Données de santé: 5 M€ contre IQVIA — ce que l’article 9 RGPD impose

Excerpt — Le 26 mai 2026, la CNIL a sanctionné IQVIA Operations France (5 M€) pour manquements liés à ses entrepôts de données de santé. L’affaire illustre, très concrètement, l’interdiction de principe de l’article 9 RGPD et les conditions strictes des exceptions.

L’affaire

Le 26 mai 2026, la CNIL a infligé une amende de 5 millions d’euros à IQVIA Operations France, exploitant des « data warehouses » de données de santé. La formation restreinte a relevé notamment un non‑respect des garanties encadrant ces traitements: information incomplète des personnes, lacunes dans l’exercice des droits et insuffisances de sécurité, ainsi que le non‑respect de certains termes d’autorisations délivrées par la CNIL. Décision et motifs officiels: « Données de santé: sanction de 5 millions d’euros à l’encontre de la société IQVIA » (26/05/2026). Voir CNIL, décision et communiqué: https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia.

• Utilisation de données relevant des « catégories particulières » (santé) sans garanties suffisantes au regard des finalités poursuivies.
• Défaut d’information conforme aux articles 12 à 14 RGPD et difficultés d’exercice des droits.
• Mesures de sécurité jugées inadaptées au sens de l’article 32 RGPD.
• Non‑conformité à certaines autorisations sectorielles encadrant les entrepôts de données.

Cette décision s’inscrit dans une série d’actions 2026 de la CNIL sur la sécurité et la gouvernance des données (bilan 2025 et décisions 2026: https://www.cnil.fr/en/investigation-powers-cnil/sanctions-issued-cnil).

Le raisonnement juridique

1. Interdiction de principe et exceptions strictes (article 9 RGPD). Le RGPD pose l’interdiction de traiter les données de santé (art. 9(1)), sauf si l’une des conditions de l’art. 9(2) est remplie (notamment 9(2)(h) soins/gestion des systèmes de santé, 9(2)(i) santé publique, 9(2)(j) recherche scientifique avec garanties de l’art. 89(1)). Ces bases spéciales s’ajoutent à une base de l’article 6 (p. ex. 6(1)(c), 6(1)(e) ou 6(1)(a) en cas de consentement explicite au sens de 9(2)(a)). Texte officiel: RGPD, articles 6, 9, 12‑14, 25, 32, 35, 89 sur EUR‑Lex: https://eur-lex.europa.eu/eli/reg/2016/679/oj. Pour un rappel opérationnel des obligations et registres, voir notre page RGPD.
2. Garanties renforcées et documentation. Outre la base juridique double (art. 6 + exception de l’art. 9(2)), l’obligation d’information (art. 12‑14), la minimisation (art. 5(1)(c)), la limitation de conservation (art. 5(1)(e)) et la sécurité (art. 32) doivent être adaptées au niveau de risque. Les traitements d’entrepôts de données de santé déclenchent presque toujours une AIPD (art. 35), des mesures de privacy by design (art. 25) et des contrôles d’accès/habilitations traçables.
3. Interprétation des autorités et cadre sectoriel.

• La CNIL rappelle, à l’occasion d’IQVIA, que les « garanties adéquates » sont substantielles: gouvernance claire des finalités, traçabilité technique, informations accessibles et exactes, réponses effectives aux droits, et conformité aux autorisations/engagements pris. Source: décision IQVIA (26/05/2026): https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia.
• Le CEPD a, dès 2020, cadré la recherche scientifique sur données de santé: nécessité d’une base art. 6 et d’une exception art. 9(2), de mesures appropriées (pseudonymisation, contrôle d’accès, évaluation d’impact, documentation), et d’une transparence adaptée. Voir EDPB, « Guidelines 03/2020 on processing of data concerning health for scientific research »: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_en.
• Au Luxembourg, la CNPD rappelle que le traitement de « données sensibles » est par principe interdit et ne peut intervenir que dans le cadre strict des exceptions de l’article 9(2) RGPD; des conditions nationales spécifiques existent, notamment pour les données génétiques (loi du 1er août 2018). Références CNPD: https://cnpd.public.lu/fr/support/glossaire/d/def_donnees_sensibles.html et https://cnpd.public.lu/fr/professionnels/obligations/liceite/donnees-sensibles.html.

En synthèse, l’affaire IQVIA confirme une ligne constante: plus le périmètre santé est large et industrialisé (entrepôts, data sharing, enrichissements), plus l’autorité attend une démonstration serrée des bases juridiques, des garanties techniques/organisationnelles et de la transparence.

Ce que ça change concrètement

• Entrepôts/plateformes analytiques santé: anticipez une AIPD (art. 35) et formalisez le couplage base art. 6 + exception art. 9(2) pertinente. Les fondements « recherche scientifique » (art. 9(2)(j), art. 89(1)) exigent des garanties concrètes: pseudonymisation robuste, séparation des environnements, traçabilité des accès, gouvernance du cycle de vie des données. Référez‑vous aux lignes CEPD précitées.
• Information des personnes: rédigez des notices spécifiques « data warehouse » qui listent clairement finalités, base art. 6, exception art. 9(2), destinataires, durées, droits (dont droit d’opposition/limitation lorsque applicable) et transferts. Les pages génériques « vie privée » ne suffisent pas.
• Sécurité: contrôles d’accès « need‑to‑know », journalisation d’administration, chiffrement des données au repos/en transit, gestion des secrets, tests d’intrusion réguliers et revues d’habilitations. L’article 32 impose des mesures « appropriées » au risque; sur des données santé, la CNIL a montré un niveau d’exigence élevé. Pour renforcer ces volets, vous pouvez engager un audit de cybersécurité focalisé sur les entrepôts et la protection des données sensibles.
• Conformité aux autorisations/engagements: si vous opérez sous un régime d’autorisation sectorielle ou d’engagement écrit envers une autorité, vérifiez l’alignement réel des pratiques (sources, variables traitées, réutilisations, délais, destinataires). La non‑conformité formelle a compté dans IQVIA.
• Luxembourg: vérifiez les contraintes nationales propres (p. ex. traitements de données génétiques en droit du travail/assurance) et documentez les fondements art. 9(2)(h)/(i)/(j) pertinents. Un point de départ utile est notre page RGPD au Luxembourg.

Pièges fréquents

1. Confondre « anonymisation » et « pseudonymisation ». Beaucoup d’entrepôts restent « personnels » car la ré‑identification demeure possible via clés ou croisements. Sans anonymisation effective, l’article 9 s’applique pleinement et requiert l’exception et les garanties de l’art. 9(2)/89(1). Référence: RGPD art. 4(5), 9, 89 sur EUR‑Lex: https://eur-lex.europa.eu/eli/reg/2016/679/oj.
2. Se contenter d’un « consentement » non explicite. Il doit être explicite (art. 9(2)(a)), libre et spécifique pour les finalités réelles du data warehouse. À défaut, privilégier une base légale publique/spécifique (art. 6(1)(c)/(e)) quand un texte l’autorise, ou la voie « recherche » (art. 9(2)(j)) avec garanties solides.
3. Notices d’information trop générales. Les avis de confidentialité « corporate » ne détaillent ni les finalités analytiques ni les destinataires réels; la CNIL a pointé des insuffisances comparables dans plusieurs affaires 2026. Panorama: https://www.cnil.fr/en/investigation-powers-cnil/sanctions-issued-cnil.
4. AIPD lacunaire. Les analyses traitent les risques IT mais pas les risques spécifiques de ré‑identification, de détournement de finalité ou de biais de réutilisation. Or l’art. 35 impose d’évaluer les risques « pour les droits et libertés », pas seulement la disponibilité/confidentialité.
5. « Shadow scope » et non‑respect des autorisations. Des flux, tables ou colonnes ajoutées « en continu » font dériver le périmètre par rapport à l’autorisation initiale ou à la documentation DPIA. Dans IQVIA, la non‑conformité aux termes d’autorisations a pesé. Source: décision IQVIA (26/05/2026): https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia.

Sources officielles

• CNIL — Données de santé: sanction de 5 millions d’euros à l’encontre d’IQVIA (26 mai 2026): https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia
• CNIL — Les sanctions prononcées en 2026 (panorama et fiches): https://www.cnil.fr/en/investigation-powers-cnil/sanctions-issued-cnil
• RGPD (texte officiel consolidé): articles 5, 6, 9, 12‑14, 25, 32, 35, 89 — EUR‑Lex: https://eur-lex.europa.eu/eli/reg/2016/679/oj
• EDPB — Guidelines 03/2020 on processing of data concerning health for scientific research: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_en
• CNPD (Luxembourg) — Données sensibles (définition et régime national): https://cnpd.public.lu/fr/support/glossaire/d/def_donnees_sensibles.html et « Traitements de données à caractère sensible »: https://cnpd.public.lu/fr/professionnels/obligations/liceite/donnees-sensibles.html

Enseignement pour mai 2026: l’affaire IQVIA confirme que l’article 9 RGPD n’est pas une formalité. Les dirigeants doivent exiger des dossiers juridiques et techniques étayés pour chaque data warehouse santé: fondement art. 6 + exception art. 9(2) documentés, AIPD sérieuse, information dédiée, sécurité au niveau du risque et stricte conformité aux autorisations et engagements. Cela vaut au Luxembourg comme chez nos voisins.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.