Le contexte

La société IQVIA OPERATIONS FRANCE, filiale du groupe IQVIA, exerce une activité de conseil et de réalisation d’études, pour son propre compte ou pour le compte de laboratoires pharmaceutiques (études qui portent sur certaines maladies ou certains traitements administrés).

Pour procéder à ces études, elle s’appuie sur deux entrepôts de données de santé que la CNIL l’a autorisée à constituer :

• L’entrepôt LRX, autorisé en 2018, alimenté par des données collectées auprès d’environ 14 000 pharmacies ;
• L’entrepôt EMR, autorisé en 2021, alimenté par des données collectées auprès de plusieurs milliers de médecins.

Comme pour toutes les demandes d’autorisations en santé qu’elle traite (539 dossiers en 2025), la CNIL avait exigé un certain nombre de garanties pour limiter les risques pour les personnes et respecter leurs droits. En effet, les données de santé concernées par ces entrepôts sont des données particulièrement sensibles qui doivent bénéficier d’une protection renforcée.

À la suite de la diffusion d’un reportage réalisé par le magazine « Cash Investigation », la CNIL a été saisie de plusieurs plaintes, de particuliers et d’associations, faisant notamment état du manque de transparence des traitements mis en œuvre à l’égard des patients. La CNIL a dès lors mené plusieurs contrôles, tant auprès de la société que de pharmacies partenaires.

Sur la base des constatations effectuées lors de ces contrôles, la  – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société n’avait pas respecté les termes des autorisations délivrées, s’agissant notamment de l’information des personnes, de l’exercice de leurs droits et de la sécurité des données.

Pour l’ensemble de ces manquements, la formation restreinte a prononcé une amende de 5 millions d’euros à l’encontre de la société IQVIA OPERATIONS FRANCE au regard de la gravité des manquements relevés, qui concernent des données de santé, donc des données sensibles, du nombre élevé de personnes concernées (plusieurs dizaines de millions), de la position de la société sur le marché et de ses capacités financières. Cette décision a été rendue publique.

La CNIL a également prononcé des injonctions de prendre des mesures permettant de mettre fin à certains manquements dans un délai de six mois, sous peine de 10 000 euros par jour de retard.

À noter : toutes les amendes prononcées par la CNIL, qu’elles concernent les acteurs privés ou publics, sont recouvrées par le Trésor public (Direction générale des finances publiques) et sont versées au budget de l’État.

Des données pseudonymes et non anonymes

Dans le cadre de la procédure de sanction, et en réaction à un arrêt rendu par la le 4 septembre 2025 (dit « arrêt SRB »), IQVIA a soutenu que les données figurant dans les entrepôts LRX et EMR étaient anonymes et que, dès lors, les règles relatives à la protection des données n’étaient pas applicables.

La formation restreinte a au contraire considéré que ces données n’étaient pas anonymes, mais seulement pseudonymes, la réidentification des personnes concernées étant possible, avec des moyens raisonnables.

La société IQVIA collectait de très nombreuses données sur les personnes concernées, telles que l’année de naissance, le sexe, des informations relatives au médecin consulté et aux prescriptions délivrées, ainsi que, pour l’entrepôt EMR, la situation matrimoniale, le nombre d’enfants, la catégorie socio-professionnelle et diverses informations liées à la santé (diagnostic posé, symptômes, allergies, poids, taille, pouls, vaccins, examens ou encore arrêts de travail).

Dans chaque entrepôt, ces données étaient reliées à un identifiant unique pour chaque patient, permettant de suivre son parcours de soin.

La formation restreinte a considéré que le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour que les données traitées par la société soient considérées comme anonymes, compte tenu de :

• l’existence d’un identifiant unique ;
• la profondeur des données collectées par la société ;
• la possibilité d’identifier des personnes en combinant les données détenues par la société IQVIA avec des données publiquement accessibles.

Elle a en outre rappelé que, jusqu’à l’arrêt SRB, la société n’avait jamais contesté traiter des données personnelles, et qu’elle avait à cet égard sollicité et obtenu des autorisations de la CNIL, qu’elle se devait de respecter.

Les manquements sanctionnés

Des manquements à l’obligation de respecter les autorisations délivrées par la CNIL (article 66 de la loi Informatique et Libertés)

La loi Informatique et Libertés (article 66.III) prévoit que les traitements de données personnelles dans le domaine de la santé ne peuvent être mis en œuvre qu’après autorisation de la CNIL ou à la condition d’être conformes à un référentiel (article 66.II).

Si la société IQVIA a bien été autorisée par la CNIL à constituer les entrepôts de données de santé LRX et EMR, les contrôles réalisés ont permis de constater qu’en pratique, les traitements mis en œuvre ne respectaient pas les conditions posées par les autorisations délivrées.

La formation restreinte a ainsi relevé que des obligations de sécurité n’étaient pas respectées. Par exemple, pour les deux entrepôts, aucune mesure ne permettait d’analyser, de manière régulière, les journaux de connexions, et donc de détecter efficacement les activités anormales. Pour l’entrepôt EMR, aucune authentification multifacteur n’était mise en œuvre pour accéder aux données.

Pour cet entrepôt également, la formation restreinte a constaté :

• l’inexactitude des mentions figurant sur la notice d’information délivrée aux patients ;
• l’absence de mise en œuvre d’une procédure permettant aux personnes de pouvoir exercer leur de manière effective.

La société a démontré avoir, depuis les contrôles réalisés, remédié aux manquements relatifs à la sécurité et à la confidentialité des données. Les manquements relatifs aux mentions d’informations figurant dans la notice EMR et à l’exercice du droit d’opposition ont quant à eux fait l’objet d’injonctions, la société devant prendre des mesures dans un délai de 6 mois maximum, sous peine de s’exposer au paiement d’une astreinte.

Un manquement à l’information des personnes s’agissant de l’entrepôt LRX (article 14 du RGPD)  

Les contrôles réalisés auprès de quatre pharmacies ont permis de constater qu’aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA.

La formation restreinte a rappelé que, si la société a confié aux pharmaciens – seuls à être en contact direct avec les personnes concernées – le soin de délivrer cette information pour son compte, c’est bien à IQVIA qu’il appartient de s’assurer du respect de cette obligation, en tant que .

La formation restreinte a également relevé deux autres manquements :

• le premier a trait à des études réalisées par la société pour son propre compte à partir de cet entrepôt hors de tout cadre légal (article 66 de la loi Informatique et Libertés) ;
• le second concerne la conception du logiciel de gestion utilisées dans les pharmacies qui transmettent les données des clients à IQVIA, même en cas de refus (article 25 du RGPD).