← Tous les articles

consultant

IQVIA sanctionnée 5 M€: pseudonymisation ≠ anonymisation

La CNIL inflige 5 M€ à IQVIA pour des manquements liés à deux entrepôts de données de santé. Enseignement clé: des données pseudonymisées demeurent personnelles et le RGPD s’applique pleinement.

Par Expertise Luxgap 22/06/2026

Le 26 mai 2026, la CNIL a sanctionné IQVIA Operations France à hauteur de 5 000 000 € pour des manquements affectant deux entrepôts de données de santé. Point cardinal: des données « pseudonymisées » ne sont pas anonymes; les obligations RGPD (information, droits, sécurité by design) demeurent.

L’affaire

La décision vise les entrepôts LRX (autorisé en 2018) et EMR (autorisé en 2021), utilisés pour des études internes et pour des laboratoires. Les contrôles ont suivi un reportage télévisé et des plaintes. La formation restreinte retient des manquements à l’information des personnes (art. 14 RGPD), à la protection des données dès la conception (art. 25 RGPD) — notamment absence de MFA sur EMR et absence d’analyse régulière des journaux —, ainsi qu’au non-respect des conditions posées par les autorisations délivrées au titre de l’article 66 de la loi Informatique et Libertés. La CNIL rejette l’argument d’IQVIA selon lequel les données seraient « anonymes », à la lumière de l’arrêt CJUE SRB du 4 septembre 2025: elles restent pseudonymisées et ré-identifiables avec des moyens raisonnables, donc soumises au RGPD. Source: CNIL, « Données de santé: sanction de 5 M€ à l’encontre d’IQVIA », 28/05/2026; délibération SAN‑2026‑008 du 26/05/2026 sur Légifrance. (cnil.fr)

Le raisonnement juridique

  • Données sensibles et base légale. Les données de santé relèvent de l’article 9(1) RGPD; le traitement n’est possible qu’au titre d’une exception de l’article 9(2), souvent combinée à une base de l’article 6(1), et sous conditions de droit national (en France, art. 66 LIL: autorisation CNIL ou référentiel). Une fois l’autorisation délivrée, les garanties imposées doivent être strictement respectées (information, opposition, sécurité). (cnil.fr)
  • Pseudonymisation vs anonymisation. La sanction cite l’arrêt CJUE du 4 septembre 2025 (EDPS c. SRB, C‑413/23 P). La Cour précise que des données pseudonymisées peuvent ne pas être personnelles pour un tiers sans moyens d’identification réalistes; mais pour le responsable qui détient la clé, ou si la structure/ profondeur du dataset et l’usage d’identifiants uniques accroissent le risque, ces données restent personnelles. Dans le cas IQVIA, le risque de ré‑identification a été jugé « trop élevé ». Références: communiqué CJUE et arrêt sur EUR‑Lex. (curia.europa.eu; eur-lex.europa.eu)
  • Transparence et information indirecte (art. 14). Pour LRX (≈14 000 pharmacies), l’information n’était pas effectivement délivrée aux patients. Déléguer la remise de l’information aux pharmaciens n’exonère pas: le responsable doit s’assurer que l’information est fournie (preuve, audits, clauses). (cnil.fr)
  • Privacy by design (art. 25) et sécurité (art. 32). Absence d’authentification multifacteur pour EMR, absence d’analyse régulière des logs sur les deux entrepôts: des lacunes graves au regard de la sensibilité des données. La CNIL renvoie à ses recommandations MFA et journalisation. (cnil.fr)
  • Interprétation CEPD. Pour des traitements à risque, le CEPD exige proportionnalité, information en deux niveaux et accountability (lignes directrices 3/2019 sur la vidéo, utiles par analogie). (edpb.europa.eu)
  • Perspective CNPD (Luxembourg). En mai 2026, la CNPD alerte sur des « techniques d’anonymisation inefficaces » utilisées à la place de l’effacement. Message convergent: la pseudo‑anonymisation n’éteint ni droits ni obligations. (cnpd.public.lu)

Ce que ça change concrètement

  • Pour les acteurs luxembourgeois (hôpitaux, PSF santé, insurtech, laboratoires, CRO, éditeurs, pharmaciens, réseaux de cabinets): qualifier « anonymes » des données en réalité pseudonymisées expose à:
    • l’application pleine et entière du RGPD (art. 5, 6, 9, 12‑14, 25, 32);
    • des contrôles de l’autorité compétente (CNPD/CNIL);
    • des injonctions et astreintes en cas de non‑respect des autorisations sectorielles.
    Pour sécuriser ces volets techniques et organisationnels, un pilotage cyber structuré contribue à satisfaire l’état de l’art.
  • Cas d’usage à risque.
    • Agrégation pharmaceutique: flux officinaux → entrepôt analytique; obligation d’information robuste (affichage en officine, notice dédiée, relais éditeur de LGO), contrôle effectif de l’opposition.
    • Plateformes d’études observationnelles: pseudonymes persistants, historique riche, sources variées; documenter le risque de ré‑identification (recoupements) et, si l’anonymisation est revendiquée, la démontrer techniquement et juridiquement.
    • Analytics internes/partenariats: vérifier que tout usage « pour son propre compte » entre dans le périmètre légal/national (autorisation spécifique, référentiel sectoriel).
  • Sécurité by design devenue incontournable.
    • MFA résistante au phishing (FIDO2/WebAuthn) sur les accès opérateurs;
    • journalisation complète et analysée régulièrement;
    • ségrégation des environnements, chiffrement au repos/en transit, gestion stricte des clés;
    • minimisation et contrôle d’accès fin (RBAC/ABAC), « break‑glass » journalisé.

Pièges fréquents

  1. « Nos données sont anonymes parce que hachées » — Faux en général. Pseudonymes stables, identifiants uniques, datasets profonds et liens avec des sources publiques rendent la ré‑identification « raisonnablement possible ». La charge de la preuve de l’anonymat pèse sur vous. Voir CJUE SRB (04/09/2025). (eur-lex.europa.eu)
  2. Déléguer l’information sans contrôle effectif — L’article 14 impose de garantir que l’information est délivrée (preuve, audits, clauses). Grief retenu pour LRX. (cnil.fr)
  3. Réduire le privacy by design à une politique — Sans MFA ni revue des logs, la conformité à l’art. 25/32 tombe. La CNIL a sanctionné ces lacunes. (cnil.fr)
  4. Étendre l’usage au‑delà du périmètre autorisé — En France, l’art. 66 LIL encadre strictement les finalités; au Luxembourg, vérifiez les bases de l’art. 9(2) RGPD et les cadres sectoriels applicables.
  5. Confondre pseudonymisation et fin des droits — Pseudonymiser n’éteint pas les droits (accès, opposition, effacement) ni les obligations (information, sécurité). La CNPD l’a rappelé en 2026. (cnpd.public.lu)

Sources officielles

  • CNIL — « Données de santé: sanction de 5 millions d’euros à l’encontre de la société IQVIA » (28 mai 2026) et délibération SAN‑2026‑008 (26 mai 2026). https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia
  • CJUE — Arrêt du 4 septembre 2025, C‑413/23 P, EDPS c. SRB: communiqué et texte intégral. curia.europa.eu ; eur-lex.europa.eu
  • CEPD — Lignes directrices 3/2019 (vidéosurveillance): transparence à deux niveaux; nécessité/proportionnalité. edpb.europa.eu
  • CNPD (Luxembourg) — Bilan CEF 2025 (droit à l’effacement): mise en garde sur les « anonymisations » inefficaces. cnpd.public.lu

Besoin d’un accompagnement pour structurer vos registres, DPIA et contrôles techniques au Luxembourg? Échangez avec un expert RGPD et sécurité ou sollicitez-nous via la page contact. Pour les organisations locales, notre aide à la conformité CNPD au Luxembourg complète les dispositifs techniques et le pilotage cyber.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd cnil donnees-de-sante pseudonymisation securite-by-design
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →