Données de santé : ce que la sanction de 5 millions d’euros infligée à IQVIA doit apprendre aux entreprises
Le 26 mai 2026, la CNIL a prononcé une amende de 5 millions d’euros à l’encontre de la société IQVIA OPERATIONS FRANCE pour plusieurs manquements relatifs à l’exploitation de deux entrepôts de données de santé. Cette décision constitue l’une des sanctions les plus significatives prononcées récemment dans le domaine des données de santé et rappelle l’exigence particulière qui s’attache au traitement de données considérées comme sensibles au sens du RGPD.
Au-delà du montant de l’amende, cette affaire constitue un signal fort adressé à toutes les organisations qui collectent, analysent ou exploitent des données de santé, directement ou indirectement.
Le contexte de l’affaire IQVIA
IQVIA est un acteur international spécialisé dans les études, analyses et services destinés notamment à l’industrie pharmaceutique.
Pour réaliser certaines de ses études, la société s’appuie sur deux entrepôts de données de santé autorisés par la CNIL :
- un entrepôt alimenté par des données issues d’environ 14 000 pharmacies ;
- un entrepôt alimenté par des données collectées auprès de plusieurs milliers de médecins.
À la suite de plusieurs plaintes et de contrôles menés par la CNIL, l’autorité a estimé que certaines garanties imposées lors de l’autorisation de ces traitements n’étaient pas respectées.
Quels manquements la CNIL a-t-elle retenus ?
La décision met en évidence plusieurs catégories de manquements particulièrement instructives.
Une information insuffisante des personnes concernées
La CNIL a constaté que des patients n’étaient pas correctement informés de la transmission de leurs données vers les entrepôts exploités par IQVIA.
Or, le principe de transparence constitue l’un des fondements du RGPD.
Même lorsque les données sont pseudonymisées, les personnes concernées doivent pouvoir comprendre :
- quelles données sont collectées ;
- pour quelles finalités ;
- qui les utilise ;
- quels sont leurs droits.
Des difficultés dans l’exercice du droit d’opposition
La CNIL a également relevé des dysfonctionnements affectant l’exercice du droit d’opposition.
Certaines personnes ne pouvaient pas s’opposer efficacement à l’utilisation de leurs données alors même que ce droit était prévu dans le cadre des autorisations délivrées.
Pour les entreprises, ce point est essentiel :
Disposer d’une procédure d’exercice des droits n’est pas suffisant.
Encore faut-il qu’elle fonctionne réellement dans la pratique.
Des insuffisances en matière de sécurité
La décision relève également plusieurs manquements relatifs à la sécurité des traitements.
Parmi les éléments évoqués figurent notamment :
- l’absence de certaines mesures de sécurité renforcées ;
- des insuffisances dans le suivi des accès ;
- des dispositifs de contrôle jugés insuffisants au regard de la sensibilité des données traitées.
La CNIL rappelle ainsi un principe désormais constant :
Plus les données sont sensibles, plus le niveau d’exigence en matière de sécurité est élevé.
Le respect des conditions d’autorisation
La CNIL a également considéré que certaines utilisations réalisées ne respectaient pas pleinement le cadre autorisé.
Ce point mérite une attention particulière.
L’obtention d’une autorisation ou la réalisation d’une analyse de conformité ne constitue jamais un « permis permanent ».
Les traitements doivent continuer à respecter les conditions ayant justifié leur mise en œuvre.
Données pseudonymisées : pourquoi le RGPD continue de s’appliquer
L’un des arguments soulevés dans cette affaire concernait la qualification des données utilisées.
La société soutenait notamment que les données pouvaient être considérées comme anonymes.
La CNIL a rejeté cette analyse et a considéré que les données demeuraient des données à caractère personnel relevant du RGPD.
Cette distinction est fondamentale.
Donnée anonyme
Une donnée anonyme ne permet plus d’identifier une personne, directement ou indirectement.
Le RGPD ne s’applique plus.
Donnée pseudonymisée
Une donnée pseudonymisée ne contient plus directement l’identité de la personne mais peut, dans certaines conditions, permettre une réidentification.
Le RGPD continue alors de s’appliquer pleinement.
Cette décision rappelle que la qualification d’une donnée comme « anonyme » doit être appréciée avec prudence et au regard des possibilités réelles de réidentification.
Pourquoi cette décision dépasse le seul secteur de la santé
Même si cette affaire concerne des données de santé, les enseignements sont transposables à de nombreux secteurs.
Sont notamment concernés :
- les entreprises développant des solutions d’intelligence artificielle ;
- les plateformes numériques ;
- les éditeurs de logiciels SaaS ;
- les sociétés exploitant des bases de données clients ;
- les entreprises réalisant des analyses statistiques ou prédictives.
La logique de la CNIL est claire :
La valeur économique de la donnée ne réduit jamais les obligations de conformité.
Au contraire, plus la donnée est stratégique ou sensible, plus les exigences réglementaires augmentent.
Quelles leçons concrètes pour les entreprises ?
Cette sanction rappelle plusieurs bonnes pratiques essentielles.
Vérifier la chaîne d’information
Une entreprise doit s’assurer que l’information délivrée aux personnes est réellement communiquée à chaque étape du traitement.
Tester régulièrement l’exercice des droits
Les mécanismes permettant l’exercice des droits RGPD doivent être testés et audités périodiquement.
Renforcer les mesures de cybersécurité
L’authentification forte, la gestion des habilitations, la journalisation des accès et la surveillance des systèmes doivent faire l’objet d’une vigilance constante.
Revoir les analyses d’impact (AIPD)
Les traitements impliquant des données sensibles doivent faire l’objet d’une analyse d’impact régulièrement actualisée.
Contrôler les partenaires et sous-traitants
Les responsabilités ne disparaissent pas lorsqu’une partie du traitement est externalisée.
Le responsable de traitement demeure tenu de s’assurer du respect des exigences réglementaires.
Une illustration du durcissement des contrôles de la CNIL
Cette décision s’inscrit dans un contexte de renforcement général des contrôles de la CNIL.
Les données de santé, les traitements massifs de données et les projets intégrant l’intelligence artificielle figurent parmi les sujets de vigilance prioritaires des autorités de protection des données.
Les entreprises ont donc intérêt à adopter une approche proactive de la conformité plutôt qu’une logique de réaction après contrôle.
Besoin d’un accompagnement en conformité RGPD ou gouvernance des données ?
La conformité ne se limite pas à la rédaction de documents juridiques.
Elle implique une compréhension fine des enjeux opérationnels, des traitements effectivement réalisés et des risques associés aux données exploitées par l’entreprise.
LexRegIA accompagne les entreprises dans leurs projets de transformation numérique, leurs démarches de conformité RGPD, leurs analyses d’impact, leurs audits de gouvernance des données et leurs enjeux liés à l’intelligence artificielle.
Vous souhaitez sécuriser un projet impliquant des données personnelles ou sensibles ? Contactez le cabinet pour échanger sur vos besoins.
