IQVIA sanctionné 5 M€ par la CNIL : pourquoi les entrepôts de données de santé ne s'improvisent pas
La CNIL a infligé le 26 mai 2026 une amende de 5 millions d'euros à IQVIA Operations France, filiale française du géant mondial des études pharmaceutiques, pour des manquements graves à la sécurité et à la transparence dans la gestion de deux entrepôts de données de santé. Une décision qui rappelle aux DPO que la frontière entre pseudonymisation et anonymisation reste un terrain miné — et que les autorisations CNIL ne sont pas un blanc-seing.
Ce qui s'est passé
Tout commence avec un reportage de Cash Investigation. Saisie par des plaintes de particuliers et d'associations, la CNIL ouvre une enquête sur la société IQVIA, qui réalise des études pour le compte de laboratoires pharmaceutiques. L'entreprise s'appuie sur deux entrepôts de données de santé qu'elle est autorisée à constituer : LRX (autorisé en 2018, alimenté par environ 14 000 pharmacies) et EMR (autorisé en 2021, alimenté par plusieurs milliers de médecins).
Les contrôles menés par la CNIL en pharmacies et au siège d'IQVIA révèlent une série de manquements : aucun journal de connexion analysé régulièrement, absence d'authentification multifacteur sur l'entrepôt EMR, notice d'information patient inexacte, droit d'opposition inopérant, et — point particulièrement embarrassant — aucune des quatre pharmacies contrôlées n'informait ses clients que leurs données partaient chez IQVIA. La formation restreinte a également relevé que des études étaient réalisées hors cadre légal et que le logiciel pharmaceutique transmettait les données même en cas de refus du patient.
Verdict : 5 millions d'euros d'amende publique, plus des injonctions à corriger les manquements restants dans un délai de six mois, sous astreinte de 50 000 € par jour de retard.
Pourquoi c'est important
Au-delà du montant, cette sanction tranche un débat juridique brûlant. En défense, IQVIA avait soutenu — en s'appuyant sur l'arrêt SRB de la CJUE du 4 septembre 2025 — que les données de ses entrepôts étaient anonymes, et donc hors champ du RGPD. La formation restreinte balaie cet argument : ces données sont pseudonymes, pas anonymes. La réidentification est possible avec des moyens raisonnables.
La CNIL s'appuie pour cela sur la combinaison d'un identifiant unique par patient, la profondeur des données collectées (année de naissance, sexe, prescriptions, situation matrimoniale, nombre d'enfants, diagnostics, allergies, examens, arrêts de travail…) et la possibilité de croiser ces informations avec des données publiquement accessibles. C'est exactement le test que rappelle notre guide sur les enjeux de la pseudonymisation : la pseudonymisation n'est pas un permis d'échapper au RGPD, c'est une mesure de sécurité parmi d'autres.
L'argumentation de la formation restreinte va plus loin : jusqu'à l'arrêt SRB, IQVIA n'avait jamais contesté traiter des données personnelles. La société a même sollicité et obtenu des autorisations CNIL — qu'elle se devait donc de respecter. Tenter de requalifier juridiquement les données a posteriori pour échapper à la sanction ne passe pas.
Ce que ça change pour les organisations
Cette décision envoie trois signaux concrets aux DPO et RSSI qui traitent des données de santé :
1. L'arrêt SRB n'est pas un sauf-conduit. Si vous avez construit votre conformité sur des autorisations CNIL en qualifiant vos traitements de « données personnelles », ne tentez pas de basculer en « données anonymes » parce qu'un arrêt européen vous y semble favorable. La CNIL applique un test factuel et exigeant. Notre guide RGPD et Santé détaille les obligations spécifiques à ce secteur.
2. La sous-traitance de l'information ne décharge pas le responsable de traitement. IQVIA a confié aux pharmaciens le soin d'informer les patients — comme le permet en théorie l'article 14 du RGPD en cas de collecte indirecte. Mais c'est au responsable de traitement de vérifier que cette information est effectivement délivrée. Quatre pharmacies contrôlées, zéro information délivrée : la CNIL a tranché que ce n'est pas l'affaire des pharmaciens, c'est l'affaire d'IQVIA.
3. La sécurité technique reste le terrain de chasse n°1 des sanctions. Absence de MFA, journalisation insuffisante : ces manquements reviennent dans pratiquement toutes les sanctions CNIL récentes. Lire à ce sujet notre guide sur l'optimisation de la sécurité des données. Et ce n'est pas un hasard : la CNIL vient justement de rendre le MFA obligatoire au 1er janvier 2027 pour les recherches en santé encadrées par les méthodologies de référence MR-001 et MR-003.
Ce que Leto pense de cette décision
Cette sanction est cohérente avec une ligne CNIL qui se durcit sur les entrepôts de données de santé : refonte des MR, MFA obligatoire à 2027, et désormais une amende exemplaire qui ferme la porte à la défense « données anonymes ». Le message est limpide : l'autorisation CNIL est un contrat, pas un blanc-seing. Les responsables de traitement qui s'en éloignent paient — d'autant plus cher quand les données sont sensibles et les personnes concernées nombreuses. Pour les DPO du secteur santé, l'arbitrage est clair : ne pariez pas sur la requalification, investissez dans la conformité opérationnelle de vos traitements autorisés.
Sources :
