d’une amende administrative, la formation restreinte applique les critères de l’article 83, paragraphe 2, du RGPD et met en évidence plusieurs éléments d’aggravation significatifs.
Le caractère massif des traitements constitue le premier facteur aggravant. La plaquette de présentation du traitement LRX à destination des pharmaciens fait référence à 20 millions de patients suivis dans le temps. Pour l’entrepôt EMR, la société a évoqué les données de patients de 2 000 médecins partenaires, sa plaquette commerciale mentionnant même 3 000 médecins partenaires. Le nombre total de personnes concernées — plusieurs dizaines de millions — est qualifié de « particulièrement élevé ». Certains manquements, notamment ceux relatifs à la sécurité et à la confidentialité, affectent potentiellement l’intégralité de ces personnes.
Le caractère particulièrement sensible des données constitue le deuxième facteur. La formation restreinte rappelle que l’ensemble des données est relatif à la santé des personnes et constitue des données sensibles au sens de l’article 9 du RGPD, bénéficiant d’une protection particulière. Elle cite à cet égard le rapport de l’ANSSI sur l’état de la menace informatique dans le secteur de la santé (7 novembre 2024), soulignant que les entités de ce secteur « sont détentrices de données de nature variée, qui incluent des données personnelles, médicales, d’authentification, de paiement, et stratégiques […] qui ont une valeur importante à la revente ».
La position de la société sur le marché constitue le troisième facteur. IQVIA est le premier acteur privé à avoir été autorisé par la CNIL à mettre en œuvre un entrepôt de données de santé en considération d’une finalité d’intérêt public. Cette primauté, loin d’atténuer les exigences, les renforce : « elle aurait dû, à ce titre, se montrer d’autant plus irréprochable quant au respect des termes de l’autorisation délivrée ». La formation restreinte considère en outre que « la multiplicité des manquements relevés témoigne d’une négligence certaine de la part de la société », d’autant que les conditions posées par les autorisations étaient rédigées en des termes très clairs.
Un élément atténuant est néanmoins pris en compte : les données figurant dans les entrepôts LRX et EMR étaient pseudonymisées et non directement identifiantes. Bien que restant des données sensibles, les mesures prises pour garantir leur non-attribution à une personne précise sans recours à des informations complémentaires sont retenues au stade de l’appréciation de la sanction.
VIII.
Le dispositif injonctionnel : quatres axes de remédiation imposés
La formation restreinte prononce quatre injonctions distinctes, correspondant aux quatre branches des manquements retenus. Pour le manquement relatif à la sécurité des données — obligation de sécurité des entrepôts LRX et EMR —, la formation restreinte relève que la société a dûment justifié avoir mis en place des mesures permettant d’assurer le respect des prescriptions des autorisations délivrées. Il n’y a donc pas lieu de prononcer une injonction sur ce point, la situation ayant été régularisée dans l’intervalle. La formation restreinte rappelle toutefois que l’obligation de sécurité est continue et nécessite une réévaluation régulière des risques.
S’agissant du manquement à l’article 14 du RGPD (entrepôt LRX), la société doit prendre des mesures permettant de s’assurer que les officines partenaires respectent leurs engagements contractuels et informent les patients de la transmission de leurs données à IQVIA. S’agissant de l’entrepôt EMR, deux obligations distinctes sont imposées : délivrer aux patients une information exacte et complète — notamment sur la durée de conservation — et mettre en œuvre des mesures permettant la prise en compte effective du droit d’opposition, par exemple en permettant aux patients de s’opposer directement auprès de leur médecin. S’agissant des études réalisées à partir de l’entrepôt LRX, la société doit cesser de procéder à de telles études en l’absence d’une autorisation CNIL ou en l’absence de conformité à la méthodologie de référence MR-004. Enfin, s’agissant du manquement à l’article 25 du RGPD, la société doit mettre en œuvre des mesures organisationnelles et techniques permettant de s’assurer que les modules intégrés aux logiciels de gestion d’officine n’extraient pas les données des patients lorsque le pharmacien a refusé la transmission.
IX.
Portée doctrinale : le premier précédent CNIL sur les entrepôts de données de santé à grande échelle
La délibération SAN-2026-008 constitue la première décision de sanction de la CNIL portant directement sur un entrepôt de données de santé autorisé par ses soins. Elle trace une doctrine d’exigence particulièrement forte pour les acteurs privés du secteur : l’autorisation d’un traitement de données de santé délivrée par la CNIL n’est pas un blanc-seing mais un cahier des charges contraignant, dont le respect continu est une obligation légale — et non une simple bonne pratique.
Sur la question de la pseudonymisation, la délibération fixe une ligne de conduite claire à la suite de l’arrêt SRB : la qualification d’anonymat suppose une impossibilité pratique et raisonnable de réidentification, qui ne saurait être caractérisée lorsque les données comportent un identifiant unique par patient, une profondeur de données suffisante pour croiser avec des sources publiques, et que le responsable de traitement lui-même s’est prévalu de leur caractère personnel pour solliciter les autorisations nécessaires. Cette position constitue un rempart doctrinal important contre les tentatives d’échapper au champ du RGPD par une requalification a posteriori en données anonymes.
La délibération illustre par ailleurs l’articulation entre le régime spécifique de la loi Informatique et Libertés pour les données de santé (article 66) et les principes généraux du RGPD (articles 14 et 25). Elle confirme que le respect des conditions posées par une autorisation de traitement de données de santé s’analyse à la fois au regard du droit sectoriel (article 66) et des dispositions horizontales du RGPD — et que la méconnaissance des premières peut constituer simultanément une violation des secondes.
POINTS ESSENTIELS
Par délibération du 26 mai 2026, la formation restreinte de la CNIL a sanctionné la société IQVIA OPERATIONS FRANCE — filiale française du groupe étasunien IQVIA, « leader mondial de la recherche clinique et de la donnée de santé » présent dans plus de cent pays — d’une amende administrative de 5 millions d’euros, assortie d’injonctions sous astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois. La décision sanctionne le non-respect, par la société, des conditions imposées par les deux autorisations que la CNIL lui avait délivrées — en 2018 pour l’entrepôt LRX (Longitudinal prescription data, alimenté par environ 14 000 officines partenaires) et en 2021 pour l’entrepôt EMR (Electronic medical records, alimenté par des données issues de cabinets de médecins généralistes) — ainsi que des manquements aux articles 14 et 25 du RGPD portant respectivement sur l’information des personnes lors d’une collecte indirecte et sur la protection des données dès la conception.
La délibération revêt une portée doctrinale de premier ordre en ce qu’elle tranche, pour la première fois dans le cadre d’une procédure de sanction, la question de la qualification de données pseudonymisées contenues dans un entrepôt de santé de grande dimension au regard de l’arrêt SRB rendu le 4 septembre 2025 par la CJUE (C-413/23). IQVIA avait en effet soutenu, en réaction à cet arrêt, que les données de ses entrepôts étaient anonymes et que le RGPD ne leur était donc pas applicable. La formation restreinte a rejeté sans ambiguïté cet argument en retenant que « ces données n’étaient pas anonymes, mais seulement pseudonymes, la réidentification des personnes concernées étant possible, avec des moyens raisonnables », au vu notamment de la profondeur des données collectées pour chaque patient pseudonymisé — identifiant unique, année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle, diagnostics, allergies, prescriptions, arrêts de travail — de la possibilité de les combiner avec des données publiquement accessibles et de la jurisprudence convergente du Conseil d’État (CE, 13 février 2026, n° 498628, 498629 et 498749). Elle a, en outre, relevé qu’avant la procédure, IQVIA n’avait jamais contesté traiter des données personnelles et avait elle-même sollicité les autorisations de la CNIL en cette qualité — ce qui prive l’argument de toute cohérence juridique.
Sur les manquements aux autorisations, la formation restreinte a constaté l’absence d’authentification multifacteur pour accéder aux données de l’entrepôt EMR et l’absence d’analyse régulière des journaux de connexion pour les deux entrepôts — manquements aux garanties de sécurité imposées par les deux autorisations. Elle a également relevé l’inexactitude des mentions de durée de conservation figurant dans la notice d’information de l’entrepôt EMR, ainsi que l’absence de procédure effective permettant l’exercice du droit d’opposition — deux points ayant donné lieu à injonctions. Pour l’entrepôt LRX, elle a en outre constaté que la société réalisait, pour son propre compte, des études « hors de tout cadre légal », l’autorisation excluant expressément ces traitements de son périmètre et renvoyant à des formalités propres, et que la conception du module extracteur intégré aux logiciels de gestion d’officine permettait la transmission des données « même en cas de refus » du pharmacien — constitutif d’un manquement à l’article 25 du RGPD. L’information des personnes (article 14 RGPD) : les contrôles effectués auprès de quatre officines parisiennes partenaires ont mis en évidence qu’« aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA » — manquement imputable à IQVIA en sa qualité de responsable de traitement, nonobstant la délégation contractuelle confiée aux pharmaciens.
Le montant de l’amende a été calculé sur la base du chiffre d’affaires consolidé du groupe IQVIA HOLDINGS INC. (15 milliards de dollars), conformément à la jurisprudence de la CJUE sur l’unité économique (C-383/23, Ilva A/S), en tenant compte de la gravité des manquements portant sur des données de santé « particulièrement sensibles », du nombre élevé de personnes concernées (« plusieurs dizaines de millions ») et de la position de l’opérateur sur son marché. La décision constitue, avec la délibération SAN-2026-001 (Free Mobile, 27 M€) et la délibération SAN-2026-003 (France Travail, 5 M€), un jalon supplémentaire dans la jurisprudence de la CNIL fixant les standards techniques et organisationnels — MFA, journalisation opérationnelle, privacy by design, information effective — désormais opposables à tout responsable de traitement de données de santé à grande échelle.
28.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats