IQVIA: 5 M€ et données de santé — l’art. 9 RGPD sous tension
La CNIL inflige 5 M€ à IQVIA France pour des manquements sur des entrepôts de données de santé. Enseignement clé au Luxembourg: des données « pseudonymisées » restent des données de santé (art. 9 RGPD) et exigent une base légale et des garanties effectives.
Excerpt — Le 26 mai 2026, la CNIL a infligé 5 M€ à IQVIA France pour des manquements liés à ses entrepôts de données de santé. Enseignement clé pour le Luxembourg: des données « pseudonymisées » restent des données de santé (art. 9 RGPD) et exigent une base légale stricte et des garanties effectives.
L’affaire
Le 26 mai 2026, la formation restreinte de la CNIL a sanctionné IQVIA Operations France d’une amende de 5 millions d’euros et a prononcé des injonctions sous astreinte (10 000 € par jour) au sujet de deux entrepôts de données de santé (LRX et EMR) alimentés par des pharmacies et des médecins. Les griefs portent notamment sur: l’absence de respect des autorisations CNIL santé, un défaut d’information des patients (art. 14 RGPD), des insuffisances de sécurité (journaux non analysés régulièrement, absence de MFA), et un non‑respect de la protection des données dès la conception (art. 25 RGPD). Surtout, la CNIL a rejeté l’argument d’IQVIA selon lequel les données seraient « anonymes »: elles sont « pseudonymisées », donc toujours des données personnelles — et, ici, des données de santé relevant de l’article 9. Voir la décision détaillée (SAN‑2026‑008) sur Légifrance et l’analyse publique de la CNIL: Délibération SAN‑2026‑008 du 26 mai 2026; « Données de santé : sanction de 5 M€ à l’encontre d’IQVIA » (CNIL, 28 mai 2026) (lien Légifrance; lien CNIL). (legifrance.gouv.fr)
Point saillant: la CNIL s’appuie sur la jurisprudence CJUE du 4 septembre 2025 (C‑413/23 P, EDPS c/ SRB) pour rappeler que le critère décisif n’est pas la présence d’un identifiant « neutre », mais la possibilité raisonnable de réidentifier, compte tenu de la profondeur des données et des moyens disponibles. (infocuria.curia.europa.eu)
Le raisonnement juridique
- Données sensibles — article 9 RGPD. Le traitement de données de santé est en principe interdit (art. 9(1)), sauf exceptions limitatives (art. 9(2): médecine préventive/du travail, intérêt public en santé publique, recherche scientifique sous cadre légal, etc.). Dès lors qu’un entrepôt combine diagnostics, prescriptions, identifiants fonctionnels et autres attributs cliniques, il tombe dans le périmètre de l’art. 9 — même si un identifiant chiffré remplace le nom. Texte officiel: Règlement (UE) 2016/679, art. 9. (eur-lex.europa.eu)
- Pseudonymisation ≠ anonymisation. La CJUE a clarifié que des données pseudonymisées peuvent rester des données personnelles pour un destinataire tiers s’il existe des moyens légaux ou pratiques raisonnables pour réidentifier (C‑413/23 P, 4 septembre 2025). En écho, la CNIL retient ici que l’existence d’un identifiant unique, la granularité des variables et les croisements possibles maintiennent un risque de réidentification incompatible avec l’anonymat. (infocuria.curia.europa.eu)
- Information en cas de collecte indirecte — article 14 RGPD. Lorsque les données proviennent d’un tiers (ex.: pharmacie), il revient au responsable de traitement de s’assurer que l’information est effectivement délivrée aux personnes (art. 14). Déléguer aux pharmaciens la remise d’une notice ne dispense pas IQVIA de vérifier l’effectivité de l’information. Texte officiel: art. 14 RGPD (EUR‑Lex). (eur-lex.europa.eu)
- Privacy by design — article 25 RGPD. L’architecture des entrepôts et des flux vers/depuis les officines devait intégrer par défaut des garde‑fous (ex.: ne pas transmettre en cas d’opposition; minimisation stricte; mécanismes de journalisation analysés). La décision SAN‑2026‑008 constate des manquements à ces obligations. Texte officiel: art. 25 RGPD (EUR‑Lex). (eur-lex.europa.eu)
- Références complémentaires EDPB. Le CEPD a adopté en 2025 des lignes directrices sur la pseudonymisation (Guidelines 01/2025), rappelant que la pseudonymisation renforce la sécurité mais ne fait pas basculer des données de santé en « données anonymes ». Ces lignes aident à documenter les choix techniques et l’analyse de réidentification « par des moyens raisonnables ». (edpb.europa.eu)
Au Luxembourg, la CNPD renvoie aux dispositions RGPD sur les catégories particulières (présentation et chapitres thématiques), en rappelant que les exceptions de l’art. 9(2) sont d’interprétation stricte et adossées à des garanties spécifiques (secret professionnel, base légale nationale, etc.). (cnpd.public.lu)
Ce que ça change concrètement
- Pour les acteurs luxembourgeois (hôpitaux, réseaux de pharmacies, insurtech santé, CRO, éditeurs de DMP/logiciels métiers, data brokers opérant au Luxembourg, groupes frontaliers BE/FR/DE), un entrepôt « pseudonymisé » reste soumis à l’art. 9 RGPD. Vous devez identifier une exception valide à l’interdiction (art. 9(2)), souvent appuyée par un texte sectoriel et des garanties (secret, encadrement CNPD/CNIL/APD), et être prêt à la prouver. Pour sécuriser la gouvernance, un mandat DPO permet de piloter la conformité et la documentation.
- L’information art. 14 n’est pas une formalité théorique: si la collecte passe par des partenaires (pharmacies, praticiens), vous demeurez responsable d’une information effective (supports, affichage, scripts d’explication, traçabilité), et d’un canal opérationnel d’opposition. Le rappel des articles 9, 14 et 25 du RGPD doit figurer dans vos notices et procédures.
- La sécurité « appropriée » (art. 32) et l’art. 25 exigent des contrôles concrets: MFA pour les accès sensibles, journalisation et revue régulière, blocage technique des flux en cas d’opposition, minimisation (schémas de données et permissions), tests de réidentification et de robustesse de la pseudonymisation. La décision IQVIA illustre que l’absence d’analyse des logs ou de MFA suffit à caractériser des manquements. (cnil.fr) Un audit de sécurité aide à objectiver ces contrôles.
- Anonymiser réellement est un projet à part entière: gouvernance des quasi‑identifiants, métriques de risque de réidentification, contre‑mesures (généralisation, suppression, bruit contrôlé), et audits indépendants. À défaut, assumez que vous traitez des données de santé et appliquez l’art. 9.
Pièges fréquents
- « Nos données sont anonymes car nous avons enlevé les noms. » Faux. Un identifiant interne et une profondeur de variables suffisante (âge, pathologies, traitements, parcours) rendent la réidentification plausible « par des moyens raisonnables » au sens de la CJUE (C‑413/23 P). (infocuria.curia.europa.eu)
- Se reposer sur l’intérêt légitime pour des données de santé. L’art. 6(1)(f) ne lève pas l’interdiction de l’art. 9(1). Il faut une exception de l’art. 9(2) applicable et documentée (ex.: 9(2)(h) ou (i)) — et, le cas échéant, un fondement dans le droit national. Texte: art. 9 RGPD. (eur-lex.europa.eu)
- Déléguer l’information aux partenaires sans contrôle. En collecte indirecte (art. 14), le responsable reste redevable: sans preuve d’affichage effectif ou de remise de notice conforme et compréhensible, le manquement est caractérisé. Texte: art. 14 RGPD; constat CNIL IQVIA. (eur-lex.europa.eu)
- Négliger la « privacy by design ». Un logiciel de pharmacie qui transmet « malgré le refus » viole l’art. 25; l’architecture doit imposer des garde‑fous techniques et pas seulement des procédures internes. Texte: art. 25 RGPD; décision IQVIA. (eur-lex.europa.eu)
- Assimiler pseudonymisation et « mesure cosmétique ». Le CEPD (Guidelines 01/2025) exige une méthodologie et des preuves (schéma de clés, séparation, menaces évaluées). Sans cela, la pseudonymisation n’atténue ni vos obligations ni vos risques. (edpb.europa.eu)
Sources officielles
- CNIL — « Données de santé : sanction de 5 M€ à l’encontre de la société IQVIA » (28 mai 2026) et motifs détaillés (information art. 14, sécurité, art. 25, pseudonymisation) (cnil.fr). (cnil.fr)
- Délibération SAN‑2026‑008 (26 mai 2026), décision publiée sur Légifrance (CNIL) (legifrance.gouv.fr). (legifrance.gouv.fr)
- RGPD (Règlement 2016/679) — articles 9 (données sensibles), 14 (information en collecte indirecte), 25 (protection des données dès la conception) sur EUR‑Lex (eur-lex.europa.eu). (eur-lex.europa.eu)
- CJUE — Arrêt du 4 septembre 2025, C‑413/23 P, EDPS c/ SRB (portée de la notion de données personnelles et pseudonymisation) (curia.europa.eu). (infocuria.curia.europa.eu)
- EDPB — Lignes directrices 01/2025 sur la pseudonymisation (adoptées pour consultation puis finalisées en 2025) (edpb.europa.eu). (edpb.europa.eu)
Remarque Luxembourg. La CNPD rappelle, dans ses pages « Chapitre II — Principes » et « Considérants » dédiées au RGPD, la portée renforcée de l’art. 9 et l’exigence de garanties légales spécifiques pour les traitements de santé (cnpd.public.lu). (cnpd.public.lu)
En synthèse, l’affaire IQVIA place les dirigeants et DPO luxembourgeois face à un choix clair: soit anonymiser réellement avec une méthodologie vérifiable, soit assumer pleinement le régime exigeant de l’article 9 RGPD — base légale, information effective et sécurité démontrable. Pour échanger avec nos équipes, contactez-nous.
Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →