GuiGui's Show

En France, la société commerciale états-unienne IQVIA met en œuvre deux entrepôts de données de santé : LRX pour les délivrances de médicaments issues des pharmacies, et EMR pour les consultations (diagnostics, symptômes, prescriptions, résultats d’examen, etc.) auprès de médecins généralistes. La CNIL a autorisé LRX en 2018 et EMR en 2021.

La moitié des pharmacies françaises envoient leurs données à IQVIA, qui détient ainsi des données médicales sur 40 millions de Français⋅e⋅s. En échange, elles obtiennent des études des ventes, qui leur permettent, soi-disant, de mieux gérer leur stock, d’anticiper les tendances, et de piloter leur affaire.

En 2021, Cash investigation s’est penchée sur LRX, et a relevé plusieurs manquements au RGPD.

Cinq ans plus tard, le 26 mars 2026, la formation restreinte, l’organe de sanction de la CNIL, s’est penchée sur LRX et IQVIA. PURR a assisté à la séance.

Le rapporteur a soulevé les griefs suivants :

• Les clients des pharmacies n’ont pas été informés du transfert de leurs données médicales à IQVIA. L’autorisation de la CNIL prévoyait une information individuelle.
  
  
• Cash investigation avait relevé que ce n’était pas le cas. Le président de la Fédération des syndicats pharmaceutiques de France résumait même cette obligation à des affichettes. IQVIA n’a pas contrôlé le respect de cette obligation […] IQVIA s’est défendue que la CNIL ne lui aurait pas répondu sur le contrôle des pharmacies […] PURR rappelle que les responsables de traitement comme IQVIA agissent en responsabilité, ce n’est pas à la CNIL de les prendre par la main
  
  
• L’opposition des clients, prévue dès l’autorisation CNIL, n’est toujours pas mise en œuvre dans EMR. Elle l’est dans LRX… Suite à Cash investigation
  
  
• Concernant la sécurité des données, IQVIA était très perfectible en matière de segmentation réseau, de traçabilité des accès, et de droits d’accès (= autorisations / habilitations). Notre ressenti est que, comme sur l’information, IQVIA misait tout sur la prétendue anonymisation des données. L’autorisation de la CNIL prévoit un contrôle des accès ; IQVIA aurait interrogé la CNIL pour des informations complémentaires, mais elle n’aurait pas obtenu de réponse, donc elle n’a rien fait… […]
  
  
• Manquement à l’obligation d’une protection par défaut des données.

L’anonymisation n’en est pas une : […] Le président d’IQVIA France a déclaré à Cash investigation qu’il était possible de réidentifier une personne dans le cas de maladies rares. Dans une conférence exhumée par Cash, le même reconnaît la possibilité de réidentifications plus larges par recoupement. De même, un commercial avait affirmé à Cash investigation, qui se faisait passer pour une cliente, qu’il y a un suivi d’une même personne entre les pharmacies grâce à un identifiant, ce qu’IQVIA a nié devant la formation restreinte

[…]

Le rapporteur a proposé que les mesures correctrices soient une amende de 5 millions d’euros, une injonction de mise en conformité, et une publicité de la décision afin que le plus grand nombre de personnes puissent exercer leurs droits.

[…]

Si IQVIA déplore la lenteur de la CNIL, PURR ne peut qu’en faire de même : Cash investigation diffusé en mai 2021, séance de la formation restreinte cinq ans plus tard…

Nous regrettons également la faiblesse de la réaction de la CNIL : aucune suppression des données mal acquises, et montant de l’amende proposée largement en deçà de la gravité des manquements et du profit retiré par IQVIA sur la période (un de ses commerciaux affirmait à Cash investigation, qui se faisait passer pour une potentielle cliente, qu’une étude IQVIA pour une pathologie, c’est 20 k€ minimum).

On passe également d’une déclaration CNIL pour des « études [d’intérêt public] visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications », à des études de marché…

Ça rappelle la sanction de la CNIL contre Cegedim (délibération SAN-2024-013).