La frontière entre exploitation des données de santé et respect de la vie privée vient, une nouvelle fois, d’être questionnée en France. La Commission nationale de l’informatique et des libertés CNIL a infligé une amende de 5 millions d’euros à la société IQVIA pour des manquements graves dans la collecte et le traitement de données issues de pharmacies et de cabinets médicaux.
Une décision qui clôt plusieurs années d’investigations et relance le débat sur la gouvernance des données de santé à grande échelle.
Une enquête révélant un système massif de collecte
Tout commence avec une enquête de Cash Investigation diffusée il y a plusieurs années, qui révélait qu’IQVIA exploitait les données de clients provenant de plus de 14 000 pharmacies, sans que ces derniers soient toujours correctement informés.
Ces données alimentaient notamment un entrepôt baptisé LRX, autorisé initialement par la CNIL en 2018 à des fins de recherche, d’études et d’évaluation. L’objectif affiché : permettre l’analyse statistique de parcours de soins à grande échelle.
Mais sur le terrain, les constats sont plus problématiques.
Des patients non informés et privés de leur droit d’opposition
Selon les investigations de la CNIL, les patients n’étaient pas correctement informés de la collecte de leurs données lors de leurs passages en pharmacie. Or, cette information est une obligation fondamentale du RGPD, condition essentielle pour permettre l’exercice du droit d’opposition.
Le rapporteur de la CNIL a constaté qu’au sein de plusieurs pharmacies contrôlées à Paris, « aucune ne délivrait ces informations ». Résultat : les clients n’étaient pas en mesure de refuser l’utilisation de leurs données.
La CNIL a donc retenu un manquement à l’article 14 du RGPD, directement imputable à IQVIA en tant que responsable de traitement.
Pseudonymisation : une protection insuffisante
Pour se défendre, IQVIA a soutenu que les données traitées étaient pseudonymisées et donc non identifiantes, estimant que le RGPD ne devait pas s’appliquer.
Mais la CNIL a rejeté cet argument. Selon elle, la pseudonymisation mise en place ne suffit pas à garantir l’anonymisation réelle des données.
Les dispositifs en question reposent notamment sur des identifiants uniques permettant de suivre les patients dans le temps :
- Dans l’entrepôt LRX, un identifiant unique suit chaque client dans l’ensemble des pharmacies partenaires
- Dans l’entrepôt EMR, un identifiant permet de suivre le parcours d’un patient au sein d’un même cabinet médical
Même sans nom ni prénom, ces identifiants permettent de reconstituer des trajectoires complètes de consommation de soins.
La CNIL souligne également que certaines données incluent des informations géographiques permettant de situer les patients par zones regroupant plusieurs pharmacies et médecins.
Des données de santé hautement sensibles
Pour l’autorité, le problème central réside dans la capacité à individualiser les patients :
la combinaison de l’âge, du sexe, des prescriptions et des données géographiques rend possible l’isolement d’un individu au sein de l’ensemble de données.
Autrement dit, même pseudonymisées, ces données restent des données personnelles au sens du RGPD.
La CNIL rappelle d’ailleurs qu’IQVIA avait elle-même sollicité des autorisations pour traiter ces données en tant que données personnelles, avant de changer d’interprétation juridique.
Des usages non conformes aux autorisations
Au-delà de la question de l’information des patients, les contrôles ont révélé d’autres manquements.
IQVIA aurait notamment réalisé des études sur les données de l’entrepôt LRX pour son propre compte, sans disposer des autorisations nécessaires.
Plus grave encore, un logiciel de gestion d’officine développé par une société tierce aurait transmis automatiquement des données de patients vers un tiers de confiance, y compris pour des pharmacies ne participant pas au panel LRX. Une pratique jugée contraire aux règles de sécurité et de minimisation des données.
Une sanction financière et une pression à la mise en conformité
La CNIL a donc prononcé :
- une amende de 5 millions d’euros
- une injonction de mise en conformité
- une astreinte de 10 000 euros par jour de retard après six mois
L’autorité estime qu’aucune mesure corrective suffisante n’a été mise en place depuis le début de la procédure, malgré la gravité des constats.
Une affaire emblématique du futur des données de santé
Cette décision dépasse le seul cas d’IQVIA. Elle met en lumière un enjeu structurel : l’industrialisation des données de santé à grande échelle.
Entre recherche médicale, exploitation statistique et logique économique, les données issues des pharmacies et des médecins deviennent un actif stratégique. Mais leur traitement soulève une question centrale : jusqu’où peut-on exploiter des données sensibles sans compromettre la vie privée des patients ?
Dans un contexte où les données de santé deviennent un enjeu économique mondial, la décision de la CNIL rappelle une évidence souvent négligée : la pseudonymisation ne suffit pas à effacer le caractère personnel des données.
Cette affaire illustre la tension croissante entre innovation data-driven en santé et protection stricte des droits fondamentaux des citoyens. Un équilibre encore loin d’être stabilisé.