CNIL | SAN-2026-008 | 26 MAI 2026 | AFFAIRE IQVIA OPERATIONS FRANCE |
DONNÉES DE SANTÉ HORS CONTRÔLE : IQVIA CONDAMNÉE À 5 MILLIONS D’EUROS POUR AVOIR BÂTI UN EMPIRE PHARMACEUTIQUE SUR L’IGNORANCE DES PATIENTS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
LE CADRE NORMATIF ET JURISPRUDENTIEL DE RÉFÉRENCE
UN RÉGIME SPÉCIFIQUE AUX DONNÉES DE SANTÉ
La délibération SAN-2026-008 repose sur une architecture normative singulière qui articule les dispositions du RGPD avec le régime légal spécifique applicable aux traitements de données de santé, tel qu’issu de la loi n° 78-17 du 6 janvier 1978 dans sa version modifiée. Contrairement aux affaires Free Mobile (SAN-2026-001) et France Travail (SAN-2026-003), qui mobilisaient principalement l’article 32 du RGPD relatif à la sécurité des traitements, l’affaire IQVIA se structure autour d’un manquement central au régime d’autorisation des traitements de données de santé, auxquels s’ajoutent des manquements aux articles 14 et 25 du RGPD.
L’article 66 de la loi Informatique et Libertés constitue la disposition-pivot de la délibération. Il prévoit que les traitements de données de santé à caractère personnel ne peuvent être mis en œuvre que sur le fondement d’une autorisation préalable de la CNIL (art. 66.III) ou après vérification de leur conformité à un référentiel établi par la Commission (art. 66.II). Ce régime d’autorisation préalable, spécifique au domaine de la santé, emporte une conséquence déterminante pour la caractérisation des manquements : les conditions posées par l’autorisation délivrée s’incorporent en quelque sorte aux obligations légales pesant sur le responsable de traitement, de sorte que tout écart entre les pratiques effectives et les termes de l’autorisation constitue ipso facto un manquement à l’article 66. La formation restreinte le formule ainsi : « si la société IQVIA a bien été autorisée par la CNIL à constituer les entrepôts de données de santé LRX et EMR, les contrôles réalisés ont permis de constater qu’en pratique, les traitements mis en œuvre ne respectaient pas les conditions posées par les autorisations délivrées ».
L’article 14 du RGPD régit l’obligation d’information des personnes concernées lorsque les données personnelles n’ont pas été collectées directement auprès d’elles — cas paradigmatique des entrepôts de données médicales alimentés par des intermédiaires professionnels de santé. Il impose au responsable de traitement de fournir à la personne concernée, « dans un délai raisonnable après avoir obtenu les données à caractère personnel, et au plus tard dans le délai d’un mois », un ensemble d’informations précises : identité du responsable de traitement, finalités du traitement et base légale, catégories de données concernées, destinataires ou catégories de destinataires, durée de conservation, droits des personnes et modalités de leur exercice. La formation restreinte rappelle que « si la société a confié aux pharmaciens — seuls à être en contact direct avec les personnes concernées — le soin de délivrer cette information pour son compte, c’est bien à IQVIA qu’il appartient de s’assurer du respect de cette obligation, en tant que responsable de traitement ».
L’article 25 du RGPD consacre le principe de la protection des données dès la conception (privacy by design) et par défaut (privacy by default). Son §1 impose au responsable de traitement de « mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées » destinées à intégrer dans le traitement les garanties nécessaires à la protection des droits des personnes. Son §2 précise que le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que « seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées » — ce qui implique que le comportement par défaut du système soit la non-collecte et la non-transmission, et non leur contraire.
CONVERGENCE CJUE, CONSEIL D’ÉTAT ET CNIL
La formation restreinte s’appuie sur un corpus jurisprudentiel dense, dont les pièces maîtresses méritent une présentation ordonnée en raison de leur portée normative directe.
La qualification des données : l’arrêt Breyer (CJUE, 2ème ch., 19 octobre 2016, C-582/14) a établi le critère de l’identifiabilité raisonnable : « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ». L’arrêt OC c/ Commission européenne (CJUE, 6ème ch., 7 mars 2024, C-479/22) a précisé la notion d’identification indirecte, confirmant que le RGPD s’applique dès lors que la réidentification reste possible par combinaison avec des données accessibles. L’arrêt SRB (CJUE, 1ère ch., 4 septembre 2025, C-413/23), que la société IQVIA instrumentalisait à l’appui de sa thèse de l’anonymisation, a au contraire été mobilisé par la formation restreinte pour démontrer que ses enseignements — relatifs à un cas très particulier de transmission à un destinataire tiers sans aucun moyen de regroupement — sont inapplicables à un opérateur qui est lui-même l’architecte du processus de pseudonymisation.
Le Conseil d’État a apporté sa contribution dans deux séries de décisions directement pertinentes. Les décisions du 13 février 2026 (CE, 10ème et 9ème chambres réunies, n° 498628, 498629 et 498749, T.) — rendues simultanément à l’instruction de l’affaire IQVIA et relatives à des bases de données de santé pseudonymisées constituées à partir de données de médecins et d’officines — ont confirmé que des données analogues, « bien que pseudonymisées, n’étaient pas anonymisées », le Conseil d’État ayant relevé qu’« une individualisation dans l’ensemble des données n’[avait] nécessité que peu de temps et de moyens ». La décision du 14 mai 2024 (CE, 10ème/9ème ch., n° 472221, inédit) a précisé le point de départ des garanties procédurales de l’article 6 CEDH dans les procédures de sanction de la CNIL, en le fixant à la notification du rapport et non aux opérations de contrôle antérieures.
LES MANQUEMENTS RETENUS PAR LA FORMATION RESTREINTE ET LES AXES DE DÉFENSE D’IQVIA
A. LE MANQUEMENT À L’OBLIGATION DE RESPECTER LES CONDITIONS DE SÉCURITÉ DES AUTORISATIONS (ARTICLE 66 LIL — VOLET SÉCURITÉ)
1. LES CONSTATS DE LA DÉLÉGATION DE CONTRÔLE
Les contrôles effectués sur place les 6 et 7 juillet 2021 au siège d’IQVIA, suivis d’échanges complémentaires jusqu’en octobre 2022, ont permis d’établir deux manquements aux obligations de sécurité imposées par les autorisations délivrées pour les entrepôts LRX et EMR.
Premier constat — absence d’analyse régulière des journaux de connexion (deux entrepôts) : La formation restreinte a relevé que, pour les deux entrepôts LRX et EMR, « aucune mesure ne permettait d’analyser, de manière régulière, les journaux de connexions », rendant ainsi impossible « la détection efficace des activités anormales ». Les autorisations délivrées imposaient à la société la mise en œuvre de garanties de sécurité précises, incluant des mécanismes de surveillance des accès. Or, la simple conservation des journaux — sans exploitation opérationnelle permettant de détecter des anomalies ou des comportements suspects — ne saurait être regardée comme satisfaisant à cette exigence. La formation restreinte, en fidélité avec la jurisprudence établie dans les délibérations SAN-2026-001 et SAN-2026-003, confirme que la journalisation sans détection est une conformité illusoire : il ne suffit pas d’archiver des logs ; encore faut-il les analyser.
Second constat — absence d’authentification multifacteur pour l’entrepôt EMR : Pour l’entrepôt EMR spécifiquement, « aucune authentification multifacteur n’était mise en œuvre pour accéder aux données ». L’autorisation délivrée en 2021 imposait des mesures de sécurité renforcées pour un entrepôt contenant des données particulièrement sensibles — diagnostics, prescriptions, allergies, arrêts de travail — d’un nombre important de patients. L’accès sans second facteur d’authentification constituait donc un écart manifeste par rapport aux garanties prévues.
2. LES AXES DE DÉFENSE D’IQVIA ET LEUR REJET
La société IQVIA a fait valoir que ses pratiques de sécurité étaient conformes à l’état de l’art au moment de la délivrance des autorisations et que les exigences avaient évolué depuis lors. Elle a également soutenu avoir, depuis les contrôles, intégralement remédié aux manquements de sécurité constatés. La formation restreinte a pris acte des mesures de remédiation : « la société a démontré avoir, depuis les contrôles réalisés, remédié aux manquements relatifs à la sécurité et à la confidentialité des données ». Elle n’a en conséquence pas prononcé d’injonction sur ce point — signe d’une prise en compte favorable des efforts de mise en conformité —, mais a néanmoins maintenu ces manquements comme éléments de calcul de l’amende.
Cette articulation est significative : la remédiation en cours de procédure n’efface pas le manquement passé et ne prive pas la formation restreinte de la faculté de le retenir comme circonstance justifiant une sanction pécuniaire. Elle produit cependant un effet atténuant sur le choix des mesures correctrices (absence d’injonction), sans nécessairement peser sur le quantum de l’amende de manière déterminante lorsque les autres éléments de gravité — nombre de personnes concernées, nature des données, durée des manquements — sont suffisamment établis.
B. LE MANQUEMENT À L’OBLIGATION D’INFORMATION EXACTE DES PERSONNES DANS LA NOTICE EMR (ARTICLE 66 LIL — VOLET INFORMATION)
1. L’INEXACTITUDE CONSTATÉE
La formation restreinte a relevé une inexactitude substantielle dans la notice d’information délivrée aux patients dans le cadre de l’entrepôt EMR, portant sur la durée de conservation de leurs données. La notice indiquait :
« Vos données sont conservées pendant la durée de réalisation des études et analyses mises en œuvre par IQVIA et ses partenaires contractuels. Elles feront ensuite l’objet d’une procédure d’archivage sécurisée pour une durée conforme à la réglementation en vigueur. »
Or, l’autorisation délivrée par la CNIL pour l’entrepôt EMR prévoit une conservation « en base active pendant une durée de dix ans », suivie d’une anonymisation ou d’une suppression. Cette durée de dix ans, que la société avait elle-même confirmée lors du contrôle sur place, n’apparaissait nulle part dans la notice. L’information délivrée se révélait ainsi doublement inexacte : elle ne mentionnait pas la durée précise de conservation ; elle utilisait une formulation circulaire (« pendant la durée de réalisation des études ») qui rendait la durée effective opaque pour tout patient souhaitant comprendre concrètement les conditions du traitement auquel ses données étaient soumises.
La formation restreinte a souligné l’enjeu particulier de cette inexactitude pour les personnes concernées : « la délivrance d’une information complète et exacte aux personnes concernées est essentielle, en ce qu’elle seule permet à ces dernières d’avoir conscience que leurs données de santé sont versées et conservées dans des entrepôts privés de recherche pendant une durée relativement longue ». Cette durée de dix ans — soit deux mandats présidentiels — est en effet d’une longueur considérable et de nature à influencer significativement la décision d’un patient d’exercer ou non son droit d’opposition.
2. LES AXES DE DÉFENSE D’IQVIA ET LEUR REJET
La société IQVIA a soutenu que la notice d’information avait été soumise à la CNIL dans le cadre de la procédure d’autorisation et n’avait alors suscité aucune remarque de l’autorité, ce qui aurait pu légitimement lui laisser croire que son contenu était conforme. La formation restreinte a écarté cet argument de manière ferme :
« La société ne peut invoquer l’absence d’objections de la CNIL lors de l’instruction de la demande d’autorisation pour s’exonérer de son obligation de délivrer une information exacte aux personnes concernées. »
Ce rejet est juridiquement fondé à plusieurs titres. D’une part, la procédure d’autorisation n’est pas une procédure de validation de la notice d’information au regard de sa conformité aux droits des personnes ; elle porte principalement sur la licéité et la proportionnalité du traitement envisagé. D’autre part, l’obligation de délivrer une information complète et exacte est une obligation permanente pesant sur le responsable de traitement, non une obligation satisfaite par la simple production d’une notice lors d’une demande administrative. Cette injonction a été prononcée sur ce point, la société devant remédier au manquement dans un délai de six mois.
C. LE MANQUEMENT À L’OBLIGATION DE PERMETTRE L’EXERCICE EFFECTIF DU DROIT D’OPPOSITION (ARTICLE 66 LIL — VOLET DROITS DES PERSONNES, ENTREPÔT EMR)
1. L’ABSENCE DE PROCÉDURE EFFECTIVE
La formation restreinte a constaté « l’absence de mise en œuvre d’une procédure permettant aux personnes de pouvoir exercer leur droit d’opposition de manière effective » pour l’entrepôt EMR. Les données de cet entrepôt étant collectées indirectement auprès des patients via les médecins partenaires, l’exercice du droit d’opposition supposait l’existence d’un canal accessible et opérationnel permettant à chaque patient d’obtenir le retrait de ses données. L’autorisation délivrée imposait des garanties précises à cet égard, que la société n’avait pas mises en œuvre.
Ce manquement revêt une gravité particulière dans le contexte des données de santé. Le droit d’opposition est, avec le droit d’accès, l’un des instruments les plus fondamentaux permettant aux personnes concernées de maintenir une forme de maîtrise sur leurs données de santé — données qui touchent directement à leur intimité corporelle et médicale. La formation restreinte a rappelé que « les personnes concernées par ces entrepôts sont des données particulièrement sensibles qui doivent bénéficier d’une protection renforcée ». La privation d’un mécanisme effectif d’opposition revient concrètement à priver des millions de patients de toute possibilité de contrôle sur la circulation et l’exploitation de leurs données médicales au sein d’entrepôts commerciaux.
2. L’INJONCTION PRONONCÉE
Ce manquement a donné lieu à injonction : la société IQVIA doit, dans un délai de six mois, mettre en place une procédure permettant l’exercice effectif du droit d’opposition pour l’entrepôt EMR, sous peine d’une astreinte de 10 000 euros par jour de retard. La précision de cette injonction reflète la conviction de la formation restreinte que l’effectivité du droit d’opposition ne peut résulter d’une simple déclaration de principe ou d’une mention dans une politique de confidentialité : elle suppose l’existence d’un mécanisme technique et organisationnel concret, testé et accessible.
D. LE MANQUEMENT AU CADRE LÉGAL POUR LES ÉTUDES RÉALISÉES POUR COMPTE PROPRE À PARTIR DE L’ENTREPÔT LRX (ARTICLE 66 LIL — DÉPASSEMENT DE FINALITÉ)
1. LA GRAVITÉ PARTICULIÈRE DE CE MANQUEMENT
Ce manquement est, au regard de la structuration de la délibération, celui qui révèle le comportement le plus délibérément dérogatoire de la société IQVIA. La formation restreinte a établi que la société réalisait, « pour son propre compte », des études analytiques à partir des données de l’entrepôt LRX, à des fins clairement commerciales — notamment des études sur les tendances du marché pharmaceutique vendues à des laboratoires ou utilisées dans le cadre de ses propres activités de conseil — sans avoir obtenu une autorisation propre pour ces traitements.
L’autorisation n° 2018-289 est pourtant explicite sur ce point :
« La présente délibération exclut expressément les traitements mis en œuvre par la société IQVIA à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé […]. La Commission rappelle à cet égard que les traitements de données de santé à caractère personnel qui seront mis en œuvre ultérieurement à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont des traitements distincts qui doivent faire l’objet, par la société IQVIA, de formalités propres. »
Ce rappel explicite de l’autorisation, que la société ne pouvait ignorer pour l’avoir sollicitée, rend inopérante toute argumentation fondée sur une prétendue ambiguïté textuelle. La société IQVIA connaissait la limite : elle l’a délibérément franchie.
2. LE REJET DE L’ARGUMENT FONDÉ SUR LA MR-004
La société IQVIA a tenté de se prévaloir d’une déclaration de conformité à la méthodologie de référence MR-004, déposée auprès de la CNIL le 31 juillet 2018. La MR-004, établie par la CNIL, définit un cadre simplifié applicable aux études non interventionnelles portant sur des données de santé collectées à des fins de soins. La formation restreinte a écarté cet argument par un raisonnement en deux temps.
D’une part, elle a rappelé que la MR-004 est soumise à des conditions d’application strictes, dont notamment l’exigence d’une information préalable individuelle des personnes dont les données sont utilisées. Or, les contrôles ont précisément établi que les patients n’étaient pas informés de la collecte et de l’utilisation de leurs données — condition d’application de la MR-004 qui n’était donc pas remplie. D’autre part, la MR-004 vise les données collectées à des fins de soins et versées à des bases de données de facto accessibles au chercheur, et non des entrepôts privés constitués à des fins commerciales selon un cahier des charges défini par l’opérateur lui-même. La société ne pouvait donc valablement se prévaloir de cette méthodologie de référence pour justifier des traitements dont les modalités de collecte ne satisfaisaient pas aux conditions préalables qu’elle impose.
E. LE MANQUEMENT À L’OBLIGATION D’INFORMATION DES PERSONNES PAR LES PHARMACIES PARTENAIRES (ARTICLE 14 RGPD)
1. L’ABSENCE TOTALE D’INFORMATION CONSTATÉE
Les contrôles menés par la délégation de la CNIL auprès de quatre officines parisiennes partenaires d’IQVIA — entre septembre et novembre 2021 — ont révélé qu’« aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA » : ni par voie d’affichage en officine, ni verbalement lors de la dispensation des médicaments, ni via un support remis au patient. Ces pharmacies, pourtant contractuellement tenues d’assurer cette information pour le compte d’IQVIA, n’accomplissaient donc pas cette obligation.
L’article 14 du RGPD est clair : lorsque les données ne sont pas collectées directement auprès de la personne concernée, le responsable de traitement est tenu de lui fournir les informations requises « dans un délai raisonnable après avoir obtenu les données à caractère personnel ». Cette obligation, qui incombe au responsable de traitement, ne peut être satisfaite par la seule insertion d’une clause contractuelle imposant au partenaire de collecte de délivrer l’information : encore faut-il s’assurer que cette clause est effectivement respectée. Or, IQVIA ne disposait, au moment des contrôles, d’aucun mécanisme de vérification ou de contrôle de l’effectivité de l’information délivrée par ses officines partenaires.
2. LES AXES DE DÉFENSE D’IQVIA ET LEUR REJET
La société IQVIA a soutenu que la responsabilité de l’information incombait aux pharmaciens en leur qualité de professionnels de santé, seuls en contact direct avec les patients, et qu’elle ne disposait d’aucun moyen d’imposer à des tiers indépendants le respect de leurs obligations contractuelles. Elle a également avancé que des supports d’information avaient été élaborés et mis à disposition des pharmacies.
La formation restreinte a rejeté ces arguments avec netteté. En premier lieu, « la mise à disposition de supports » ne suffit pas à démontrer que l’information a effectivement été délivrée aux patients : le résultat concret — c’est-à-dire l’information effective de chaque patient — est seul déterminant. En second lieu, le fait que les pharmaciens soient des professionnels indépendants ne modifie pas la qualité de responsable de traitement d’IQVIA ni les obligations en découlant : le recours à des tiers pour la collecte de données ne saurait constituer un vecteur d’exonération des obligations légales du responsable de traitement. La formation restreinte a retenu que la société « se devait de mettre en place des mécanismes permettant de contrôler que les pharmacies respectaient leurs obligations », et que l’absence de tels mécanismes caractérisait le manquement à l’article 14 du RGPD.
F. LE MANQUEMENT AU PRINCIPE DE PROTECTION DES DONNÉES DÈS LA CONCEPTION (ARTICLE 25 RGPD)
1. LA CONCEPTION DÉFAILLANTE DU MODULE EXTRACTEUR
La formation restreinte a retenu un manquement à l’article 25 du RGPD, relatif au privacy by design, tiré de la conception du module extracteur intégré aux logiciels de gestion d’officine. Ce module, développé par les éditeurs de LGO pour le compte exclusif d’IQVIA selon un cahier des charges fixé par cette dernière, avait une caractéristique déterminante : « la conception du logiciel de gestion utilisé dans les pharmacies qui transmettent les données des clients à IQVIA » permettait « la transmission des données même en cas de refus » du pharmacien de participer à la collecte.
Ce fonctionnement révèle un défaut de conception fondamental au regard des exigences de l’article 25 du RGPD : le comportement par défaut du système était la transmission, et non la non-transmission. La non-participation d’un pharmacien à l’entrepôt LRX aurait dû techniquement entraîner la désactivation du module extracteur et l’arrêt de tout flux de données vers IQVIA. Or, ce n’est pas ainsi que le système fonctionnait : même lorsque le pharmacien avait refusé de participer, le module continuait à extraire et transmettre les données, à tout le moins jusqu’à ce qu’une intervention technique soit réalisée.
2. LA RESPONSABILITÉ D’IQVIA EN TANT QUE DONNEUR D’ORDRE
La société IQVIA a tenté de se décharger de ce manquement en arguant que la conception du module extracteur relevait de la responsabilité exclusive des éditeurs de LGO. La formation restreinte a rejeté cet argument en rappelant qu’IQVIA avait elle-même défini le cahier des charges du module extracteur, que les contrats conclus avec les éditeurs désignaient IQVIA comme responsable de traitement et les éditeurs comme ses sous-traitants, et que c’était donc bien IQVIA qui avait « détermin[é] à la fois la finalité et les moyens » du traitement dès sa conception — y compris les modalités techniques d’extraction des données. La responsabilité du privacy by design ne peut être transférée à un sous-traitant lorsque le défaut de conception résulte précisément du cahier des charges que le responsable de traitement lui a imposé.
LA DÉTERMINATION DE LA SANCTION
A. LES CRITÈRES DE CALCUL DE L’AMENDE
La formation restreinte a fait application des critères de l’article 83 du RGPD pour déterminer le montant de l’amende. Elle a retenu, à titre de circonstances aggravantes ou de facteurs de gravité, les éléments suivants :
La nature des données traitées : Les entrepôts LRX et EMR contiennent des données de santé, catégorie particulièrement sensible bénéficiant d’une protection renforcée au titre de l’article 9 du RGPD. La formation restreinte a insisté sur le fait que « les données de santé concernées par ces entrepôts sont des données particulièrement sensibles qui doivent bénéficier d’une protection renforcée ».
Le nombre de personnes concernées : La formation restreinte a relevé que les entrepôts LRX et EMR concernaient « plusieurs dizaines de millions » de personnes — une ampleur qui traduit la position dominante d’IQVIA sur le marché français des données de santé pharmaceutiques et médicales, et qui justifie une sanction d’un niveau suffisamment dissuasif.
La pluralité des manquements : Six manquements distincts ont été retenus, couvrant trois obligations fondamentales — sécurité, information des personnes, protection des données dès la conception — et illustrant une déficience systémique dans le dispositif de conformité de la société.
La position de la société sur le marché et ses capacités financières : La formation restreinte a rappelé que le groupe IQVIA, dont la société constitue la filiale française, « se présente, sur son site web, comme le “leader mondial de la recherche clinique et de la donnée de santé” », avec un chiffre d’affaires de 15 milliards de dollars en 2023. Elle a appliqué la jurisprudence de la CJUE sur l’unité économique (CJUE, C-383/23, Ilva A/S) pour retenir le chiffre d’affaires du groupe comme base de calcul du plafond légal de l’amende.
B. LA PRISE EN COMPTE DES MESURES DE REMÉDIATION
La formation restreinte a tenu compte des mesures de remédiation apportées par la société IQVIA en cours de procédure, s’agissant des manquements aux obligations de sécurité (MFA pour l’entrepôt EMR, analyse des journaux de connexion pour les deux entrepôts). En conséquence, elle n’a pas prononcé d’injonction sur ces points, tout en maintenant ces manquements dans le calcul de l’amende. En revanche, les manquements relatifs à la notice d’information EMR et à l’exercice du droit d’opposition — non encore remédiés — ont donné lieu à des injonctions assortis d’astreinte.
DISPOSITIF DE LA DÉLIBÉRATION
La formation restreinte décide :
Article 1 : IQVIA OPERATIONS FRANCE est mise en demeure de satisfaire aux articles 66 de la loi Informatique et Libertés, 14 et 25 du RGPD dans un délai de 6 mois à compter de la notification de la présente délibération, s’agissant :
— de l’exactitude des mentions figurant sur la notice d’information délivrée aux patients dans le cadre de l’entrepôt EMR ;
— de la mise en place d’une procédure permettant aux personnes concernées d’exercer effectivement leur droit d’opposition s’agissant de l’entrepôt EMR.
Passé ce délai, si les manquements persistent, une astreinte de 10 000 (dix mille) euros par jour de retard pourra être liquidée.
Article 2 : IQVIA OPERATIONS FRANCE est condamnée au paiement d’une amende administrative d’un montant de 5 000 000 (cinq millions) d’euros pour les manquements aux articles 66 de la loi Informatique et Libertés, 14 et 25 du RGPD.
Article 3 : La présente délibération sera rendue publique. Il ne sera plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
A. LA CONTINUITÉ AVEC LES JURISPRUDENCES ANTÉRIEURES DE LA CNIL SUR LES DONNÉES DE SANTÉ PSEUDONYMISÉES
La délibération SAN-2026-008 clôt, sur le plan jurisprudentiel, un cycle ouvert par la CNIL en 2014 lorsqu’elle avait, pour la première fois, remis en cause la qualification d’« anonymes » attribuée par IMS Health France (ancêtre d’IQVIA) à ses bases de données pharmaceutiques. La mise en demeure de 2014 avait conduit la société à solliciter les autorisations de 2018 et 2021, reconnaissant implicitement traiter des données à caractère personnel. La présente délibération sanctionne la rupture de cette cohérence, la société ayant tenté — opportunément, à la faveur de l’arrêt SRB — de revenir sur une qualification qu’elle avait elle-même acceptée.
La délibération SAN-2024-013 du 5 septembre 2024 relative à la société [Z], dont les pratiques de collecte auprès de médecins présentaient de fortes similarités avec celles de l’entrepôt EMR, avait déjà retenu le caractère personnel des données ainsi collectées, en dépit de leur pseudonymisation. Cette jurisprudence, confirmée par le Conseil d’État le 13 février 2026, prive définitivement d’assise l’argument de l’anonymisation pour les bases de données de santé constituées par des acteurs privés à partir de données collectées auprès de professionnels de santé.
B. LA COHÉRENCE AVEC LES JURISPRUDENCES SAN-2026-001 ET SAN-2026-003 SUR LA SÉCURITÉ DES TRAITEMENTS
Sur les manquements aux obligations de sécurité, la délibération SAN-2026-008 s’inscrit dans le prolongement direct des délibérations SAN-2026-001 (Free Mobile) et SAN-2026-003 (France Travail), qui avaient respectivement sanctionné l’absence de MFA et l’absence d’analyse régulière des journaux de connexion. La cohérence de cette jurisprudence sur trois affaires consécutives prononcées entre janvier et mai 2026 établit ces deux exigences comme des standards minimaux non-négociables pour tout opérateur traitant des données personnelles à grande échelle. Pour les entrepôts de données de santé, qui traitent par définition des données de catégorie particulière au sens de l’article 9 du RGPD, ces exigences revêtent un caractère d’autant plus impératif que le préjudice potentiel d’une violation — stigmatisation, discrimination, atteinte à la vie privée médicale — est d’une gravité qui justifie le niveau de protection le plus élevé.
L’ENCADREMENT DES ENTREPÔTS DE DONNÉES DE SANTÉ À L’ÈRE DE L’IA
La délibération intervient dans un contexte d’essor rapide de l’utilisation des entrepôts de données de santé pour entraîner des modèles d’intelligence artificielle à visée diagnostique ou thérapeutique. La confirmation que les données pseudonymisées contenues dans de tels entrepôts demeurent des données à caractère personnel emporte des conséquences pratiques immédiates pour les acteurs du secteur : tout traitement par IA réalisé à partir d’un tel entrepôt reste soumis au cadre du RGPD et aux régimes spéciaux de la loi Informatique et Libertés, incluant l’obligation d’autorisation préalable ou de conformité à un référentiel, les droits des personnes et les exigences de sécurité. La délibération SAN-2026-008 constitue ainsi un signal fort adressé à l’ensemble de l’écosystème health data, à l’heure où la Commission européenne et l’EHDS (European Health Data Space) définissent les conditions du partage transfrontalier des données de santé à des fins de recherche et d’innovation.
POINTS ESSENTIELS
Par délibération du 26 mai 2026, la formation restreinte de la CNIL a sanctionné la société IQVIA OPERATIONS FRANCE — filiale française du groupe étasunien IQVIA, « leader mondial de la recherche clinique et de la donnée de santé » présent dans plus de cent pays — d’une amende administrative de 5 millions d’euros, assortie d’injonctions sous astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois. La décision sanctionne le non-respect, par la société, des conditions imposées par les deux autorisations que la CNIL lui avait délivrées — en 2018 pour l’entrepôt LRX (Longitudinal prescription data, alimenté par environ 14 000 officines partenaires) et en 2021 pour l’entrepôt EMR (Electronic medical records, alimenté par des données issues de cabinets de médecins généralistes) — ainsi que des manquements aux articles 14 et 25 du RGPD portant respectivement sur l’information des personnes lors d’une collecte indirecte et sur la protection des données dès la conception.
La délibération revêt une portée doctrinale de premier ordre en ce qu’elle tranche, pour la première fois dans le cadre d’une procédure de sanction, la question de la qualification de données pseudonymisées contenues dans un entrepôt de santé de grande dimension au regard de l’arrêt SRB rendu le 4 septembre 2025 par la CJUE (C-413/23). IQVIA avait en effet soutenu, en réaction à cet arrêt, que les données de ses entrepôts étaient anonymes et que le RGPD ne leur était donc pas applicable. La formation restreinte a rejeté sans ambiguïté cet argument en retenant que « ces données n’étaient pas anonymes, mais seulement pseudonymes, la réidentification des personnes concernées étant possible, avec des moyens raisonnables », au vu notamment de la profondeur des données collectées pour chaque patient pseudonymisé — identifiant unique, année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle, diagnostics, allergies, prescriptions, arrêts de travail — de la possibilité de les combiner avec des données publiquement accessibles et de la jurisprudence convergente du Conseil d’État (CE, 13 février 2026, n° 498628, 498629 et 498749). Elle a, en outre, relevé qu’avant la procédure, IQVIA n’avait jamais contesté traiter des données personnelles et avait elle-même sollicité les autorisations de la CNIL en cette qualité — ce qui prive l’argument de toute cohérence juridique.
Sur les manquements aux autorisations, la formation restreinte a constaté l’absence d’authentification multifacteur pour accéder aux données de l’entrepôt EMR et l’absence d’analyse régulière des journaux de connexion pour les deux entrepôts — manquements aux garanties de sécurité imposées par les deux autorisations. Elle a également relevé l’inexactitude des mentions de durée de conservation figurant dans la notice d’information de l’entrepôt EMR, ainsi que l’absence de procédure effective permettant l’exercice du droit d’opposition — deux points ayant donné lieu à injonctions. Pour l’entrepôt LRX, elle a en outre constaté que la société réalisait, pour son propre compte, des études « hors de tout cadre légal », l’autorisation excluant expressément ces traitements de son périmètre et renvoyant à des formalités propres, et que la conception du module extracteur intégré aux logiciels de gestion d’officine permettait la transmission des données « même en cas de refus » du pharmacien — constitutif d’un manquement à l’article 25 du RGPD. L’information des personnes (article 14 RGPD) : les contrôles effectués auprès de quatre officines parisiennes partenaires ont mis en évidence qu’« aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA » — manquement imputable à IQVIA en sa qualité de responsable de traitement, nonobstant la délégation contractuelle confiée aux pharmaciens.
Le montant de l’amende a été calculé sur la base du chiffre d’affaires consolidé du groupe IQVIA HOLDINGS INC. (15 milliards de dollars), conformément à la jurisprudence de la CJUE sur l’unité économique (C-383/23, Ilva A/S), en tenant compte de la gravité des manquements portant sur des données de santé « particulièrement sensibles », du nombre élevé de personnes concernées (« plusieurs dizaines de millions ») et de la position de l’opérateur sur son marché. La décision constitue, avec la délibération SAN-2026-001 (Free Mobile, 27 M€) et la délibération SAN-2026-003 (France Travail, 5 M€), un jalon supplémentaire dans la jurisprudence de la CNIL fixant les standards techniques et organisationnels — MFA, journalisation opérationnelle, privacy by design, information effective — désormais opposables à tout responsable de traitement de données de santé à grande échelle.
28.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats