logo IQVIA

Données de santé : ce que la sanction de 5 millions d’euros infligée à IQVIA doit apprendre aux entreprises

Le 26 mai 2026, la CNIL a prononcé une amende de 5 millions d’euros à l’encontre de la société IQVIA OPERATIONS FRANCE pour plusieurs manquements relatifs à l’exploitation de deux entrepôts de données de santé. Cette décision constitue l’une des sanctions les plus significatives prononcées récemment dans le domaine des données de santé et rappelle l’exigence particulière qui s’attache au traitement de données considérées comme sensibles au sens du RGPD.

Au-delà du montant de l’amende, cette affaire constitue un signal fort adressé à toutes les organisations qui collectent, analysent ou exploitent des données de santé, directement ou indirectement.

Le contexte de l’affaire IQVIA

IQVIA est un acteur international spécialisé dans les études, analyses et services destinés notamment à l’industrie pharmaceutique.

Pour réaliser certaines de ses études, la société s’appuie sur deux entrepôts de données de santé autorisés par la CNIL :

  • un entrepôt alimenté par des données issues d’environ 14 000 pharmacies ;
  • un entrepôt alimenté par des données collectées auprès de plusieurs milliers de médecins.

À la suite de plusieurs plaintes et de contrôles menés par la CNIL, l’autorité a estimé que certaines garanties imposées lors de l’autorisation de ces traitements n’étaient pas respectées.

Quels manquements la CNIL a-t-elle retenus ?

La décision met en évidence plusieurs catégories de manquements particulièrement instructives.

Une information insuffisante des personnes concernées

La CNIL a constaté que des patients n’étaient pas correctement informés de la transmission de leurs données vers les entrepôts exploités par IQVIA.

Or, le principe de transparence constitue l’un des fondements du RGPD.

Même lorsque les données sont pseudonymisées, les personnes concernées doivent pouvoir comprendre :

  • quelles données sont collectées ;
  • pour quelles finalités ;
  • qui les utilise ;
  • quels sont leurs droits.

Des difficultés dans l’exercice du droit d’opposition

La CNIL a également relevé des dysfonctionnements affectant l’exercice du droit d’opposition.

Certaines personnes ne pouvaient pas s’opposer efficacement à l’utilisation de leurs données alors même que ce droit était prévu dans le cadre des autorisations délivrées.

Pour les entreprises, ce point est essentiel :

Disposer d’une procédure d’exercice des droits n’est pas suffisant.

Encore faut-il qu’elle fonctionne réellement dans la pratique.

Des insuffisances en matière de sécurité

La décision relève également plusieurs manquements relatifs à la sécurité des traitements.

Parmi les éléments évoqués figurent notamment :

  • l’absence de certaines mesures de sécurité renforcées ;
  • des insuffisances dans le suivi des accès ;
  • des dispositifs de contrôle jugés insuffisants au regard de la sensibilité des données traitées.

La CNIL rappelle ainsi un principe désormais constant :

Plus les données sont sensibles, plus le niveau d’exigence en matière de sécurité est élevé.

Le respect des conditions d’autorisation

La CNIL a également considéré que certaines utilisations réalisées ne respectaient pas pleinement le cadre autorisé.

Ce point mérite une attention particulière.

L’obtention d’une autorisation ou la réalisation d’une analyse de conformité ne constitue jamais un « permis permanent ».

Les traitements doivent continuer à respecter les conditions ayant justifié leur mise en œuvre.

Données pseudonymisées : pourquoi le RGPD continue de s’appliquer

L’un des arguments soulevés dans cette affaire concernait la qualification des données utilisées.

La société soutenait notamment que les données pouvaient être considérées comme anonymes.

La CNIL a rejeté cette analyse et a considéré que les données demeuraient des données à caractère personnel relevant du RGPD.

Cette distinction est fondamentale.

Donnée anonyme

Une donnée anonyme ne permet plus d’identifier une personne, directement ou indirectement.

Le RGPD ne s’applique plus.

Donnée pseudonymisée

Une donnée pseudonymisée ne contient plus directement l’identité de la personne mais peut, dans certaines conditions, permettre une réidentification.

Le RGPD continue alors de s’appliquer pleinement.

Cette décision rappelle que la qualification d’une donnée comme « anonyme » doit être appréciée avec prudence et au regard des possibilités réelles de réidentification.

Pourquoi cette décision dépasse le seul secteur de la santé

Même si cette affaire concerne des données de santé, les enseignements sont transposables à de nombreux secteurs.

Sont notamment concernés :

  • les entreprises développant des solutions d’intelligence artificielle ;
  • les plateformes numériques ;
  • les éditeurs de logiciels SaaS ;
  • les sociétés exploitant des bases de données clients ;
  • les entreprises réalisant des analyses statistiques ou prédictives.

La logique de la CNIL est claire :

La valeur économique de la donnée ne réduit jamais les obligations de conformité.

Au contraire, plus la donnée est stratégique ou sensible, plus les exigences réglementaires augmentent.

Quelles leçons concrètes pour les entreprises ?

Cette sanction rappelle plusieurs bonnes pratiques essentielles.

Vérifier la chaîne d’information

Une entreprise doit s’assurer que l’information délivrée aux personnes est réellement communiquée à chaque étape du traitement.

Tester régulièrement l’exercice des droits

Les mécanismes permettant l’exercice des droits RGPD doivent être testés et audités périodiquement.

Renforcer les mesures de cybersécurité

L’authentification forte, la gestion des habilitations, la journalisation des accès et la surveillance des systèmes doivent faire l’objet d’une vigilance constante.

Revoir les analyses d’impact (AIPD)

Les traitements impliquant des données sensibles doivent faire l’objet d’une analyse d’impact régulièrement actualisée.

Contrôler les partenaires et sous-traitants

Les responsabilités ne disparaissent pas lorsqu’une partie du traitement est externalisée.

Le responsable de traitement demeure tenu de s’assurer du respect des exigences réglementaires.

Une illustration du durcissement des contrôles de la CNIL

Cette décision s’inscrit dans un contexte de renforcement général des contrôles de la CNIL.

Les données de santé, les traitements massifs de données et les projets intégrant l’intelligence artificielle figurent parmi les sujets de vigilance prioritaires des autorités de protection des données.

Les entreprises ont donc intérêt à adopter une approche proactive de la conformité plutôt qu’une logique de réaction après contrôle.

Besoin d’un accompagnement en conformité RGPD ou gouvernance des données ?

La conformité ne se limite pas à la rédaction de documents juridiques.

Elle implique une compréhension fine des enjeux opérationnels, des traitements effectivement réalisés et des risques associés aux données exploitées par l’entreprise.

LexRegIA accompagne les entreprises dans leurs projets de transformation numérique, leurs démarches de conformité RGPD, leurs analyses d’impact, leurs audits de gouvernance des données et leurs enjeux liés à l’intelligence artificielle.

Vous souhaitez sécuriser un projet impliquant des données personnelles ou sensibles ? Contactez le cabinet pour échanger sur vos besoins.

Questions

FAQ

La CNIL a relevé plusieurs manquements concernant l’information des personnes, l’exercice de leurs droits, la sécurité des données et le respect des conditions d’autorisation des entrepôts de données de santé.

La sanction prononcée par la CNIL s’élève à 5 millions d’euros.

Oui. Les données pseudonymisées restent des données à caractère personnel dès lors qu’une réidentification demeure possible.

Il s’agit d’une infrastructure permettant de centraliser et d’exploiter des données de santé à des fins de recherche, d’analyse ou d’études, sous réserve du respect de règles strictes.

Toutes les organisations traitant des données personnelles, en particulier des données sensibles ou à grande échelle.

Oui. Le non-respect des obligations du RGPD peut être sanctionné indépendamment de toute violation de données.

Parce qu’elles font partie des catégories particulières de données protégées par le RGPD en raison de leur sensibilité.

Elle est obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Oui. Le responsable de traitement doit s’assurer que ses sous-traitants présentent des garanties suffisantes.

Par la mise en place d’une gouvernance des données, d’audits réguliers, d’une documentation à jour et de mesures de sécurité adaptées.

Publications similaires