La frontiĂšre entre exploitation des donnĂ©es de santĂ© et respect de la vie privĂ©e vient, une nouvelle fois, d’ĂȘtre questionnĂ©e en France. La Commission nationale de l’informatique et des libertĂ©s CNIL a infligĂ© une amende de 5 millions d’euros Ă la sociĂ©tĂ© IQVIA pour des manquements graves dans la collecte et le traitement de donnĂ©es issues de pharmacies et de cabinets mĂ©dicaux.
Une dĂ©cision qui clĂŽt plusieurs annĂ©es d’investigations et relance le dĂ©bat sur la gouvernance des donnĂ©es de santĂ© Ă grande Ă©chelle.
Une enquĂȘte rĂ©vĂ©lant un systĂšme massif de collecte
Tout commence avec une enquĂȘte de Cash Investigation diffusĂ©e il y a plusieurs annĂ©es, qui rĂ©vĂ©lait qu’IQVIA exploitait les donnĂ©es de clients provenant de plus de 14 000 pharmacies, sans que ces derniers soient toujours correctement informĂ©s.
Ces donnĂ©es alimentaient notamment un entrepĂŽt baptisĂ© LRX, autorisĂ© initialement par la CNIL en 2018 Ă des fins de recherche, d’Ă©tudes et d’Ă©valuation. L’objectif affichĂ© : permettre l’analyse statistique de parcours de soins Ă grande Ă©chelle.
Mais sur le terrain, les constats sont plus problématiques.
Des patients non informĂ©s et privĂ©s de leur droit d’opposition
Selon les investigations de la CNIL, les patients n’Ă©taient pas correctement informĂ©s de la collecte de leurs donnĂ©es lors de leurs passages en pharmacie. Or, cette information est une obligation fondamentale du RGPD, condition essentielle pour permettre l’exercice du droit d’opposition.
Le rapporteur de la CNIL a constatĂ© qu’au sein de plusieurs pharmacies contrĂŽlĂ©es Ă Paris, « aucune ne dĂ©livrait ces informations ». RĂ©sultat : les clients n’Ă©taient pas en mesure de refuser l’utilisation de leurs donnĂ©es.
La CNIL a donc retenu un manquement Ă l’article 14 du RGPD, directement imputable Ă IQVIA en tant que responsable de traitement.
Pseudonymisation : une protection insuffisante
Pour se dĂ©fendre, IQVIA a soutenu que les donnĂ©es traitĂ©es Ă©taient pseudonymisĂ©es et donc non identifiantes, estimant que le RGPD ne devait pas s’appliquer.
Mais la CNIL a rejetĂ© cet argument. Selon elle, la pseudonymisation mise en place ne suffit pas Ă garantir l’anonymisation rĂ©elle des donnĂ©es.
Les dispositifs en question reposent notamment sur des identifiants uniques permettant de suivre les patients dans le temps :
- Dans l’entrepĂŽt LRX, un identifiant unique suit chaque client dans l’ensemble des pharmacies partenaires
- Dans l’entrepĂŽt EMR, un identifiant permet de suivre le parcours d’un patient au sein d’un mĂȘme cabinet mĂ©dical
MĂȘme sans nom ni prĂ©nom, ces identifiants permettent de reconstituer des trajectoires complĂštes de consommation de soins.
La CNIL souligne également que certaines données incluent des informations géographiques permettant de situer les patients par zones regroupant plusieurs pharmacies et médecins.
Des données de santé hautement sensibles
Pour l’autoritĂ©, le problĂšme central rĂ©side dans la capacitĂ© Ă individualiser les patients :
la combinaison de l’Ăąge, du sexe, des prescriptions et des donnĂ©es gĂ©ographiques rend possible l’isolement d’un individu au sein de l’ensemble de donnĂ©es.
Autrement dit, mĂȘme pseudonymisĂ©es, ces donnĂ©es restent des donnĂ©es personnelles au sens du RGPD.
La CNIL rappelle d’ailleurs qu’IQVIA avait elle-mĂȘme sollicitĂ© des autorisations pour traiter ces donnĂ©es en tant que donnĂ©es personnelles, avant de changer d’interprĂ©tation juridique.
Des usages non conformes aux autorisations
Au-delĂ de la question de l’information des patients, les contrĂŽles ont rĂ©vĂ©lĂ© d’autres manquements.
IQVIA aurait notamment rĂ©alisĂ© des Ă©tudes sur les donnĂ©es de l’entrepĂŽt LRX pour son propre compte, sans disposer des autorisations nĂ©cessaires.
Plus grave encore, un logiciel de gestion d’officine dĂ©veloppĂ© par une sociĂ©tĂ© tierce aurait transmis automatiquement des donnĂ©es de patients vers un tiers de confiance, y compris pour des pharmacies ne participant pas au panel LRX. Une pratique jugĂ©e contraire aux rĂšgles de sĂ©curitĂ© et de minimisation des donnĂ©es.
Une sanction financiÚre et une pression à la mise en conformité
La CNIL a donc prononcé :
- une amende de 5 millions d’euros
- une injonction de mise en conformité
- une astreinte de 10 000 euros par jour de retard aprĂšs six mois
L’autoritĂ© estime qu’aucune mesure corrective suffisante n’a Ă©tĂ© mise en place depuis le dĂ©but de la procĂ©dure, malgrĂ© la gravitĂ© des constats.
Une affaire emblématique du futur des données de santé
Cette dĂ©cision dĂ©passe le seul cas d’IQVIA. Elle met en lumiĂšre un enjeu structurel : l’industrialisation des donnĂ©es de santĂ© Ă grande Ă©chelle.
Entre recherche mĂ©dicale, exploitation statistique et logique Ă©conomique, les donnĂ©es issues des pharmacies et des mĂ©decins deviennent un actif stratĂ©gique. Mais leur traitement soulĂšve une question centrale : jusqu’oĂč peut-on exploiter des donnĂ©es sensibles sans compromettre la vie privĂ©e des patients ?
Dans un contexte oĂč les donnĂ©es de santĂ© deviennent un enjeu Ă©conomique mondial, la dĂ©cision de la CNIL rappelle une Ă©vidence souvent nĂ©gligĂ©e : la pseudonymisation ne suffit pas Ă effacer le caractĂšre personnel des donnĂ©es.
Cette affaire illustre la tension croissante entre innovation data-driven en santĂ© et protection stricte des droits fondamentaux des citoyens. Un Ă©quilibre encore loin d’ĂȘtre stabilisĂ©.