En France, la société commerciale états-unienne IQVIA met en œuvre deux entrepôts de données de santé : LRX pour les délivrances de médicaments issues des pharmacies, et EMR pour les consultations (diagnostics, symptômes, prescriptions, résultats d’examen, etc.) auprès de médecins généralistes. La CNIL a autorisé LRX en 2018 et EMR en 2021.
La moitié des pharmacies françaises envoient leurs données à IQVIA, qui détient ainsi des données médicales sur 40 millions de Français⋅e⋅s. En échange, elles obtiennent des études des ventes, qui leur permettent, soi-disant, de mieux gérer leur stock, d’anticiper les tendances, et de piloter leur affaire.
En 2021, Cash investigation s’est penchée sur LRX, et a relevé plusieurs manquements au RGPD.
Cinq ans plus tard, le 26 mars 2026, la formation restreinte, l’organe de sanction de la CNIL, s’est penchée sur LRX et IQVIA. PURR a assisté à la séance.
La séance fut retransmise dans une autre salle des locaux de la CNIL. En raison de difficultés techniques, les quinze premières minutes de la séance n’ont pas été retransmises.
Le rapporteur a soulevé les griefs suivants :
-
Les clients des pharmacies n’ont pas été informés du transfert de leurs données médicales à IQVIA. L’autorisation de la CNIL prévoyait une information individuelle. Cash investigation avait relevé que ce n’était pas le cas. Le président de la Fédération des syndicats pharmaceutiques de France résumait même cette obligation à des affichettes. IQVIA n’a pas contrôlé le respect de cette obligation, y compris contractuelle, et a seulement mis à disposition des pharmacies des éléments de communications (affiche, QR code, etc.), ce qui, pour le rapporteur, ne vaut pas information individuelle. Puisque les données sont prétendument anonymes, IQVIA estime qu’elle n’était pas tenue d’informer. IQVIA s’est défendue que la CNIL ne lui aurait pas répondu sur le contrôle des pharmacies, qui ne figure pas explicitement dans son autorisation alors qu’elle est consignée dans celle sur EMR. PURR rappelle que les responsables de traitement comme IQVIA agissent en responsabilité, ce n’est pas à la CNIL de les prendre par la main ;
-
L’opposition des clients, prévue dès l’autorisation CNIL, n’est toujours pas mise en œuvre dans EMR. Elle l’est dans LRX… Suite à Cash investigation ;
-
Concernant la sécurité des données, IQVIA était très perfectible en matière de segmentation réseau, de traçabilité des accès, et de droits d’accès (= autorisations / habilitations). Notre ressenti est que, comme sur l’information, IQVIA misait tout sur la prétendue anonymisation des données. L’autorisation de la CNIL prévoit un contrôle des accès ; IQVIA aurait interrogé la CNIL pour des informations complémentaires, mais elle n’aurait pas obtenu de réponse, donc elle n’a rien fait… IQVIA affirme avoir corrigé tout cela.
-
Manquement à l’obligation d’une protection par défaut des données. IQVIA a produit les spécifications techniques des extracteurs greffés aux logiciels des pharmacies, ainsi que la procédure de pseudonymisation figurant dans l’autorisation CNIL.
L’anonymisation n’en est pas une :
-
Le président d’IQVIA France a déclaré à Cash investigation qu’il était possible de réidentifier une personne dans le cas de maladies rares. Dans une conférence exhumée par Cash, le même reconnaît la possibilité de réidentifications plus larges par recoupement. De même, un commercial avait affirmé à Cash investigation, qui se faisait passer pour une cliente, qu’il y a un suivi d’une même personne entre les pharmacies grâce à un identifiant, ce qu’IQVIA a nié devant la formation restreinte ;
-
Le rapporteur soutient aussi la faisabilité de recoupements en utilisant des données externes (page Facebook d’un enfant malade, par ex.), et/ou à travers les outils d’IQVIA. La procédure de pseudonymisation (pas d’anonymisation) décrite dans l’autorisation confirme cet état de fait. L’IA générative facilite le recoupement d’une grande masse de données. L’opposition et la suppression des données à la demande d’un client, prévues par l’autorisation CNIL, supposent une réidentification du côté des pharmacies. Pour PURR, il est donc possible qu’IQVIA ne prenne pas en compte les exercices de droit de son côté ;
-
Comme les malfaisants en matière de données personnelles, IQVIA déforme une décision de la Cour de justice de l’UE, notamment pour tenter de démontrer que les données étaient anonymes depuis son point de vue. On en comprend la raison : si les données sont anonymes, alors IQVIA ne manipule pas de données à caractère personnel et, de fait, elle ne peut pas être sanctionnée.
Rigolo : IQVIA a fait observer que les pharmacies devraient également être qualifiées de responsables de traitement (RT), au moins pour la première phase de pseudonymisation et pour le transfert au premier tiers de confiance (qui, lui, transmet à IQVIA, cf. les autorisations CNIL). Le rapporteur a fait valoir que c’est hors sujet (la séance portait sur IQVIA, pas sur autrui) et que, pour lui, les pharmacies ne sont pas RT. Pour PURR, Cash investigation fait état de l’ignorance des pharmaciens.
Le rapporteur a proposé que les mesures correctrices soient une amende de 5 millions d’euros, une injonction de mise en conformité, et une publicité de la décision afin que le plus grand nombre de personnes puissent exercer leurs droits.
IQVIA a rappelé que les données sont anonymes et qu’elle a déjà mis en œuvre les mesures correctrices demandées par le rapporteur, donc elle demande une absence de sanction, d’injonction, et de publicité. En cas d’amende, elle devrait être proportionnée au seul chiffre d’affaires des produits LRX et ERM.
Si IQVIA déplore la lenteur de la CNIL, PURR ne peut qu’en faire de même : Cash investigation diffusé en mai 2021, séance de la formation restreinte cinq ans plus tard…
Nous regrettons également la faiblesse de la réaction de la CNIL : aucune suppression des données mal acquises, et montant de l’amende proposée largement en deçà de la gravité des manquements et du profit retiré par IQVIA sur la période (un de ses commerciaux affirmait à Cash investigation, qui se faisait passer pour une potentielle cliente, qu’une étude IQVIA pour une pathologie, c’est 20 k€ minimum). On passe également d’une déclaration CNIL pour des « études [d’intérêt public] visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications », à des études de marché…