Entrepôts de données de santé : la CNIL prononce une sanction de 5 millions d’euros pour non-respect des conditions de l’autorisation délivrée

Délibération SAN-2026-008 du 26 mai 2026

La CNIL a, le 26 mai 2026, prononcé une sanction à hauteur de cinq millions d’euros à l’encontre de la société IQVIA OPERATIONS France.

L’autorité de contrôle a considéré que la société, spécialisée dans les études médicales, n’a pas respecté les garanties qui visaient à limiter les risques dans le cadre de la gestion d’entrepôts de données de santé.

Initialement, la société avait été autorisée par la CNIL à constituer deux entrepôts de données de santé afin de mener à bien ses études. En pratique, ces deux entrepôts étaient alimentés par des données collectées auprès de pharmacies, s’agissant du premier, et auprès de médecins, s’agissant du second.

Ces données de santé, particulièrement sensibles en raison de leur nature, nécessitaient une protection renforcée conformément à l’article 9 du RGPD.

Or, après avoir mené des contrôles, la CNIL a relevé plusieurs manquements par rapport à ce qui avait été convenu dans les autorisations délivrées. Ces manquements concernaient notamment :

  • La sécurité des données,
  • L’information des personnes,
  • L’exercice des droits des personnes.

L’application du RGPD étant conditionnée à l’existence de traitements de données à caractère personnel, la Commission s’est d’abord attachée à déterminer s’il existait un tel traitement (exclu par nature dès lors qu’il s’agit de données anonymes) afin de se prononcer ensuite, sur les éventuels manquements à ces obligations.

Sur l’absence de caractère anonyme des données

La société soutenait que les données qui figuraient dans les entrepôts étaient anonymisées, ce qui excluait l’application du RGPD.

Au soutien de sa défense, la société s’est appuyée sur l’arrêt « SRB » de la CJUE en date du 4 septembre 2025. Elle soutenait, en effet, que la notion de données à caractère personnel était relative et non absolue. Selon cet arrêt, des données pseudonymisées peuvent ne pas constituer des données à caractère personnel, dès lors que des mesures techniques et organisationnelles efficaces empêchent tout accès aux informations identifiantes par leur destinataire qui, à la différence du responsable de traitement, ne peut pas lever ces mesures.

La formation restreinte rejette l’argument : elle considère que, contrairement à la situation examinée dans l’arrêt SRB, la société n’était pas un simple destinataire des données pseudonymisées. Celle-ci était, en effet, responsable de l’ensemble des opérations de traitement concernées, de la collecte à la pseudonymisation mais également pour la conservation des données dans les entrepôts. Ce seul élément, selon la CNIL, suffit à exclure que les données puissent être considérées comme anonymes.

En outre, chaque donnée était, en l’espèce, reliée à un identifiant unique par patient, et ce, quelle que soit la pharmacie dans laquelle la donnée du patient était collectée. Des moyens raisonnables permettaient donc de réidentifier les personnes concernées. De surcroît, les données étaient très nombreuses et précises ce qui rendait d’autant plus probable le risque de réidentification à partir de sources externes. L’ensemble de ces données permettaient notamment de retracer le parcours de soin et d’individualiser les clients et leurs pathologies.  

Dès lors, la formation restreinte a considéré que les données ne pouvaient pas être considérées comme anonymes, et constituaient des données pseudonymisées au sens de l’article 4 point 5 du RGPD. En l’état, le traitement de ces données pseudonymisées restait donc soumis au RGPD.

Sur le manquement à l’obligation de respecter les autorisations délivrées par la CNIL

Conformément à ce qui est requis par l’article 66-III de la loi Informatique et Libertés, une autorisation de la CNIL est nécessaire pour traiter des données de santé lorsque le traitement n’est pas conforme au référentiel adopté par celle-ci.

Cette autorisation avait été octroyée à la société en 2018 et 2021. Elle était conditionnée à des garanties ayant trait notamment à l’information et aux droits des personnes concernées, ainsi qu’à la sécurité des données traitées.

En l’espèce, la Commission a relevé quatre manquements aux engagements conditionnant les autorisations initialement octroyées.  

  • Le cloisonnement du réseau : l’entrepôt n’était pas isolé sur une zone réseau dédiée, ce qui facilitait les attaques par rebond – risque aggravé par l’absence d’authentification multifacteur ;

  • La traçabilité des accès : aucune mesure, telle que l’analyse des journaux de connexion, ne permettait de détecter efficacement les anomalies d’accès ;

  • L’information des patients : la notice d’information délivrée aux patients comportait des inexactitudes dans les mentions relatives à la durée de conservation des données, ce qui contrevenait à l’article 66 de la loi Informatique et Libertés ;

  • L’exercice des droits : il n’était pas possible pour les personnes concernées d’exercer effectivement leur droit d’opposition, ce qui contrevenait à l’article 21 du RGPD.

Enfin, la CNIL relève un manquement au titre de l’article 25 du RGPD. Elle constate, en effet, que les modules d’extraction transmettaient les données des patients y compris lorsque les pharmaciens avaient refusé de participer au dispositif. La Commission a estimé que cette situation révélait un défaut de paramétrage et dès lors, un manquement à l’exigence de « Privacy by default ».

Sur le manquement à l’obligation d’information

La société poursuivie a également manqué à l’obligation de transparence garantie par l’article 14 du RGPD. En effet, cet article impose au responsable de traitement d’informer une personne lorsque ses données personnelles n’ont pas été collectées directement auprès d’elle.

Or, en l’espèce, les données personnelles des clients étaient collectées par l’intermédiaire des pharmacies, la société étant regardée comme responsable de l’ensemble du traitement, depuis la collecte en officine jusqu’à l’alimentation de l’entrepôt.

Cependant, aucune des pharmacies contrôlées n’informait les clients de ce traitement.

Sur les sanctions prononcées

La CNIL a prononcé une injonction envers la société à se mettre en conformité avec certains points sous un délai de six mois, assortie de pénalités de 10 000 euros par jour de retard.

S’agissant de l’amende fixée à cinq millions d’euros, la CNIL a indiqué s’être appuyée sur plusieurs critères pour fixer son montant :

  • La gravité des manquements, eu égard à la nature sensible des données ;
  • Le nombre de personnes concernées qui s’élevait à plusieurs dizaines de millions ;
  • La position de la société sur le marché comme « leader mondial de la recherche clinique et de la donnée de santé » ;
  • Les capacités financières de l’entreprise sur la base de son chiffre d’affaires mondial.

Cette première sanction d’envergure de la part de la CNIL en matière d’entrepôt de données de santé rappelle qu’une autorisation de la CNIL est toujours conditionnée au respect effectif des engagements de conformité du responsable de traitement et que le contrôle de ces engagements doit être anticipé. Enfin, à travers cette décision, la CNIL offre une application concrète des critères dégagés par l’arrêt « SRB » dont elle fait une interprétation stricte.