CNIL : amende de 5 M€ contre IQVIA, pourquoi les données pseudonymisées ne sont pas anonymes
Le 28 mai 2026, la CNIL a prononcé une amende de 5 millions d’euros à l’encontre d’IQVIA Opérations France. Le motif : des manquements dans la gestion de deux entrepôts de données de santé couvrant plusieurs dizaines de millions de patients. Au cœur du dossier, une question juridique fondamentale qui dépasse largement le cas IQVIA : des données pseudonymisées peuvent-elles être considérées comme anonymes ?
La réponse de la CNIL est sans appel : dans ce cas précis, non. Et les implications de cette décision s’étendent à l’ensemble du secteur de la santé numérique.
⚖️
L’essentiel en 30 secondes
5 M€ d’amende pour IQVIA Opérations France : la CNIL sanctionne des manquements dans la gestion de deux entrepôts de données de santé (LRX et EMR)
Données pseudonymisées ≠ anonymes : la CNIL estime que la réidentification restait possible avec des moyens raisonnables
Manquements relevés : absence d’information des patients dans les pharmacies, pas d’authentification multifacteur, pas d’analyse des journaux de connexions, notice d’information inexacte
Injonctions sous astreinte : 6 mois pour se mettre en conformité, sous peine de 10 000 € par jour de retard
Impact sectoriel : un signal fort pour tous les fournisseurs de données de santé et les plateformes d’exploitation secondaire des données médicales
IQVIA, les entrepôts LRX et EMR : de quoi parle-t-on ?
IQVIA Opérations France est une filiale du groupe américain IQVIA, spécialisée dans le conseil et les études cliniques pour l’industrie pharmaceutique. Pour produire ses analyses sur les traitements, les parcours de soins ou certaines pathologies, la société s’appuie sur deux entrepôts de données de santé autorisés par la CNIL.
L’entrepôt LRX (autorisé en 2018)
Alimenté par des données collectées auprès d’environ 14 000 pharmacies. Il agrège des informations sur les prescriptions, les traitements administrés et les parcours de soins.
L’entrepôt EMR (autorisé en 2021)
Alimenté par des données collectées auprès de plusieurs milliers de médecins. Il contient des informations encore plus détaillées : diagnostics posés, symptômes, allergies, poids, taille, pouls, vaccins, examens, arrêts de travail, mais aussi la situation matrimoniale, le nombre d’enfants et la catégorie socio-professionnelle des patients.
Comme tous les traitements de données de santé en France, ces entrepôts nécessitent une autorisation préalable de la CNIL en vertu de l’article 66 de la loi Informatique et Libertés. Lors de ces autorisations, l’autorité impose des garanties strictes :
Information des personnes concernées
Sécurité des données adaptée au niveau de sensibilité
Exercice effectif des droits des personnes (accès, rectification, opposition)
En 2025, la CNIL a traité 539 dossiers d’autorisation dans le domaine de la santé.
Cash Investigation, plaintes et contrôles CNIL
L’affaire commence en mai 2021 avec un reportage de l’émission « Cash Investigation » dénonçant un manque de transparence dans le traitement des données des patients par IQVIA. Suite à cette diffusion, plusieurs particuliers et associations saisissent la CNIL.
L’autorité lance alors une série de contrôles, tant auprès de la société que de pharmacies partenaires. Les constats sont sans appel : les traitements mis en œuvre ne respectent pas les conditions posées par les autorisations délivrées.
Pseudonymisation vs anonymisation : la question centrale
C’est ici que le dossier prend une dimension juridique particulièrement intéressante.
IQVIA a soutenu que les données figurant dans les entrepôts LRX et EMR étaient anonymes et ne relevaient donc plus du cadre du RGPD. La société s’appuyait notamment sur un arrêt de la Cour de justice de l’Union européenne (CJUE) rendu le 4 septembre 2025, connu sous le nom d’« arrêt SRB » (affaire C-413/23 P, EDPS c. SRB).
Que dit l’arrêt SRB de la CJUE ?
Dans cette affaire, la CJUE a reconnu pour la première fois que des données pseudonymisées pouvaient, dans certaines conditions, perdre leur caractère de données personnelles du point de vue du destinataire qui les reçoit, à condition que ce destinataire n’ait aucun moyen raisonnablement mobilisable pour ré-identifier les personnes.
Concrètement, l’arrêt distingue deux situations :
Pour le responsable de traitement qui a collecté et pseudonymisé les données : les données restent personnelles, car il conserve la clé de ré-identification.
Pour le destinataire tiers qui reçoit les données pseudonymisées sans pouvoir les ré-identifier : les données peuvent ne plus être considérées comme personnelles.
La Cour précise que cette distinction ne vaut que si le destinataire n’a « aucun moyen raisonnablement susceptible d’être mis en œuvre » pour repersonnaliser les données, ni par lui-même ni en ayant recours à des tiers.
Pourquoi la CNIL a rejeté l’argument d’IQVIA
La formation restreinte de la CNIL a considéré que les données des entrepôts LRX et EMR n’étaient pas anonymes, mais seulement pseudonymes. La réidentification des personnes concernées restait possible avec des moyens raisonnables, pour trois raisons cumulatives :
L’existence d’un identifiant unique pour chaque patient, permettant de reconstituer l’intégralité de son parcours de soin à travers les deux entrepôts.
La profondeur des données collectées. IQVIA stockait des informations particulièrement détaillées : année de naissance, sexe, prescriptions médicales, diagnostics, symptômes, allergies, poids, taille, pouls, vaccins, examens, arrêts de travail, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle. L’ensemble de ces données, même sans identifiant direct, permet de cibler un individu avec une précision significative.
La possibilité de croiser ces données avec des sources publiquement accessibles, créant un risque significatif de réidentification. La CNIL souligne que la combinaison des données détenues par IQVIA avec des données disponibles publiquement suffisait à identifier des personnes.
La CNIL a également rappelé un point factuel important : jusqu’à l’arrêt SRB, IQVIA n’avait jamais contesté traiter des données personnelles, et avait elle-même sollicité et obtenu des autorisations de la CNIL qu’elle se devait de respecter.
Les manquements sanctionnés
La formation restreinte a relevé plusieurs manquements, classés en deux catégories.
🔴 Manquements à la sécurité
Aucune analyse régulière des journaux de connexions sur les deux entrepôts
Aucune authentification multifacteur (MFA) pour l’entrepôt EMR
Impossible de détecter efficacement les activités anormales
🔴 Manquements à l’information et aux droits
Notice d’information inexacte pour l’entrepôt EMR
Aucune procédure effective pour exercer les droits : accès, rectification, opposition
Aucune information des patients dans les pharmacies pour l’entrepôt LRX
Non-respect des autorisations CNIL
Les contrôles réalisés auprès de quatre pharmacies ont révélé qu’aucune d’entre elles n’informait ses clients de la transmission de leurs données à IQVIA.
La CNIL rappelle une règle claire : même si IQVIA a confié aux pharmaciens le soin de délivrer cette information pour son compte, c’est bien à IQVIA, en tant que responsable de traitement, qu’il appartient de s’assurer du respect de cette obligation. Le fait de déléguer l’information ne décharge pas de la responsabilité.
Deux autres manquements ont été relevés concernant l’entrepôt LRX :
Des études réalisées par IQVIA pour son propre compte, hors de tout cadre légal (article 66 de la loi Informatique et Libertés). En d’autres termes, la société a utilisé les données de l’entrepôt pour des analyses qui n’avaient pas été autorisées par la CNIL.
Un logiciel de gestion dans les pharmacies qui transmettait les données des clients à IQVIA, même en cas de refus, un manquement au principe de privacy by design (article 25 du RGPD).
La sanction : 5 M€ d’amende et des injonctions
Par sa délibération SAN-2026-008 du 26 mai 2026 (rendue publique le 28 mai), la formation restreinte a prononcé une amende de 5 millions d’euros, calculée au regard de plusieurs facteurs :
La gravité des manquements : les données de santé sont des données sensibles au sens du RGPD, bénéficiant d’une protection renforcée
Le nombre élevé de personnes concernées : plusieurs dizaines de millions
La position d’IQVIA sur le marché et ses capacités financières
La CNIL a également prononcé des injonctions obligeant IQVIA à corriger les manquements relatifs à l’information des patients et à l’exercice du droit d’opposition :
Délai de mise en conformité : 6 mois
Astreinte en cas de retard : 10 000 euros par jour
En réaction, IQVIA France a indiqué prendre acte de la décision, se réserver le droit de faire appel, et confirmer que « les mesures de sécurité identifiées ont été mises en place ». La société ajoute qu’elle « reste engagée à renforcer en continu son dispositif de sécurité et de gouvernance ».
Tableau récapitulatif des manquements
Manquement
Obligation concernée
Statut
Pas d’analyse des journaux de connexions
Sécurité des données (LRX + EMR)
✅ Corrigé depuis les contrôles
Pas d’authentification multifacteur
Sécurité des données (EMR)
✅ Corrigé depuis les contrôles
Notice d’information inexacte
Information des personnes (article 14 RGPD, EMR)
⏳ Injonction sous astreinte (6 mois)
Pas de procédure d’exercice des droits
Droits des personnes (accès, rectification, opposition)
⏳ Injonction sous astreinte (6 mois)
Aucune information des patients en pharmacie
Information des personnes (article 14 RGPD, LRX)
⏳ Injonction sous astreinte (6 mois)
Études hors cadre légal
Article 66 loi Informatique et Libertés (LRX)
🔴 Sanctionné
Logiciel transmettant données malgré refus
Privacy by design (article 25 RGPD)
🔴 Sanctionné
Ce que cette décision change pour le secteur
Cette décision constitue un signal fort pour l’ensemble du secteur de la santé numérique. Elle rappelle plusieurs principes essentiels :
La pseudonymisation ne dispense pas du RGPD. Tant que la réidentification est possible avec des moyens raisonnables, les données restent personnelles et toutes les obligations du RGPD s’appliquent : information, sécurité, exercice des droits, base légale.
L’information des patients n’est pas négociable. Confier cette obligation à un intermédiaire (pharmacien, médecin) ne décharge pas le responsable de traitement de sa responsabilité. Il doit vérifier que l’information est effectivement délivrée.
La sécurité doit être effective, pas seulement déclarée. L’absence de MFA sur un entrepôt de données de santé et l’absence d’analyse des logs de connexions sont des manquements directement sanctionnables.
Pour les entreprises qui traitent des données de santé, cette décision s’ajoute au contexte de durcissement progressif de la CNIL. Comme le montrait déjà notre analyse du rapport annuel 2025 de la CNIL, l’autorité multiplie les contrôles et augmente le montant de ses sanctions. Avec 487 millions d’euros d’amendes en 2025 et un doublement des contrôles sur les fuites de données, la tendance ne fait que s’accentuer.
Le secteur de la santé est particulièrement visé. Après l’attaque d’Almerys en mai 2026 (deuxième cyberattaque en 27 mois) et le piratage de MédecinDirect la même semaine, cette sanction CNIL vient rappeler que la conformité réglementaire et la sécurité informatique sont deux faces d’une même exigence.
Actions à retenir pour les professionnels de la santé numérique
Auditer le niveau de pseudonymisation de vos entrepôts de données de santé
Vérifier que l’information des patients est effective, pas seulement prévue sur le papier
Activer l’authentification multifacteur sur tous les systèmes contenant des données de santé
Mettre en place une analyse régulière des journaux de connexions
Documenter les procédures d’exercice des droits (accès, rectification, opposition)
S’assurer que chaque traitement de données de santé dispose d’une autorisation CNIL valide
⚠️ Un point important à retenir
Cette décision concerne le cas spécifique d’IQVIA. La CNIL n’a pas établi que toutes les données pseudonymisées sont illégales ou que toute pseudonymisation est insuffisante. Elle a jugé que, dans ce cas précis, les mesures de pseudonymisation mises en place par IQVIA ne permettaient pas de considérer les données comme anonymes, compte tenu de la profondeur des données collectées et de la possibilité de réidentification.
Quiz : testez vos connaissances sur la CNIL et les données de santé
🧠 Testez vos connaissances
Les données pseudonymisées sont-elles des données anonymes au sens du RGPD ?
Quel est le montant de l’amende prononcée par la CNIL contre IQVIA ?
Quels manquements la CNIL a-t-elle relevés chez IQVIA ?
FAQ : Données pseudonymisées et RGPD
Quelle est la différence entre anonymisation et pseudonymisation ? ▼
L'anonymisation est un traitement irréversible qui rend impossible l'identification de la personne, par quelque moyen que ce soit. Une fois anonymisées, les données sortent du champ d'application du RGPD.
La pseudonymisation remplace les identifiants directs (nom, prénom, numéro de sécurité sociale) par un code, mais conserve la possibilité de ré-identifier via une clé de correspondance ou un croisement de données. Le RGPD considère explicitement la pseudonymisation comme une mesure de sécurité (article 4), pas comme une sortie du champ d'application.
L'arrêt SRB de la CJUE change-t-il la donne ? ▼
L'arrêt SRB (C-413/23 P, 4 septembre 2025) a introduit une nuance importante : des données pseudonymisées peuvent ne plus être considérées comme personnelles pour un destinataire tiers qui n'a aucun moyen raisonnable de ré-identification. Mais cela ne change rien pour le responsable de traitement initial, qui reste soumis à toutes les obligations du RGPD.
Dans le cas d'IQVIA, la société était le responsable de traitement : elle détenait les clés de pseudonymisation et pouvait donc ré-identifier les patients. L'arrêt SRB ne lui était donc pas applicable.
Que risque une entreprise qui ne respecte pas les autorisations CNIL ? ▼
Les manquements aux autorisations de la CNIL pour les données de santé peuvent entraîner des amendes (jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros), des injonctions sous astreinte, et dans les cas les plus graves, un retrait de l'autorisation, ce qui revient à une interdiction de traitement.
Comment se protéger en tant que patient ? ▼
Si vous pensez que vos données de santé ont été traitées sans information suffisante, vous pouvez exercer vos droits directement auprès de l'organisme concerné ou saisir la CNIL via son site. Consultez notre guide complet sur le RGPD pour les particuliers pour connaître vos droits et les démarches à suivre.
Conclusion
La sanction d'IQVIA n'est pas un cas isolé. Elle s'inscrit dans une dynamique de renforcement des contrôles sur les données de santé, un secteur où la sensibilité des informations exige une protection maximale.
Pour les entreprises, le message est clair :
La pseudonymisation est un outil de sécurité, pas un passe-droit réglementaire
L'information des patients doit être effective, pas seulement prévue sur le papier
La sécurité informatique des entrepôts de données de santé ne peut pas être traitée comme une option
Pour les patients, cette décision rappelle que leurs données de santé méritent une transparence et une protection qui ne peuvent être sacrifiées au nom de l'innovation ou de la recherche.
Alexi Tauzin🤖 Éditeur & Analyste IA
Fondateur d'alexitauzin.com, entrepreneur digital et analyste des technologies émergentes. Il suit de près l'évolution de l'IA, des modèles de langage aux agents autonomes, pour aider les professionnels à comprendre et anticiper les transformations du secteur.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
