Première sanction à l’encontre d'un responsable de traitement d'entrepôts de données de santé

La société IQVIA avait été autorisée par la CNIL à constituer deux entrepôts de données de santé : l'entrepôt LRX, alimenté par des données collectées auprès d'environ 14 000 officines, et l'entrepôt EMR, alimenté par des données collectées auprès de médecins. Ces entrepôts permettent un suivi longitudinal du parcours de soins de millions de patients – la société évoquant « 20 millions de patients anonymisés suivis dans le temps » dans ses documents de présentation. 

Manquements à l'information des personnes et inapplicabilité de la MR004

Le premier axe majeur de la sanction porte sur les défaillances en matière d'information des personnes concernées. S'agissant de l'entrepôt LRX, l'autorisation délivrée par la CNIL prévoyait que les pharmaciens seraient contractuellement chargés d'informer individuellement leurs clients par la remise d'une notice d'information et l'affichage d'un document au sein de l'officine. Or, les contrôles réalisés auprès de quatre pharmacies parisiennes participant au panel LRX ont démontré qu'aucune d'entre elles ne délivrait ces informations, ni par la remise d'une notice individuelle ni par affichage. La formation restreinte a considéré que cette obligation d'information incombait bien à IQVIA en sa qualité de responsable du traitement, quand bien même la société n'avait aucun contact direct avec les personnes concernées. 

La formation restreinte a souligné que les personnes concernées voyaient leurs données de santé traitées « à leur insu » et se trouvaient « de facto, dans l'impossibilité d'exercer leurs droits ». En outre, et c'est un point fondamental de la décision, cette carence en matière d'information rendait inapplicable la méthodologie de référence MR-004 dont la société se prévalait pour la réalisation d'études à partir de l'entrepôt LRX. 
En effet, la MR-004 exige une information individuelle préalable des personnes concernées sur la réutilisation de leurs données. A défaut, la société ne pouvait se fonder sur cette méthodologie, et les études réalisées ne bénéficiaient par conséquent d'aucune base légale – ni autorisation de la CNIL, ni conformité à un référentiel. Un manquement à l'article 66 de la loi Informatique et Libertés [imposant des formalités préalables] a donc été retenu sur ce chef, distinct du manquement à l'article 14 du RGPD [information en cas de collecte indirecte]. 

S'agissant de l'entrepôt EMR, la formation restreinte a en outre relevé que la société n'avait pas mis en place de procédure opérationnelle permettant la levée du pseudonymat et la bonne réidentification des personnes souhaitant exercer leur droit d'opposition a posteriori, contrairement aux exigences de l'autorisation. 

Manquements relatifs à la sécurité en violation des autorisations…ou de l’état de l’art

Le second axe de la sanction concerne des manquements en matière de sécurité des données, en violation des termes des autorisations accordées ou de l’état de l’art.

Premièrement, la formation restreinte a constaté une absence de cloisonnement du réseau, tant pour l'entrepôt LRX que pour l'entrepôt EMR, en violation directe des termes des autorisations qui exigeaient expressément une « compartimentation » du réseau. Cette absence de cloisonnement facilite les attaques par rebond, un poste compromis permettant d'accéder à l'ensemble du réseau et potentiellement aux données sensibles des entrepôts. 

Deuxièmement, la traçabilité des accès et le contrôle d'accès se sont révélés insuffisants. Si la société disposait d'un système SIEM permettant de détecter des anomalies techniques, aucune surveillance des activités métier n'était opérée – c'est-à-dire qu'aucun dispositif ne permettait de détecter un usage anormal des données par une personne pourtant habilitée. L'autorisation exigeait pourtant explicitement une « analyse régulière des traces » couvrant les opérations de consultation, création, modification et suppression au sein de l'entrepôt. 

Troisièmement, et ce point revêt un intérêt doctrinal particulier, la formation restreinte a relevé l'absence d'authentification multifacteur pour l'accès à l'entrepôt LRX. Elle a reconnu que cette absence ne contrevenait pas, en soi, aux exigences posées par l'autorisation de 2018, la CNIL ayant à l'époque considéré les modalités d'authentification conformes à sa recommandation de 2017. Toutefois, elle a considéré que ces modalités « ne correspondent plus aujourd'hui à l'état de l'art » et qu'elles aggravaient les conséquences de l'absence de cloisonnement. 
Ce raisonnement est porteur d'un enseignement majeur : un responsable de traitement ne peut se soustraire à la conformité à l'état de l'art en matière de sécurité, pas même en invoquant le respect des mesures techniques décrites dans une autorisation antérieure. 
L'obligation de l'article 32 du RGPD, qui impose de tenir compte de « l'état des connaissances », est une obligation continue et dynamique. 

Sanction, après rejet de l'argument tiré du caractère non personnel des données

La société avait tenté, dans ses dernières écritures s'appuyant sur l'arrêt « SRB » de la CJUE du 4 septembre 2025, de soutenir que les données de ses entrepôts étaient anonymes et échappaient dès lors au RGPD. 
La formation restreinte a écarté cet argument en relevant trois éléments déterminants : l'existence d'un identifiant unique attribué à chaque patient permettant un suivi longitudinal, la profondeur et la richesse des données collectées permettant d'individualiser les patients et de retracer des parcours de soins, et la possibilité de réidentifier des personnes en combinant les données détenues par IQVIA avec des données publiquement accessibles, notamment via les réseaux sociaux. 
La formation restreinte a conclu que les mesures de pseudonymisation avaient « seulement pour effet de réduire les risques d'une mise en corrélation de ces données avec l'identité des personnes concernées, mais non de les supprimer ». 
L'amende de cinq millions d'euros a été déterminée en tenant compte du chiffre d'affaires du groupe IQVIA au niveau mondial (15 milliards de dollars en 2023), la CJUE ayant confirmé que la notion d'« entreprise » au sens des articles 101 et 102 TFUE devait être retenue pour le calcul des amendes. La formation restreinte a également prononcé une injonction de mise en conformité sous astreinte de 10 000 euros par jour de retard à l'issue d'un délai de six mois, portant notamment sur l'information effective des patients, l'arrêt des études réalisées hors cadre légal, et la mise en œuvre de mesures de protection des données dès la conception. La décision est rendue publique pour une durée de deux ans. 

Cette décision constitue un signal fort adressé à l'ensemble des acteurs de la donnée de santé : le bénéfice d'une autorisation de la CNIL n'est pas un blanc-seing, tout non-respect de ses termes ou de non-conformité à l’état de l’art expose à des sanctions financières significatives.

[1] Délibération SAN-2026-008 du 26 mai 2026