Des données de santé transmises sans consentement : la CNIL sanctionne la société IQVIA

Publié le 29 mai 2026
Des données de santé transmises sans consentement : la CNIL sanctionne la société IQVIA
© iStock - imaginima
4 min de lecture

Dans une délibération du 26 mai 2026, la CNIL a décidé de sanctionner la société IQVIA OPERATIONS FRANCE d’une amende de 5 millions d’euros, les autorisations délivrées par l’instance n’ayant pas été respectées et les personnes non dûment informées.

De « très nombreuses données » collectées

La société IQVIA OPERATIONS FRANCE, filiale du groupe IQVIA, réalise des études « pour son propre compte ou pour le compte de laboratoires pharmaceutiques ». Pour ce faire, elle a recours à 2 entrepôts de données de santé que la CNIL l’a autorisée à constituer. L’entrepôt LRX, autorisé en 2018, est alimenté par des données collectées auprès d’environ 14 000 pharmacies. L’entrepôt EMR, autorisé quant à lui en 2021, est alimenté par des données collectées auprès de « plusieurs milliers de médecins ».

De « très nombreuses données » ont été collectées : l’année de naissance, le sexe, des informations relatives au médecin consulté et aux prescriptions délivrées, ainsi que, pour l’entrepôt EMR, la situation matrimoniale, le nombre d’enfants, la catégorie socio-professionnelle et « diverses informations liées à la santé (diagnostic posé, symptômes, allergies, poids, taille, pouls, vaccins, examens ou encore arrêts de travail) ».

Des données censées être anonymes

Dans sa décision, la CNIL a jugé que l’entreprise « n’avait pas respecté les termes des autorisations délivrées, s’agissant notamment de l’information des personnes, de l’exercice de leurs droits et de la sécurité des données ». Le montant de l’amende a ainsi été établi « au regard de la gravité des manquements relevés, qui concernent des données de santé, donc des données sensibles, du nombre élevé de personnes concernées (plusieurs dizaines de millions), de la position de la société sur le marché et de ses capacités financières ».

La société mise en cause a soutenu que « les données figurant dans les entrepôts LRX et EMR étaient anonymes et que, dès lors, les règles relatives à la protection des données n’étaient pas applicables ». La CNIL a au contraire considéré que ces données étaient « seulement pseudonymes », « la réidentification des personnes concernées étant possible, avec des moyens raisonnables ».

Des données transmises, « même en cas de refus »

Au terme de son enquête la commission a constaté « l’inexactitude » des mentions figurant sur la notice d’information relative à l’entrepôt EMR délivrée aux patients, ainsi que « l’absence de mise en œuvre d’une procédure permettant aux personnes de pouvoir exercer leur droit d’opposition de manière effective ».

S’agissant de l’entrepôt LRX, « les contrôles réalisés auprès de quatre pharmacies ont permis de constater qu’aucune d’entre elles n’informait ses clients de la transmission de leurs données à la société IQVIA » (cf. Données de santé : la UK Biobank partage ses données avec des assureurs). En outre, la société réalisait des études pour son propre compte à partir de cet entrepôt « hors de tout cadre légal » et la conception du logiciel de gestion utilisé dans les pharmacies conduisait à transmettre les données des clients à IQVIA, « même en cas de refus » de leur part.

Des violations de données en forte hausse

Dans son rapport d’activité 2025, la Commission nationale de l’informatique et des libertés indique par ailleurs enregistrer « une augmentation de 9,5% du nombre de notifications d’atteintes aux données personnelles par rapport à 2024, atteignant le chiffre de 6 167 notifications de violations de données ». Le secteur de la santé humaine et de l’action sociale est à la deuxième place, avec 15% des notifications, derrière l’administration publique (19%) et devant les activités financières et d’assurance (12%).

« Comme en 2024, [cette augmentation] s’explique notamment par les violations de données de grande ampleur qui ont touché des bases de données d’acteurs du secteur privé et public », précise la CNIL. 6% de ces plaintes en 2025 concernaient des données de santé (cf. Données de santé : une accumulation de fuites, conséquence d’un « sous-investissement en cybersécurité »).

Sources de la synthèse de presse : CNIL (28/05/2026) ; Hospimedia, Manuel Magrez (26/05/2026)