La CNIL a sanctionné la filiale française d'Iqvia, spécialisée dans les études médicales, d’une amende de 5 M€ pour plusieurs manquements liés à l’exploitation de deux entrepôts de données de santé. L’autorité lui reproche notamment de ne pas avoir respecté certaines garanties imposées lors des autorisations délivrées pour ses plateformes LRX et EMR. Spécialisée dans le conseil et les études cliniques pour l’industrie pharmaceutique, la société exploite deux vastes bases de données alimentées par des pharmacies et des médecins afin de produire des analyses sur les traitements, les parcours de soins ou certaines pathologies. L’entrepôt LRX, autorisé en 2018, agrège des données provenant d’environ 14 000 pharmacies, tandis que l’entrepôt EMR, autorisé par la Cnil non sans polémique en 2021, s’appuie sur les informations collectées auprès de plusieurs milliers de médecins.

À la suite d’un reportage de l’émission Cash Investigation de 2021 et de plusieurs plaintes déposées par des particuliers et des associations, l'autorité a lancé une série de contrôles auprès d’Iqvia et de certains partenaires participant à la collecte des données. Dans sa décision du 26 mars 2026, la formation restreinte de la CNIL estime que la société n’a pas respecté plusieurs obligations liées à l’information des personnes, à l’exercice de leurs droits et à la sécurité des données. L’autorité souligne également que les traitements concernent des données de santé, donc des données sensibles au sens du RGPD, portant sur plusieurs dizaines de millions de personnes. La CNIL a par ailleurs assorti sa sanction d’injonctions obligeant l'entreprise à corriger certains manquements dans un délai de six mois, sous peine d’une astreinte de 50 000 euros par jour de retard.

Des données pseudonymisées et non anonymisées

L’un des principaux enjeux juridiques du dossier concernait la qualification des données exploitées dans les entrepôts LRX et EMR. Dans le cadre de sa défense, Iqvia estimait que les informations utilisées étaient anonymes et ne relevaient donc plus du cadre du RGPD. La société s’appuyait notamment sur un arrêt rendu le 4 septembre 2025 par la Cour de justice de l’Union européenne, dit « arrêt SRB ». La CNIL a rejeté cet argument. Pour l’autorité, les données demeurent des données personnelles pseudonymisées et non anonymisées. La possibilité de réidentifier des individus avec des moyens raisonnables restait selon elle trop importante.

Les entrepôts contenaient notamment des informations détaillées comme l’année de naissance, le sexe, les prescriptions médicales, les diagnostics, les symptômes, les allergies ou encore certains éléments socio-professionnels et familiaux. Chaque dossier était également associé à un identifiant unique permettant de reconstituer le parcours de soins d’un patient. La formation restreinte considère que la profondeur des données collectées, combinée à la présence d’identifiants uniques et à la possibilité de croiser ces informations avec des données accessibles publiquement, suffisait à créer un risque significatif de réidentification.

Une décision majeure pour les fournisseurs de données de santé

Cette décision constitue un signal fort pour les fournisseurs en données de santé et d'analyse médicale. Elle rappelle que la pseudonymisation ne dispense pas du respect des obligations du RGPD et que les autorités européennes continuent de considérer ces traitements comme hautement sensibles.

Le dossier pourrait également avoir des conséquences plus larges sur les plateformes d’exploitation secondaire des données de santé, alors que les usages de l’IA générative et de l’analytique médicale se multiplient dans les secteurs pharmaceutique et hospitalier. La question de l’équilibre entre valorisation des données, innovation et protection de la vie privée devient ainsi centrale pour les fournisseurs de technologies santé et les acteurs du cloud manipulant ce type d’informations. La CNIL précise enfin que l’ensemble des amendes qu’elle prononce sont recouvrées par le Trésor public et reversées au budget de l’État.

Note aux lecteurs. Cet article a été mis à jour le 28 mai 2026 à 15h18 en tenant compte de l'ajout de la réaction d'Iqvia France suivante : « Nous prenons acte de la publication de la décision de la CNIL ; nous en prenons connaissance et nous réservons le droit de faire appel [...] Nous avons coopéré avec la CNIL et continuerons de le faire. Les mesures de sécurité identifiées ont été mises en place et nous restons engagés à renforcer en continu notre dispositif de sécurité et de gouvernance. »