Obtenir une autorisation de la CNIL pour traiter des données de santé n'est pas une fin en soi, c'est le point de départ. La décision rendue le 26 mai 2026 à l'encontre d'IQVIA OPERATIONS FRANCE, filiale française du géant mondial de la donnée de santé, en est la démonstration : la société écope d'une amende de 5 millions d'euros, d'injonctions sous astreinte et d'une publication de la décision pendant deux ans.
QVIA OPERATIONS FRANCE exerce une activité de conseil et de réalisation d'études pour son propre compte ou pour le compte de laboratoires pharmaceutiques, en s'appuyant sur deux entrepôts que la CNIL l'avait autorisée à constituer en 2018 et 2021. C'est à la suite d'un reportage télévisé et de plusieurs plaintes de particuliers que la CNIL a diligenté des contrôles en juillet 2021, dans les locaux de la société et auprès de six officines parisiennes partenaires. Au terme de l'instruction, plusieurs manquements aux conditions posées par les autorisations ont été retenus. Les traitements en cause reposaient sur une architecture complexe, impliquant pharmacies, médecins, éditeurs de logiciels et tiers de confiance. Le schéma suivant en retrace les flux.
C'est l'une des décisions les plus instructives, qui intéressera particulièrement les responsables des entrepôts de données de santé, qu'ils soient publics ou privés. Face à la richesse des enseignements livrés par la CNIL à l'encontre de la société IQVIA, cette affaire fera l'objet d'une série de trois articles afin d'en décortiquer tous les aspects. Ce premier article s'attache à poser les bases de l'affaire en retraçant le déroulement de la procédure et la nature des manquements retenus. Les deux prochains volets seront consacrés aux questions de fond : la responsabilité du traitement dans les architectures multi-acteurs et les limites réelles de la pseudonymisation à la lumière de la jurisprudence récente de la CJUE.
Voici les premiers enseignements.
1 – Sur la durée de la procédure
Tout d’abord, ce point intéressera tous ceux qui ont fait l’objet d’un contrôle et attendent les suites de ce dernier. La société IQVIA faisait valoir que les années écoulées entre la décision de contrôle de juin 2021 et le rapport de sanction de mars 2025 constituaient une violation de son droit à un procès équitable garanti par l'article 6 de la CEDH. La formation restreinte a rejeté cet argument en s'appuyant notamment sur la jurisprudence du Conseil d'État du 14 mai 2024 (n° 472221) : le principe des droits de la défense ne s'applique qu'à compter de la notification du rapport de sanction, intervenue en l'espèce moins d'un an avant la séance devant la formation restreinte. La phase de contrôle et d'instruction préalable n'était donc pas soumise aux garanties de l'article 6, la complexité du dossier justifiant au surplus les délais constatés. Cet argument procédural, aussi classique que rarement couronné de succès devant la formation restreinte, ne nécessite pas de plus amples commentaires.
2 – Les manquements retenus à l’encontre d’IQVIA
Les manquements retenus couvrent l'ensemble des obligations attachées à la qualité de responsable de traitement qui a été reconnue à IQVIA.
S'agissant de la sécurité des données, trois griefs sont retenus pour les deux entrepôts : l'absence de cloisonnement réseau, le défaut d'authentification forte pour l'accès à l'entrepôt EMR alors que l'autorisation l'exigeait expressément et l'absence d'analyse régulière des journaux de connexion. Ces trois manquements ont été corrigés par IQVIA avant la séance, ce dont la formation restreinte prend acte sans prononcer d'injonction sur ces points.
S'agissant de l'information des patients, la notice remise aux patients de l'entrepôt EMR mentionnait une durée de conservation floue "pendant la durée de réalisation des études", là où l'autorisation prévoyait clairement une conservation en base active pendant dix ans. Pour sa défense, IQVIA se référait notamment aux éléments figurant dans sa demande d'autorisation, soutenant que l'absence de remarques des services de la CNIL lors de l'instruction valait validation. La formation restreinte rejette fermement cette lecture en rappelant une distinction fondamentale : la demande d'autorisation instruite par les services n'a aucune valeur juridique propre. Seule la délibération du collège s'impose, et c'est à elle que le responsable de traitement doit se conformer. Par conséquent, l’information délivrée aux patients était inexacte. Des manquements liés à l’ineffectivité du droit d'opposition pour l’entrepôt EMR et à une collecte de données excédant ce qui était nécessaire au regard des finalités poursuivies ont également été retenus.
Enfin, s'agissant des études réalisées à partir de l'entrepôt LRX, la formation restreinte a relevé qu'elles étaient conduites sans base légale valide : l'autorisation LRX couvrait exclusivement la constitution de l'entrepôt et excluait expressément les études ultérieures, tandis que la méthodologie de référence MR-004, sur laquelle IQVIA se reposait par la suite, exigeait une information individuelle préalable des patients qui, en l’espèce, n’était pas délivrée. Face à ces manquements, et au-delà de la sanction pécuniaire prononcée, la formation restreinte a assorti sa décision d'une injonction de mise en conformité sous peine d’une astreinte de 10 000 euros par jour.
Si tous ces manquements pèsent aujourd'hui sur IQVIA, c'est parce que la CNIL l'a qualifiée de « responsable de traitement ». Pourtant, dans des architectures de données de santé aussi complexes, impliquant différents partenaires, médecins et pharmaciens, la frontière entre responsable, co-responsable et sous-traitant est souvent poreuse. C'est tout l'enjeu du débat qui a opposé IQVIA au régulateur. Rendez-vous dans notre second article pour analyser comment la CNIL a tranché la question de la responsabilité du traitement dans ces écosystèmes multi-acteurs.
Maître Laurence Huin avec la collaboration précieuse de Klaudia Brylinska