惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Project Zero
Project Zero
Security Archives - TechRepublic
Security Archives - TechRepublic
C
Cyber Attacks, Cyber Crime and Cyber Security
Security Latest
Security Latest
Scott Helme
Scott Helme
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
V
Vulnerabilities – Threatpost
C
CERT Recently Published Vulnerability Notes
S
Schneier on Security
G
GRAHAM CLULEY
L
Lohrmann on Cybersecurity
D
Darknet – Hacking Tools, Hacker News & Cyber Security
I
Intezer
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
F
Full Disclosure
T
The Exploit Database - CXSecurity.com
P
Proofpoint News Feed
WordPress大学
WordPress大学
Microsoft Azure Blog
Microsoft Azure Blog
H
Help Net Security
大猫的无限游戏
大猫的无限游戏
MyScale Blog
MyScale Blog
Hacker News: Ask HN
Hacker News: Ask HN
G
Google Developers Blog
H
Heimdal Security Blog
O
OpenAI News
Hugging Face - Blog
Hugging Face - Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
L
LangChain Blog
C
Cisco Blogs
云风的 BLOG
云风的 BLOG
IT之家
IT之家
Cyberwarzone
Cyberwarzone
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Know Your Adversary
Know Your Adversary
博客园 - 聂微东
The Cloudflare Blog
C
Check Point Blog
K
Kaspersky official blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
月光博客
月光博客
T
Tor Project blog
T
Threat Research - Cisco Blogs
T
Tailwind CSS Blog
P
Proofpoint News Feed
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
A
About on SuperTechFans
小众软件
小众软件
Cloudbric
Cloudbric
A
Arctic Wolf

RSS - Actualités CNIL

Revoir le webinaire : Nouveau téléservice santé et recherche, ce qui change pour vos demandes d’autorisation Travail, ressources humaines : le contrôle de l’activité des personnes employées Le CEPD met en lumière l’anonymisation et le moissonnage pour l’IA générative et adopte la version finale des lignes directrices sur la chaîne de blocs Géolocalisation et applications mobiles : quelles règles pour protéger les données des utilisateurs ? Géolocalisation et applications mobiles : comment protéger vos données ? La CNIL a prononcé 23 nouvelles sanctions depuis janvier au titre de la procédure simplifiée Le métier de DPO à l’heure de l’intelligence artificielle : publication des résultats de l’enquête Jeux d’argent et de hasard : appliquer le RGPD aux traitements de données des joueurs Ordre du jour de la séance plénière du 2 juillet 2026 Véhicules connectés : dans quelles conditions vos données de localisation peuvent être utilisées ? Véhicules connectés : la CNIL publie sa recommandation sur l’utilisation des données de localisation Technologies émergentes et protection des mineurs : les autorités de protection des données du G7 s’accordent sur des principes clés Victimes de violations de données : restez vigilants face aux offres d’accompagnement Quatre auteurs reçoivent le deuxième prix CNIL/EHESS pour leur recherche sur la réception du règlement IA par les citoyens européens Informations publiques Remise du prix « Protection de la vie privée » 2026 par la CNIL et l’Inria Élections professionnelles dans la fonction publique et vote électronique : comment transmettre les rapports d’expertise à la CNIL ? Sécurité des données : les règles essentielles pour protéger les données et votre activité Ordre du jour de la séance plénière du 18 juin 2026 Nomination de Jean-Michel FIETIER au poste de directeur administratif et financier de la CNIL Revoir le webinaire - Pixels de suivi dans les courriels : présentation des recommandations de la CNIL Le CEPD rencontre le commissaire européen McGrath et adopte un modèle commun de notification des violations de données Communications par voie électronique aux prospects et clients : quelles règles respecter ? Ordre du jour de la séance plénière du 4 juin 2026 Quelles qualifications pour les acteurs de l’informatique en nuage (cloud) ? Ordre du jour de la séance plénière du 28 mai 2026 « IA générative et vie privée » : une affiche coproduite par la PIPC et la CNIL pour sensibiliser les utilisateurs d’IA à la protection de leurs données Cyberattaque : le sous-traitant au centre de la crise Recherche en santé : la CNIL met à jour et élargit le champ des méthodologies de référence 001 et 003 Ordre du jour de la séance plénière du 21 mai 2026 Rapport annuel : le bilan et les actions marquantes de la CNIL en 2025 Confidentialité de l’euro numérique : où en sommes-nous ? Les lunettes connectées : la CNIL appelle à la vigilance Demandes de crédit : comprendre l’utilisation de vos données et vos droits Octroi de crédit : la CNIL publie sa recommandation sur l’utilisation de données personnelles pour l’évaluation de la solvabilité Privacy Research Day : participez à la journée dédiée à la recherche sur la vie privée Les membres et les résultats Médiathèque G7 2026 : la CNIL accueille à Paris la Table ronde des autorités de protection des données et de la vie privée Vue d’ensemble Ordre du jour de la séance plénière du 5 mai 2026 IA conversationnelle et santé mentale des jeunes : résultats de l’enquête européenne Revoir le webinaire - Usages numériques des enfants : comment sensibiliser les parents-salariés ? Commerce de détail : la CNIL approuve le code de conduite porté par l’Alliance du Commerce Le rapport d’activité du DPO : piloter la conformité et valoriser ses actions Vote par correspondance électronique : la CNIL met à jour sa recommandation Lignes directrices pour la recherche scientifique et certification : les derniers documents adoptés par le CEPD Revoir le webinaire - Élections municipales 2026 : quelles sont les nouvelles règles de ciblage électoral ? AIPD : le CEPD lance une consultation publique sur un modèle européen Ordre du jour de la séance plénière du 16 avril 2026 Les sanctions prononcées par la CNIL Pixels de suivi dans les courriers électroniques : vous devez être mieux informés Pixels de suivi dans les courriers électroniques : la CNIL publie ses recommandations pour mieux protéger la vie privée Municipales 2026 : le bilan de l’observatoire des élections de la CNIL Outil PIA : téléchargez et installez le logiciel de la CNIL Accompagnement des professionnels : le programme de travail de la CNIL pour 2026 Les webinaires de la CNIL Désigner un délégué à la protection des données (DPO) ou modifier une désignation Les contrôles en 2026 : recrutement, répertoire électoral unique et fédérations sportives Ordre du jour de la séance plénière du 2 avril 2026 Gestion des ressources humaines : la CNIL publie un référentiel de durées de conservation Revoir le webinaire - Développement d’un système IA, webscraping : comment mobiliser la base légale de l’intérêt légitime ? Données post mortem : publication du cahier air2025 sur l’éthique des traces numériques
Données de santé : sanction de 5 millions d’euros à l’encontre de la société IQVIA
CNIL · 2026-05-28 · via RSS - Actualités CNIL

Le 26 mai 2026, la société IQVIA OPERATIONS FRANCE a été sanctionnée d’une amende de 5 millions d’euros, notamment pour non-respect des garanties visant à limiter les risques pour les personnes dans le cadre de la gestion d’entrepôts de données de santé.

Le contexte

La société IQVIA OPERATIONS FRANCE, filiale du groupe IQVIA, exerce une activité de conseil et de réalisation d’études, pour son propre compte ou pour le compte de laboratoires pharmaceutiques (études qui portent sur certaines maladies ou certains traitements administrés).

Pour procéder à ces études, elle s’appuie sur deux entrepôts de données de santé que la CNIL l’a autorisée à constituer :

  • L’entrepôt LRX, autorisé en 2018, alimenté par des données collectées auprès d’environ 14 000 pharmacies ;
  • L’entrepôt EMR, autorisé en 2021, alimenté par des données collectées auprès de plusieurs milliers de médecins.

Comme pour toutes les demandes d’autorisations en santé qu’elle traite (539 dossiers en 2025), la CNIL avait exigé un certain nombre de garanties pour limiter les risques pour les personnes et respecter leurs droits. En effet, les données de santé concernées par ces entrepôts sont des données particulièrement sensibles qui doivent bénéficier d’une protection renforcée.

À la suite de la diffusion d’un reportage réalisé par le magazine « Cash Investigation », la CNIL a été saisie de plusieurs plaintes, de particuliers et d’associations, faisant notamment état du manque de transparence des traitements mis en œuvre à l’égard des patients. La CNIL a dès lors mené plusieurs contrôles, tant auprès de la société que de pharmacies partenaires.

Sur la base des constatations effectuées lors de ces contrôles, la  – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société n’avait pas respecté les termes des autorisations délivrées, s’agissant notamment de l’information des personnes, de l’exercice de leurs droits et de la sécurité des données.

Pour l’ensemble de ces manquements, la formation restreinte a prononcé une amende de 5 millions d’euros à l’encontre de la société IQVIA OPERATIONS FRANCE au regard de la gravité des manquements relevés, qui concernent des données de santé, donc des données sensibles, du nombre élevé de personnes concernées (plusieurs dizaines de millions), de la position de la société sur le marché et de ses capacités financières. Cette décision a été rendue publique.

La CNIL a également prononcé des injonctions de prendre des mesures permettant de mettre fin à certains manquements dans un délai de six mois, sous peine de 10 000 euros par jour de retard.

À noter : toutes les amendes prononcées par la CNIL, qu’elles concernent les acteurs privés ou publics, sont recouvrées par le Trésor public (Direction générale des finances publiques) et sont versées au budget de l’État.

Des données pseudonymes et non anonymes

Dans le cadre de la procédure de sanction, et en réaction à un arrêt rendu par la le 4 septembre 2025 (dit « arrêt SRB »), IQVIA a soutenu que les données figurant dans les entrepôts LRX et EMR étaient anonymes et que, dès lors, les règles relatives à la protection des données n’étaient pas applicables.

La formation restreinte a au contraire considéré que ces données n’étaient pas anonymes, mais seulement pseudonymes, la réidentification des personnes concernées étant possible, avec des moyens raisonnables.

La société IQVIA collectait de très nombreuses données sur les personnes concernées, telles que l’année de naissance, le sexe, des informations relatives au médecin consulté et aux prescriptions délivrées, ainsi que, pour l’entrepôt EMR, la situation matrimoniale, le nombre d’enfants, la catégorie socio-professionnelle et diverses informations liées à la santé (diagnostic posé, symptômes, allergies, poids, taille, pouls, vaccins, examens ou encore arrêts de travail).

Dans chaque entrepôt, ces données étaient reliées à un identifiant unique pour chaque patient, permettant de suivre son parcours de soin.

La formation restreinte a considéré que le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour que les données traitées par la société soient considérées comme anonymes, compte tenu de :

  • l’existence d’un identifiant unique ;
  • la profondeur des données collectées par la société ;
  • la possibilité d’identifier des personnes en combinant les données détenues par la société IQVIA avec des données publiquement accessibles.

Elle a en outre rappelé que, jusqu’à l’arrêt SRB, la société n’avait jamais contesté traiter des données personnelles, et qu’elle avait à cet égard sollicité et obtenu des autorisations de la CNIL, qu’elle se devait de respecter.

Les manquements sanctionnés

Des manquements à l’obligation de respecter les autorisations délivrées par la CNIL (article 66 de la loi Informatique et Libertés)

La loi Informatique et Libertés (article 66.III) prévoit que les traitements de données personnelles dans le domaine de la santé ne peuvent être mis en œuvre qu’après autorisation de la CNIL ou à la condition d’être conformes à un référentiel (article 66.II).

Si la société IQVIA a bien été autorisée par la CNIL à constituer les entrepôts de données de santé LRX et EMR, les contrôles réalisés ont permis de constater qu’en pratique, les traitements mis en œuvre ne respectaient pas les conditions posées par les autorisations délivrées.

La formation restreinte a ainsi relevé que des obligations de sécurité n’étaient pas respectées. Par exemple, pour les deux entrepôts, aucune mesure ne permettait d’analyser, de manière régulière, les journaux de connexions, et donc de détecter efficacement les activités anormales. Pour l’entrepôt EMR, aucune authentification multifacteur n’était mise en œuvre pour accéder aux données.

Pour cet entrepôt également, la formation restreinte a constaté :

  • l’inexactitude des mentions figurant sur la notice d’information délivrée aux patients ;
  • l’absence de mise en œuvre d’une procédure permettant aux personnes de pouvoir exercer leur de manière effective.

La société a démontré avoir, depuis les contrôles réalisés, remédié aux manquements relatifs à la sécurité et à la confidentialité des données. Les manquements relatifs aux mentions d’informations figurant dans la notice EMR et à l’exercice du droit d’opposition ont quant à eux fait l’objet d’injonctions, la société devant prendre des mesures dans un délai de 6 mois maximum, sous peine de s’exposer au paiement d’une astreinte.

Un manquement à l’information des personnes s’agissant de l’entrepôt LRX (article 14 du RGPD)  

Les contrôles réalisés auprès de quatre pharmacies ont permis de constater qu’aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA.

La formation restreinte a rappelé que, si la société a confié aux pharmaciens – seuls à être en contact direct avec les personnes concernées – le soin de délivrer cette information pour son compte, c’est bien à IQVIA qu’il appartient de s’assurer du respect de cette obligation, en tant que .

La formation restreinte a également relevé deux autres manquements :

  • le premier a trait à des études réalisées par la société pour son propre compte à partir de cet entrepôt hors de tout cadre légal (article 66 de la loi Informatique et Libertés) ;
  • le second concerne la conception du logiciel de gestion utilisées dans les pharmacies qui transmettent les données des clients à IQVIA, même en cas de refus (article 25 du RGPD).

Le rôle de la CNIL vis-à-vis des plaignants

La CNIL est le régulateur des données personnelles. Elle répond aux demandes des particuliers et des professionnels.

Toute personne peut adresser une plainte à la CNIL lorsqu’elle rencontre une difficulté dans l’exercice de ses droits ou pour signaler une atteinte aux règles de protection des données personnelles. La CNIL peut contrôler les organismes et, en cas de manquements, elle peut décider de les sanctionner.

La CNIL n’est toutefois pas compétente pour indemniser les personnes qui lui ont adressé une plainte. Celles-ci peuvent déposer une plainte auprès des services de police ou de gendarmerie.

En savoir plus