CNIL | SAN-2026-008 | 26 mai 2026 | Affaire IQVIA OPERATIONS FRANCE | SAN-2026-008-SHORT

---

IQVIA OPERATIONS FRANCE face à la CNIL : quand le premier entrepôt privé de données de santé autorisé ne respecte pas les conditions de son autorisation

 

---

La délibération SAN-2026-008 du 26 mai 2026 de la formation restreinte de la CNIL sanctionne la société IQVIA OPERATIONS FRANCE pour des manquements à l’article 66 de la loi Informatique et Libertés ainsi qu’aux articles 14 et 25 du RGPD. L’affaire révèle un paradoxe structurel : une société qui a elle-même sollicité et obtenu des autorisations exceptionnelles pour traiter des données de santé à grande échelle se révèle incapable de respecter les conditions précises attachées à ces autorisations.

---

---

I.

 

Un acteur majeur du marché de la donnée de santé sous contrôle

IQVIA OPERATIONS FRANCE appartient au groupe IQVIA, anciennement QUINTILES et IMS HEALTH, présent dans plus de cent pays et se présentant comme le leader mondial de la recherche clinique et de la donnée de santé. La filiale française exerce une activité de conseil et d’études pour des laboratoires pharmaceutiques, en analysant l’activité des officines et le suivi des parcours de soins des patients à travers deux entrepôts de données de santé. Le premier, désigné LRX (Longitudinal prescription data), est alimenté par des données collectées auprès d’officines pharmaceutiques. Le second, désigné EMR (Electronic medical records), est alimenté par des données collectées auprès de médecins partenaires.

Ces deux entrepôts ont été expressément autorisés par la CNIL en application de l’article 66-III de la loi Informatique et Libertés, qui soumet les traitements de données de santé à autorisation préalable de la Commission ou à conformité à un référentiel. La société a ainsi été le premier acteur privé à obtenir une telle autorisation au titre d’une finalité d’intérêt public — un statut de pionnier qui emportait, selon la formation restreinte, une obligation d’irréprochabilité renforcée.

---

---

II.

 

Des manquements aux conditions des autorisations CNIL : sécurité insuffisante et études hors cadre

Le premier manquement retenu est celui à l’article 66 de la loi Informatique et Libertés, qui se décline en plusieurs composantes. Sur le plan de la sécurité, les contrôles menés en juillet 2021 au siège de la société ont mis en évidence que ni l’entrepôt LRX ni l’entrepôt EMR ne disposaient de mécanisme permettant d’analyser régulièrement les journaux de connexion, rendant impossible la détection efficace d’activités anormales. Pour l’entrepôt EMR, s’ajoutait l’absence d’authentification multifacteur (MFA), pourtant considérée comme une mesure standard pour l’accès à des données aussi sensibles.

Ces défaillances sont d’autant plus préoccupantes que les traitements en cause affectent plusieurs dizaines de millions de personnes. La société évoque elle-même, dans sa plaquette de présentation du traitement LRX à destination des pharmaciens, vingt millions de patients suivis dans le temps. La formation restreinte souligne le rapport de l’ANSSI du 7 novembre 2024 selon lequel les entités du secteur de la santé sont détentrices de données ayant une valeur importante à la revente, ce qui fait du risque de violation de données une menace concrète et documentée.

Au-delà de la sécurité technique, les contrôles ont révélé que la société réalisait, à partir de l’entrepôt LRX, des études en l’absence d’autorisation de la CNIL ou sans conformité à la méthodologie de référence MR-004. Cette méthodologie constitue le cadre permettant à des acteurs de la santé de traiter des données à des fins de recherche sans autorisation individuelle, à condition de s’y conformer strictement. Opérer en dehors de ce cadre revient à traiter des données de santé sans base légale adéquate.

---

---

III.

 

Un déficit d’information structurel vis-à-vis des patients : le manquement à l’article 14 du RGPD

L’article 14 du RGPD impose des obligations d’information renforcées lorsque les données n’ont pas été collectées directement auprès de la personne concernée. C’est précisément la configuration d’IQVIA : les données des patients sont collectées à l’occasion d’achats de médicaments en officine ou de consultations médicales, sans que les patients prennent l’initiative de les transmettre à la société. La formation restreinte souligne que ce contexte — maladie, urgence, stress — est susceptible de réduire la vigilance des personnes, rendant d’autant plus essentielle une information claire et complète.

Les contrôles ont établi des insuffisances et inexactitudes dans l’information fournie aux patients, notamment concernant la durée de conservation des données au sein de l’entrepôt EMR. Par ailleurs, bien que la société ait prévu contractuellement que les officines partenaires informent les patients de la transmission de leurs données, aucun mécanisme de vérification effective de ces engagements n’avait été mis en place. La formation restreinte rappelle que cette délégation contractuelle ne décharge pas le responsable du traitement de sa responsabilité finale quant à la délivrance effective de l’information.

---

---

IV.

 

Des modules d’extraction techniquement défaillants : le manquement à l’article 25 du RGPD

L’article 25 du RGPD impose la mise en œuvre du principe de privacy by design — la protection des données dès la conception. Le manquement retenu porte sur les modules d’extraction des données intégrés aux logiciels de gestion d’officine (LGO), développés par les éditeurs au nom et pour le compte de la société IQVIA. Ces modules avaient pour fonction de collecter les données des patients des officines partenaires pour alimenter l’entrepôt LRX. Or, lorsqu’un pharmacien refusait la transmission des données de ses patients, les modules ne l’empêchaient pas techniquement. La décision de refus du pharmacien n’était pas traduite en contrainte technique effective.

La formation restreinte relève que la société avait entièrement la main sur ces modules, qu’elle avait fait développer en son nom. Elle aurait donc dû y intégrer, dès la conception, les dispositions techniques permettant de respecter le choix du pharmacien. Ce manquement illustre parfaitement ce qu’exige l’article 25 : la conformité doit être encodée dans les systèmes, et non seulement prévue dans les contrats ou les procédures.

---

---

V.

 

La tentative de re-qualification des données en données anonymes : un argument rejeté

Dans un contexte jurisprudentiel particulier — l’arrêt SRB de la CJUE du 4 septembre 2025 —, la société a tenté, en cours de procédure, de soutenir que les données figurant dans les entrepôts LRX et EMR étaient anonymes, impliquant que les règles relatives à la protection des données ne leur seraient pas applicables. La formation restreinte a catégoriquement rejeté cet argument.

Elle a considéré que ces données étaient pseudonymisées et non anonymes, la ré-identification des personnes étant possible avec des moyens raisonnables au regard de trois facteurs : l’existence d’un identifiant unique par patient dans chaque entrepôt permettant de suivre le parcours de soins, la profondeur des données collectées (données démographiques, médicales, paramédicales), et la possibilité de croiser ces données avec des informations publiquement accessibles. La formation restreinte a en outre rappelé avec une clarté désarmante que, jusqu’à l’arrêt SRB, la société n’avait jamais contesté traiter des données personnelles, et avait à ce titre sollicité et obtenu des autorisations de la CNIL qu’elle se devait de respecter. Invoquer a posteriori l’anonymat de données que l’on avait soi-même fait qualifier de données personnelles pour obtenir une autorisation est une posture dont l’inconsistance a été soulignée sans ambiguïté.

---

---

VI.

 

Une négligence caractérisée d’un leader mondial : les circonstances aggravantes de la responsabilité

La formation restreinte qualifie l’attitude de la société de négligence certaine, aggravée par deux éléments. D’une part, en tant que leader mondial de la recherche clinique et de la donnée de santé, la société ne saurait ignorer les obligations qui lui incombent dans son domaine d’activité principal. D’autre part, la société dispose des ressources humaines, techniques et financières suffisantes pour assurer un respect scrupuleux des règles. Ces deux éléments conjugués interdisent tout plaidoyer en l’impossibilité pratique ou l’ignorance. La formation restreinte ajoute que la société aurait dû se montrer d’autant plus irréprochable qu’elle avait été le premier acteur privé autorisé par la CNIL à mettre en œuvre un entrepôt de données de santé au titre de l’intérêt public.

Sur le volet de la sécurité toutefois, la formation restreinte a pris acte du fait que la société avait justifié, au cours de la procédure, avoir mis en place des mesures permettant d’assurer le respect des prescriptions des autorisations délivrées, décidant en conséquence qu’il n’y avait pas lieu de prononcer d’injonction sur ce point — tout en rappelant l’obligation de maintien à niveau continu des mesures de sécurité.

 
 
 

---

POINTS ESSENTIELS

---

Par délibération du 26 mai 2026, la formation restreinte de la CNIL a sanctionné la société IQVIA OPERATIONS FRANCE — filiale française du groupe étasunien IQVIA, « leader mondial de la recherche clinique et de la donnée de santé » présent dans plus de cent pays — d’une amende administrative de 5 millions d’euros, assortie d’injonctions sous astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois. La décision sanctionne le non-respect, par la société, des conditions imposées par les deux autorisations que la CNIL lui avait délivrées — en 2018 pour l’entrepôt LRX (Longitudinal prescription data, alimenté par environ 14 000 officines partenaires) et en 2021 pour l’entrepôt EMR (Electronic medical records, alimenté par des données issues de cabinets de médecins généralistes) — ainsi que des manquements aux articles 14 et 25 du RGPD portant respectivement sur l’information des personnes lors d’une collecte indirecte et sur la protection des données dès la conception.

La délibération revêt une portée doctrinale de premier ordre en ce qu’elle tranche, pour la première fois dans le cadre d’une procédure de sanction, la question de la qualification de données pseudonymisées contenues dans un entrepôt de santé de grande dimension au regard de l’arrêt SRB rendu le 4 septembre 2025 par la CJUE (C-413/23). IQVIA avait en effet soutenu, en réaction à cet arrêt, que les données de ses entrepôts étaient anonymes et que le RGPD ne leur était donc pas applicable. La formation restreinte a rejeté sans ambiguïté cet argument en retenant que « ces données n’étaient pas anonymes, mais seulement pseudonymes, la réidentification des personnes concernées étant possible, avec des moyens raisonnables », au vu notamment de la profondeur des données collectées pour chaque patient pseudonymisé — identifiant unique, année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle, diagnostics, allergies, prescriptions, arrêts de travail — de la possibilité de les combiner avec des données publiquement accessibles et de la jurisprudence convergente du Conseil d’État (CE, 13 février 2026, n° 498628, 498629 et 498749). Elle a, en outre, relevé qu’avant la procédure, IQVIA n’avait jamais contesté traiter des données personnelles et avait elle-même sollicité les autorisations de la CNIL en cette qualité — ce qui prive l’argument de toute cohérence juridique.

Sur les manquements aux autorisations, la formation restreinte a constaté l’absence d’authentification multifacteur pour accéder aux données de l’entrepôt EMR et l’absence d’analyse régulière des journaux de connexion pour les deux entrepôts — manquements aux garanties de sécurité imposées par les deux autorisations. Elle a également relevé l’inexactitude des mentions de durée de conservation figurant dans la notice d’information de l’entrepôt EMR, ainsi que l’absence de procédure effective permettant l’exercice du droit d’opposition — deux points ayant donné lieu à injonctions. Pour l’entrepôt LRX, elle a en outre constaté que la société réalisait, pour son propre compte, des études « hors de tout cadre légal », l’autorisation excluant expressément ces traitements de son périmètre et renvoyant à des formalités propres, et que la conception du module extracteur intégré aux logiciels de gestion d’officine permettait la transmission des données « même en cas de refus » du pharmacien — constitutif d’un manquement à l’article 25 du RGPD. L’information des personnes (article 14 RGPD) : les contrôles effectués auprès de quatre officines parisiennes partenaires ont mis en évidence qu’« aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA » — manquement imputable à IQVIA en sa qualité de responsable de traitement, nonobstant la délégation contractuelle confiée aux pharmaciens.

Le montant de l’amende a été calculé sur la base du chiffre d’affaires consolidé du groupe IQVIA HOLDINGS INC. (15 milliards de dollars), conformément à la jurisprudence de la CJUE sur l’unité économique (C-383/23, Ilva A/S), en tenant compte de la gravité des manquements portant sur des données de santé « particulièrement sensibles », du nombre élevé de personnes concernées (« plusieurs dizaines de millions ») et de la position de l’opérateur sur son marché. La décision constitue, avec la délibération SAN-2026-001 (Free Mobile, 27 M€) et la délibération SAN-2026-003 (France Travail, 5 M€), un jalon supplémentaire dans la jurisprudence de la CNIL fixant les standards techniques et organisationnels — MFA, journalisation opérationnelle, privacy by design, information effective — désormais opposables à tout responsable de traitement de données de santé à grande échelle.