Sanction CNIL contre IQVIA : 5 M€ et la leçon des entrepôts de données de santé

Le 26 mai 2026, la formation restreinte de la CNIL a infligé une amende de 5 millions d’euros à la société IQVIA Operations France (délibération SAN-2026-008). En cause : la gestion de deux entrepôts de données de santé alimentés par environ 14 000 pharmacies et plusieurs milliers de médecins, au mépris des garanties prévues pour protéger les personnes.

Dans le sillage de l’affaire Cegedim, cette nouvelle décision confirme une tendance de fond : les données de santé sont devenues le terrain de contrôle privilégié de la CNIL. Et cette fois, il ne s’agit pas d’un piratage, mais d’un défaut de conformité dans le fonctionnement quotidien d’un acteur autorisé.

Si vous pilotez un entrepôt de données, un traitement de recherche ou un projet d’analyse à grande échelle, cette décision est un cas d’école. Voyons ensemble ce que la CNIL a reproché à IQVIA, pourquoi le débat sur l’anonymisation a tourné court, et les leçons à en tirer.

Qui est IQVIA et qu’est-ce qu’un entrepôt de données de santé ?

IQVIA Operations France, filiale du groupe IQVIA, mène des études de conseil et de recherche pour son propre compte ou pour des laboratoires pharmaceutiques. Pour cela, elle s’appuie sur deux entrepôts de données de santé autorisés par la CNIL :

• l’entrepôt LRX, autorisé en 2018, alimenté par les données collectées auprès d’environ 14 000 pharmacies ;
• l’entrepôt EMR, autorisé en 2021, alimenté par les données de plusieurs milliers de médecins.

Un entrepôt de données de santé (data warehouse) est une base centralisant de grands volumes de données médicales à des fins d’études et de statistiques. Compte tenu de leur sensibilité, ces traitements sont soumis à une autorisation préalable de la CNIL, assortie de conditions strictes. C’est précisément le respect de ces conditions qui était en jeu.

Les manquements retenus par la CNIL

La formation restreinte a constaté que la société n’avait pas respecté les termes des autorisations délivrées, sur trois fronts.

Information et transparence

C’est le point le plus parlant. Sur les quatre pharmacies contrôlées, aucune n’informait ses clients que leurs données étaient transmises à IQVIA. À cela s’ajoutaient une notice d’information inexacte et un droit d’opposition inopérant. Autrement dit, des millions de patients alimentaient ces entrepôts sans le savoir, et sans réelle possibilité de s’y opposer.

Sécurité technique

La CNIL a relevé l’absence de journalisation régulièrement analysée et l’absence d’authentification multifacteur (MFA) sur l’entrepôt EMR. Pour des bases concentrant des données de santé de dizaines de millions de personnes, ces lacunes sont loin d’être anecdotiques.

Base légale et respect des refus

Enfin, certaines études étaient réalisées hors du cadre légal autorisé, et les logiciels de pharmacie transmettaient des données même lorsque le patient avait exprimé son refus. Le consentement, ou son absence, n’était tout simplement pas respecté en pratique.

Anonyme ou pseudonyme ? Le faux débat tranché par la CNIL

C’est le cœur juridique de l’affaire. Pour sa défense, IQVIA soutenait que les données de ses entrepôts étaient anonymes, et donc hors du champ du RGPD.

La formation restreinte a écarté cet argument : ces données ne sont pas anonymes, mais pseudonymes, car la réidentification des personnes reste possible par des moyens raisonnables. La CNIL s’est appuyée sur un faisceau d’indices : la présence d’un identifiant unique, la profondeur des données (année de naissance, sexe, prescriptions, diagnostics, allergies) et la possibilité de croisement avec des données publiques.

Une donnée n’est anonyme que si la réidentification est devenue raisonnablement impossible. Tant qu’une clé ou un recoupement permet de remonter à la personne, elle reste une donnée personnelle, pleinement soumise au RGPD.

La distinction n’a rien de théorique. Si la donnée était anonyme, le RGPD ne s’appliquerait pas. Puisqu’elle est pseudonyme, toutes les obligations (information, sécurité, droits des personnes) demeurent. La tentative de requalification juridique a posteriori ne pouvait, en outre, effacer les conditions des autorisations CNIL déjà accordées.

La responsabilité ne se délègue pas

IQVIA avait confié aux pharmaciens le soin d’informer les patients. Mais en tant que responsable de traitement, c’est à elle qu’il revenait de vérifier que cette information était effectivement délivrée. Déléguer une tâche n’a jamais signifié déléguer la responsabilité.

On confie une mission à un tiers, jamais sa propre responsabilité : c’est le responsable de traitement qui répond, in fine, devant la CNIL.

C’est exactement le fil rouge que nous avions identifié dans l’affaire Cegedim : la chaîne de sous-traitance est désormais au centre de l’attention du régulateur. Que l’on soit éditeur de logiciel ou exploitant d’entrepôt, s’appuyer sur des intermédiaires ne dilue jamais ses propres obligations.

Sanction et injonctions : une réponse graduée

Pour fixer l’amende à 5 millions d’euros, la formation restreinte a retenu plusieurs critères : la gravité des manquements (données sensibles de santé), le nombre très élevé de personnes concernées (plusieurs dizaines de millions), la position de la société sur le marché et sa capacité financière.

Au-delà de l’amende, la CNIL a assorti sa décision d’injonctions : IQVIA doit remédier à certains manquements dans un délai de six mois, sous peine d’une astreinte de 10 000 euros par jour de retard. Le message est clair : la conformité n’est pas négociable, et le temps presse.

Ce que cette décision change pour les entrepôts de données

Cette affaire envoie plusieurs signaux forts à tout acteur manipulant de la donnée à grande échelle.

D’abord, une autorisation CNIL n’est pas un blanc-seing : elle suppose une conformité opérationnelle constante, vérifiée sur le terrain. Ensuite, l’argument de l’anonymisation ne tient que si la réidentification est réellement impossible, ce qui est rarement le cas pour des données de santé riches. Enfin, rappelons que la CNIL impose le MFA pour les recherches en santé à compter du 1er janvier 2027 : mieux vaut s’y préparer dès maintenant.

Actions concrètes pour les responsables d’entrepôts et les DPO

Les priorités à engager sans attendre :

• Vérifier l’effectivité de l’information des personnes, et ne pas se contenter de la déléguer à un tiers : exiger des preuves que le message est réellement transmis.
• Rendre le droit d’opposition opérationnel de bout en bout, jusqu’aux logiciels qui alimentent l’entrepôt.
• Auditer le statut des données : une donnée présentée comme anonyme l’est-elle vraiment ? Tester la réidentification par recoupement.
• Mettre à niveau la sécurité : journalisation analysée régulièrement et authentification multifacteur, en anticipant l’échéance de janvier 2027.
• Aligner les usages sur l’autorisation : aucune étude ne doit sortir du périmètre autorisé.

Besoin d’accompagnement pour sécuriser un entrepôt de données ou fiabiliser votre conformité RGPD sur des données sensibles ? Découvrez nos services pour une approche personnalisée.

Concepts & Notions

📚 Sources et références ▼

Sources officielles

• CNIL - Données de santé : sanction de 5 millions d'euros à l'encontre de la société IQVIA
• CNIL - Health data: fine of 5 million euros against IQVIA (version anglaise)
• CNIL - L'anonymisation de données personnelles

Couverture et analyses

• Next - Pharmacies et données de santé : la CNIL inflige 5 millions d'euros d'amende à IQVIA
• Leto - IQVIA sanctionné 5 M€ par la CNIL : la leçon pour les entrepôts de données de santé
• Boursorama - La CNIL inflige une amende de 5 millions d'euros au cabinet IQVIA

Réglementation

• RGPD - Texte intégral du règlement européen sur la protection des données
• CNIL - Les entrepôts de données de santé