- Reglementation
- Cybersecurite
Données de santé : la CNIL inflige 5 millions d'euros à IQVIA, une première historique
La CNIL a prononcé une sanction de 5 millions d'euros contre IQVIA pour manquements au RGPD dans ses entrepôts de données de santé — une première historique qui redéfinit les obligations de tout le secteur.
Équipe ASN
Application Santé Numérique
La Commission nationale de l’informatique et des libertés (CNIL) a franchi une étape inédite le 2 juin 2026 : pour la première fois, l’autorité de protection des données a sanctionné un responsable de traitement d’entrepôts de données de santé. La société IQVIA Operations France, filiale française du géant américain des données pharmaceutiques, se voit infliger une amende de 5 millions d’euros, assortie d’une injonction de mise en conformité.
IQVIA, acteur clé des données pharmaceutiques en France
IQVIA exploite en France deux entrepôts de données de santé — LRX et EMR — qui agrègent les informations médicales de millions de patients. Ces bases alimentent des analyses utilisées par l’industrie pharmaceutique : suivi de prescriptions, études épidémiologiques, ciblage médical. Leur ampleur et leur sensibilité en font des actifs particulièrement exposés aux exigences réglementaires.
Trois manquements retenus par la CNIL
La formation restreinte de la CNIL a identifié des violations sur trois fronts distincts :
- Défaillances informationnelles (art. 14 RGPD) : les patients n’étaient pas correctement informés de l’utilisation secondaire de leurs données dans ces entrepôts, en méconnaissance du principe de transparence.
- Insuffisances de sécurité (art. 32 RGPD) : les mesures techniques et organisationnelles de protection des données étaient jugées insuffisantes au regard de l’état de l’art, exposant des données particulièrement sensibles à des risques non maîtrisés.
- Non-respect du cadre d’autorisation (art. 66 loi Informatique et Libertés) : des écarts significatifs ont été constatés entre les pratiques réelles d’IQVIA et les conditions définies lors de l’autorisation initialement délivrée par la CNIL.
Une triple peine aux effets dissuasifs
La décision articule trois mesures complémentaires :
- Amende de 5 millions d’euros, proportionnée à la sensibilité des données traitées et au volume des traitements concernés
- Injonction de mise en conformité dans un délai de 6 mois, sous astreinte de 10 000 € par jour de retard
- Publication de la décision pendant deux ans, visant à maximiser l’effet préventif sur l’ensemble du secteur
Un signal réglementaire fort pour tout l’écosystème
Cette décision marque un tournant pour l’ensemble des acteurs traitant des données de santé en dehors du périmètre strict des établissements de soins. Elle confirme que les opérateurs privés — entreprises pharmaceutiques, acteurs de la recherche, éditeurs de bases de données médicales — sont soumis aux mêmes obligations de conformité continue que les hôpitaux et cliniques.
La CNIL souligne en particulier que la conformité doit être maintenue en continu à l’état de l’art technologique, et non figée à la date d’obtention d’une autorisation initiale. Un message d’autant plus critique que la France prépare activement son intégration dans l’Espace européen des données de santé (EEDS), qui amplifiera les flux de données médicales à l’échelle du continent.
Pour les directions juridiques et les délégués à la protection des données du secteur de la santé numérique, cette sanction constitue un signal d’alerte clair : la valorisation des données de santé ne peut s’affranchir d’un cadre réglementaire rigoureux, sous peine de sanctions financières et réputationnelles significatives.
Sources
Contactez un expert en santé numérique
Vous avez un projet d'application santé ? Notre équipe d'experts vous accompagne dans la conception et le développement de solutions numériques innovantes.