Les développements de la délibération comportant des données à caractère personnel ou des secrets protégés par la loi sont remplacés par le signe […], [X], [Y], [Z] et [Z+]

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, M^mes Laurence FRANCESCHINI et Isabelle LATOURNARIE-WILLEMS et M. Didier KLING, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel ;

Vu la décision n° 2021-125C du 29 juin 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par les sociétés IQVIA OPERATIONS FRANCE SAS, IQVIA HOLDINGS FRANCE SAS et IQVIA RDS FRANCE ou pour leur compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés du 18 juillet 2024 portant désignation d’un rapporteur devant la formation restreinte ;

Vu le rapport de M. Claude CASTELLUCCIA, commissaire rapporteur, notifié à la société IQVIA OPERATIONS FRANCE le 31 mars 2025 ;

Vu les observations écrites versées par la société IQVIA OPERATIONS FRANCE le 30 avril 2025 ;

Vu la réponse du rapporteur à ces observations, notifiées à la société le 26 mai 2025 ;

Vu les nouvelles observations écrites versées par la société IQVIA OPERATIONS FRANCE le 26 juin 2025 ;

Vu la clôture de l’instruction, notifiée à la société le 16 juillet 2025 ;

Vu le courrier du président de la formation restreinte du 16 juillet 2025, informant la société que le dossier était inscrit à l’ordre du jour de la formation restreinte du 16 octobre 2025 ;

Vu la communication par la société, le 7 octobre 2025, d’un document intitulé « analyse des modalités de pseudonymisation des données des entrepôts LRX et EMR de la société IQVIA Opérations France, des possibilités de réidentification des personnes et de la qualification de ces données au regard de la décision de la CJUE du 4 septembre 2025 » ;

Vu la décision du président de la formation restreinte du 10 octobre 2025 de déclarer cette pièce recevable et de reporter la clôture de l’instruction ;

Vu la réponse du rapporteur à ces nouveaux éléments, notifiée à la société IQVIA OPERATIONS FRANCE le 24 novembre 2025 ;

Vu les nouvelles observations écrites versées par la société les 23 décembre 2025 et 8 janvier 2026 ;

Vu la clôture de l’instruction, notifiée à la société le 16 février 2026 ;

Vu le courrier du président de la formation restreinte notifié le même jour, informant la société que le dossier était inscrit à l’ordre du jour de la formation restreinte du 26 mars 2026 ;

Vu les pièces complémentaires transmises par la société les 24 et 26 mars 2026 ;

Vu les observations orales formulées lors de la séance de la formation restreinte du 26 mars 2026 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 26 mars 2026 :

— M. Claude CASTELLUCCIA, commissaire, entendu en son rapport ;

En qualité de représentants de la société IQVIA OPERATIONS FRANCE :

[…].

La société IQVIA OPERATIONS FRANCE ayant été informée de son droit de garder le silence sur les faits qui lui étaient reprochés et ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. FAITS ET PROCÉDURE

1. La société IQVIA OPERATIONS FRANCE (ci-après, « la société » ou « la société IQVIA ») est une société par actions simplifiée à associé unique dont le siège social est situé 17 bis place des Reflets à Courbevoie (92400).

2. Elle appartient au groupe étasunien IQVIA (anciennement QUINTILES et IMS HEALTH, INC.), présent dans plus de cent pays dans le monde et qui se présente, sur son site web, comme le « leader mondial de la recherche clinique et de la donnée de santé ».

3. La société IQVIA OPERATIONS FRANCE exerce notamment une activité de conseil et de réalisation d’études, pour son propre compte ou pour le compte de laboratoires pharmaceutiques. Dans ce cadre, elle analyse l’activité des officines ainsi que le suivi des parcours de soins des patients, en s’appuyant sur deux entrepôts de données de santé que la Commission nationale de l’informatique et des libertés (ci-après, « la CNIL » ou « la Commission ») l’a autorisée à constituer en application de l’article 66-III de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après, « la loi Informatique et Libertés » ou « la loi du 6 janvier 1978 modifiée ») :

— l’entrepôt Longitudinal prescription data (ci-après, « LRX »), alimenté par des données collectées auprès d’officines et autorisé par la délibération n° 2018-289 du 12 juillet 2018 ;

— l’entrepôt Electronic medical records (ci-après, « EMR »), alimenté par des données collectées auprès de médecins et autorisé par la délibération n° 2021-015 du 4 février 2021.

4. La société IQVIA OPERATIONS FRANCE a réalisé, en 2023, un chiffre d’affaires de 152,6 millions d’euros, pour un résultat net de 23,3 millions d’euros. La société mère du groupe, IQVIA HOLDINGS INC., a réalisé pour la même année un chiffre d’affaires de 15 milliards de dollars (soit environ 12,9 milliards d’euros), pour un bénéfice de 1,3 milliard de dollars (soit environ 1,1 milliard d’euros).

5. A la suite de la diffusion d’un reportage sur une chaîne de télévision grand public, dont une partie était consacrée aux données traitées par la société IQVIA, la CNIL a, le 17 mai 2021, publié sur son site web un communiqué rappelant le cadre légal applicable et les conditions dans lesquelles la société avait été autorisée à constituer l’entrepôt LRX. Elle a précisé à cette occasion qu’au regard des éléments portés à la connaissance du public, des contrôles seraient diligentés.

6. En parallèle, la CNIL a, après la diffusion du reportage, été saisie de plusieurs plaintes et signalements émanant de particuliers et d’associations, relatifs aux traitements mis en œuvre par la société IQVIA.

7. Les 6 et 7 juillet 2021, une délégation a procédé à un contrôle sur place au siège de la société IQVIA OPERATIONS FRANCE. Cette opération avait pour but de vérifier le respect des dispositions de la loi du 6 janvier 1978 modifiée et du règlement (UE) 2016/679 du 27 avril 2016 (ci-après, « le RGPD »). Les procès-verbaux dressés à l’issue ont été notifiés à la société IQVIA OPERATIONS FRANCE le 15 juillet 2021.

8. La société a communiqué à la délégation des éléments complémentaires les 28 juillet, 3 septembre, 16 décembre 2021, 11 février et 4 octobre 2022.

9. Par ailleurs, les 24 septembre, 29 octobre et 26 novembre 2021, des contrôles sur place ont été menés auprès de six officines parisiennes, partenaires de la société IQVIA OPERATIONS FRANCE. Les procès-verbaux dressés à l’issue ont également été adressés à la société.

10. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 18 juillet 2024, désigné M. Claude CASTELLUCCIA en qualité de rapporteur sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.

11. Le 31 mars 2025, à l’issue de son instruction, le rapporteur a notifié à la société un rapport détaillant les manquements aux articles 66 de la loi Informatique et Libertés, 14 et 25 du RGPD qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer à l’encontre de la société une amende administrative, ainsi qu’une injonction de mettre en conformité ses pratiques avec les dispositions susvisées, assortie d’une astreinte. Il proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

12. Plusieurs échanges d’écritures ont par la suite eu lieu entre le rapporteur et la société, jusqu’à la clôture de l’instruction notifiée à la société le 16 février 2026.

13. A l’issue de la procédure contradictoire écrite, le rapporteur et la société ont présenté des observations orales lors de la séance de la formation restreinte.

II. MOTIFS DE LA DECISION

A. Sur la procédure

1. Sur la prétendue violation de l’article 6 de la Convention européenne des droits de l’homme

14. La société fait valoir que la durée de la procédure suivie à son encontre est excessive et constitue une violation de son droit à un procès équitable, tel que garanti par l’article 6 de la Convention européenne des droits de l’homme (ci-après, « CEDH »). Elle considère en effet qu’au regard des critères dégagés par la Cour européenne des droits de l’homme (ci-après, « Cour EDH ») et le Conseil d’Etat, qui permettent d’apprécier le caractère raisonnable de la durée d’une procédure, au regard de la complexité de l’affaire, du comportement du requérant, du comportement de l’autorité concernée et de l’enjeu du litige pour l’intéressé, le délai de trois ans et neuf mois s’étant écoulé entre la décision de contrôle de la présidente de la CNIL le 29 juin 2021 et la réception du rapport de sanction le 31 mars 2025 n’est pas justifié. Elle relève que ce délai est très largement supérieur aux délais moyens de traitement des dossiers par la Commission, laquelle disposait par ailleurs, dès le 4 octobre 2022, de l’ensemble des éléments lui permettant de statuer.

15. La société considère que compte tenu de ces délais, elle n’a pu « disposer du temps et des facilités nécessaires à la préparation de sa défense », n’ayant pas été informée « dans le plus court délai » " de la nature et de la cause de l’accusation portée contre elle ", près de vingt-et-un mois s’étant écoulés entre son dernier contact avec la CNIL et la notification de la désignation d’un rapporteur, auxquels viennent s’ajouter les huit mois séparant la désignation du rapporteur et la notification du rapport de sanction. Elle indique à cet égard que les équipes ont été amenées à évoluer pendant ce laps de temps, que plusieurs personnes présentes au moment des opérations de contrôles (dont certaines occupaient un rôle déterminant) ont quitté la société et qu’elle ne dispose plus aujourd’hui de l’ensemble des éléments pertinents, ce qui est de nature à entrainer des difficultés dans la préparation de sa défense.

16. En réponse aux observations du rapporteur, qui fait valoir que les garanties de l’article 6 de la CEDH n’ont vocation à s’appliquer qu’à compter du moment où une accusation est portée à l’encontre de la personne concernée (soit à compter de l’engagement d’une procédure de sanction), la société soutient au contraire que ces dispositions sont également applicables à la phase d’instruction. Elle considère qu’elles le sont d’autant plus qu’IQVIA faisait l’objet de soupçons avant même les opérations de contrôles, en raison de la diffusion du reportage réalisé par le magazine « Cash Investigations » et des plaintes adressées à la CNIL.

17. La société considère que la violation des dispositions de l’article 6 de la CEDH vicie l’ensemble de la procédure, et indique se réserver le droit d’exercer tout recours, y compris juridictionnel.

18. La formation restreinte rappelle qu’aux termes de l’article 6, paragraphe 1 de la CEDH, « toute personne a droit à ce que sa cause soit entendue équitablement, publiquement et dans un délai raisonnable, par un tribunal indépendant et impartial, établi par la loi, qui décidera, soit des contestations sur ses droits et obligations de caractère civil, soit du bien-fondé de toute accusation en matière pénale dirigée contre elle ». Le paragraphe 3 dispose que " tout accusé a droit notamment à : a) être informé, dans le plus court délai, dans une langue qu’il comprend et d’une manière détaillée, de la nature et de la cause de l’accusation portée contre lui ; b) disposer du temps et des facilités nécessaires à la préparation de sa défense […] ".

19. La Cour européenne des droits de l’homme a précisé à plusieurs reprises que la période à prendre en considération pour apprécier le caractère raisonnable du délai dans lequel toute personne a droit à ce que sa cause soit entendue " commence nécessairement le jour où une personne se trouve accusée, sans quoi il ne serait pas possible de statuer sur le bien-fondé de l’accusation " (CEDH, Neumeister c. Autriche, 27 juin 1968, n° 1936/63, point 18), cette accusation devant s’entendre " comme la notification officielle, émanant de l’autorité compétente, du reproche d’avoir accompli une infraction " (CEDH, Deweer c. Belgique, 27 février 1980, n° 6903/75, point 46).

20. S’agissant des procédures de sanction menées devant le CNIL, l’article 22 de la loi Informatique et Libertés prévoit que les mesures susceptibles d’être prononcées par la formation restreinte le sont sur la base d’un rapport établi par l’un des membres de la Commission, désigné par le président de celle-ci. C’est donc au rapporteur qu’il appartient, après avoir procédé à toutes diligences utiles en application de l’article 39 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi Informatique et Libertés, de déterminer si des manquements sont susceptibles d’être reprochés à la personne ou à l’organisme mis en cause et de décider, soit de mettre fin à la procédure, soit d’établir le rapport susvisé, qui comprend les griefs formulés à l’encontre de la personne physique ou morale visée.

21. Le Conseil d’Etat a ainsi jugé que " le principe des droits de la défense s’applique seulement à la procédure ouverte par la notification du rapport prévu par l’article 22 de la loi du 6 janvier 1978, dans les conditions prévues par le premier alinéa de cet article et par l’article 40 du décret du 29 mai 2019, et non aux diligences préalables effectuées par le rapporteur ou aux contrôles réalisés à sa demande en application de l’article 39 de ce décret " (CE, 10ème/9ème ch., 14 mai 2024, n° 472221, inédit).

22. En application de cette jurisprudence, ce n’est donc qu’à compter de la notification du rapport de sanction que la personne mise en cause se trouve « accusée » et que les garanties prévues à l’article 6 de la CEDH, visant notamment à assurer le droit de " toute personne [à voir] sa cause […] entendue dans un délai raisonnable ", doivent s’appliquer.

23. En tout état de cause, les garanties prévues à l’article 6 de la CEDH ne peuvent trouver à s’appliquer au stade de la phase de contrôle, par définition préalable à l’ouverture de la procédure de sanction et à la notification de griefs et ayant pour seul objet la collecte d’éléments factuels relatifs aux pratiques en cause. La Cour européenne des droits de l’homme considère à cet égard qu’" exiger que semblable enquête préparatoire soit assujettie aux garanties d’une procédure judiciaire énoncées à l’article 6 par. 1 (art. 6-1) gênerait indûment, en pratique, la réglementation efficace, dans l’intérêt public, d’activités financières et commerciales complexes " (Saunders c. Royaume Uni, 17 décembre 1996, n° 19187/91, § 67 ; Fayed c. Royaume-Uni, 21 sept. 1994, n° 17101/90, point 62).

24. En l’espèce, la présidente de la Commission a, le 18 juillet 2024, saisi la formation restreinte et désigné un rapporteur chargé d’instruire le dossier et d’établir le rapport visé à l’article 22 de la loi Informatique et Libertés. Ce rapport, qui contient les griefs formulés à l’encontre de la société IQVIA, a été notifié à cette dernière le 31 mars 2025. La formation restreinte relève ainsi qu’il s’est écoulé moins d’un an entre la notification du rapport – date à laquelle une « accusation » a été portée à l’encontre de la société au sens de l’article 6 de la CEDH – et la séance au cours de laquelle elle a examiné le dossier, et vingt mois entre la désignation du rapporteur et la tenue de la séance précitée. Elle considère que ces délais, compte tenu notamment de la complexité du dossier (l’architecture des traitements mis en œuvre présentant une technicité particulière), de la pluralité de manquements relevés, du nombre de pièces dont le rapporteur a dû prendre connaissance et des nombreux échanges ayant eu lieu entre ce dernier et la société dans le cadre du contradictoire, ne sont en rien déraisonnables.

25. La formation restreinte souligne par ailleurs que, si le dossier devait initialement être examiné lors de la séance du 16 octobre 2025, la société a, le 7 octobre 2025, produit une analyse remettant en cause le fait que les données figurant dans ses entrepôts doivent être qualifiées de données à caractère personnel (argument qu’elle n’avait jusqu’alors jamais exprimé). Ainsi, ce n’est qu’en raison de la production de ces nouveaux éléments que le président de la formation restreinte a décidé de reporter la clôture de l’instruction et qu’une nouvelle phase contradictoire s’est ouverte, afin de permettre au rapporteur de répliquer et à la société de transmettre d’ultimes observations.

26. Par ailleurs, si la formation restreinte regrette qu’un délai de vingt-et-un mois se soit écoulé entre le dernier contact de la délégation de contrôle avec la société et la désignation d’un rapporteur, elle considère néanmoins, d’une part, qu’un tel délai n’est pas susceptible de constituer une violation de l’article 6 de la CEDH, pour les raisons développées supra et, d’autre part, que ce délai peut s’expliquer notamment par les éléments énumérés au point 24 de la présente délibération, tels que la complexité du dossier, le nombre de pièces à analyser et la pluralité des constats effectués pouvant constituer des manquements.

27. En outre, la formation restreinte rappelle que la société a disposé du délai d’un mois prévu à l’article 40 du décret n° 2019/536 pour répondre d’abord au rapport de sanction, puis aux observations en réponse du rapporteur. Le Conseil d’Etat a jugé que ce délai permettait aux personnes mises en cause de préparer et de présenter utilement leur défense (CE, 10ème et 9ème chambres, 19 juin 2020, n° 430810, Rec., point 13). Il convient également de relever que, comme indiqué au point 25 de la présente délibération, la société a, le 7 octobre 2025, transmis une nouvelle analyse, comprenant de nouveaux arguments, que le président de la formation restreinte a, en application du III de l’article 40 du décret n° 2019-536 du 29 mai 2019, décidé de déclarer recevable. La société a également pu répondre aux dernières observations du rapporteur concernant cette analyse, portant à quatre les jeux d’écriture déposés par IQVIA à l’appui de sa défense. Dès lors, la société a été mise en mesure de répondre à l’ensemble des griefs formulés à son encontre et a pu apporter des éléments précis et circonstanciés.

28. Compte tenu de ce qui précède, la formation restreinte considère que les droits garantis par l’article 6 de la CEDH n’ont pas été méconnus.

2. Sur la prétendue méconnaissance de la charte des contrôles de la CNIL

29. La société fait valoir que les délais de traitement du dossier contreviennent aux principes édictés par la charte des contrôles de la CNIL, laquelle prévoit que " l’instruction d’une procédure de contrôle est réalisée dans les meilleurs délais " et qu’" en cas de circonstances exceptionnelles allongeant le temps d’instruction du dossier, un courrier est adressé à l’organisme contrôlé, pour lui indiquer que l’instruction du dossier est toujours en cours ". Elle relève qu’en l’espèce, aucun courrier ne lui a été adressé entre ses derniers échanges avec la délégation de contrôle, le 4 octobre 2022, et le courrier l’informant de la désignation du rapporteur le 29 juillet 2024, et qu’elle ne pouvait donc s’attendre à faire l’objet d’une procédure de sanction.

30. La formation restreinte relève que la charte des contrôles de la CNIL, publiée sur son site web, a pour objectif d’assurer le bon déroulement des missions de contrôle en les faisant mieux connaître et en présentant les modalités pratiques les plus courantes de déroulement des contrôles. La formation restreinte considère que si cette charte permet d’offrir une plus grande prévisibilité des méthodes utilisées par les contrôleurs de la CNIL, elle n’a pas pour autant vocation à se substituer aux dispositions légales applicables, qui ne prévoient pas de délai spécifique à respecter entre la procédure de contrôle et la désignation d’un rapporteur. La charte précise en outre que si l’instruction est réalisée « dans les meilleurs délais », celle-ci « se déroule toutefois sur une période de plusieurs mois ». Compte tenu des circonstances particulières rappelées précédemment, la formation restreinte considère que la durée de l’instruction, bien qu’importante, n’apparait pas excessive.

31. Par ailleurs, si la formation restreinte regrette que l’organisme n’ait pas été informé du fait que l’instruction était toujours en cours, une telle circonstance ne saurait néanmoins entacher la procédure d’une quelconque irrégularité.

B. Sur les traitements en cause et la responsabilité de la société IQVIA OPERATIONS FRANCE

32. La formation restreinte rappelle que la société IQVIA a été autorisée par la CNIL à constituer deux entrepôts de données de santé, LRX et EMR, à des fins de recherche, d’étude et d’évaluation, et que la présente procédure porte à titre principal sur le potentiel non-respect des autorisations délivrées.

33. A la suite de l’arrêt « SRB » rendu le 4 septembre 2025 par la Cour de justice de l’Union européenne, la société a introduit de nouveaux arguments visant à remettre en question le fait que les données figurant dans ces entrepôts doivent être considérées comme étant des données à caractère personnel. Elle conteste également être responsable des premières phases du traitement relatif à la constitution des entrepôts.

34. Au vu de ces nouveaux éléments, la formation restreinte considère qu’avant d’examiner les griefs soulevés par le rapporteur, il convient, premièrement, de présenter les finalités et modes d’alimentation des entrepôts LRX et EMR (1), deuxièmement, d’examiner la responsabilité de la société IQVIA dans la constitution de ces entrepôts (2) et, troisièmement, de déterminer si les données qui y figurent doivent être qualifiées de données à caractère personnel (3).

1. Présentation des entrepôts LRX et EMR

a. Sur l’entrepôt LRX

35. La délibération n° 2018-289 du 12 septembre 2018 prévoit que l’entrepôt LRX " a vocation à permettre de mener des études non interventionnelles visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications ".

36. Pour constituer cet entrepôt, la société IQVIA collecte, auprès d’environ 14 000 officines partenaires, les données liées aux ventes de médicaments ainsi que, lorsque le pharmacien l’accepte (ce qui est le cas d’environ 10 000 officines), un code d’identification unique permettant un suivi longitudinal du parcours de chaque patient. Dans sa plaquette de présentation à destination des pharmaciens, la société évoque « 20 millions de patients anonymisés suivis dans le temps ».

37. En pratique, la procédure mise en place par la société IQVIA se présente de la manière suivante : lorsque le pharmacien enregistre les ventes de médicaments dans son logiciel de gestion d’officine (ci-après, « LGO »), un module intégré à ce logiciel (développé par l’éditeur du LGO pour le compte d’IQVIA et selon un cahier des charges fixé par cette dernière) permet d’extraire les données et de générer un flux, nommé Pharmastat. Ce flux comprend non seulement les données relatives aux ventes de médicaments mais également un code d’identification du patient, généré par le module extracteur à l’aide d’une fonction de hachage à partir de l’INS-C (identifiant national de santé assigné aux personnes bénéficiaires de l’assurance maladie, utilisable dans l’ensemble du système de soins et qui permet d’associer le patient à ses données de santé), ainsi que le prénom, l’année de naissance et le genre de la personne concernée. Chaque patient se voit ainsi attribuer un code unique, qui est le même quelle que soit l’officine partenaire dans laquelle il se rend.

38. Ce code, associé aux données de dispensation des produits, est transmis successivement à deux tiers de confiance désignés par la société IQVIA, d’abord la société [X], puis la société [Y], lesquelles vont chacune procéder à un nouveau hachage du code d’identification afin de réduire les risques de réidentification des patients.

39. Les données ainsi pseudonymisées sont versées dans l’entrepôt LRX.

40. En contrepartie de la fourniture de ces données, la société transmet aux officines partenaires un tableau de bord de leurs données de vente, leur permettant de comparer leur activité à celle des autres officines et de gérer leur stock.

b. Sur l’entrepôt EMR

41. La délibération n° 2021-015 du 4 février 2021 prévoit que l’entrepôt EMR doit permettre " de mener des études sur l’évaluation et l’analyse des pratiques de soins en médecine générale ".

42. Cet entrepôt est alimenté par deux flux, provenant de données collectées auprès de médecins :

— le flux " [Z+] " […], qui contient les données issues des consultations réalisées par des médecins généralistes et spécialistes utilisant les logiciels édités par la société [Z], laquelle a contracté avec la société IQVIA ;

— le flux « DA » (analyse de maladie), qui contient les données issues des consultations réalisées par des médecins généralistes utilisant des logiciels édités par les sociétés […] et […]. Afin de se voir transmettre les données, la société IQVIA a contracté directement avec chaque médecin du panel, dans le cadre du réseau « Médical 21 ».

43. Ces flux sont transférés vers une plateforme intitulée « Hub EMR », hébergée par la société [Y], tiers de confiance certifié « HDS » (hébergeur de données de santé), qui les verse ensuite dans l’entrepôt EMR.

44. S’agissant du flux « DA », les données font l’objet d’une première étape de pseudonymisation opérée au sein même du logiciel médecin, puis d’une seconde réalisée par la société [Y].

45. S’agissant du flux " [Z+] « , celles-ci ne font que traverser le » Hub EMR ", sans modification de leur format.

46. Sont ainsi collectées, s’agissant des patients, des données d’identification (année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle) ainsi que des données de santé issues des consultations (date de visite, diagnostic, symptômes, allergies, poids, taille, pouls, prescriptions médicamenteuses, vaccins, examens, arrêts de travail, etc.).

47. Chaque patient dispose d’un identifiant qui lui est propre, mais qui diffère pour chaque médecin consulté. La société a précisé qu’aucune corrélation n’était possible entre plusieurs cabinets.

48. En contrepartie de la fourniture de ces données à IQVIA, les médecins participant au panel peuvent bénéficier des publications réalisées par la société et participer à des études interventionnelles.

49. La société a indiqué lors du contrôle que les données de l’entrepôt EMR, tous flux confondus, provenaient d’environ 2 000 médecins. Sur sa plaquette de présentation de l’observatoire « Médical 21 » à destination des médecins, elle évoque 3 000 médecins partenaires.

2. Sur la responsabilité de la société IQVIA OPERATIONS FRANCE vis-à-vis des traitements mis en œuvre aux fins de constitution des entrepôts LRX et EMR

50. L’article 4, point 2 du RGPD définit le « traitement » comme " toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ". La Cour de justice de l’Union européenne (ci-après, « CJUE ») a rappelé qu’il " ressort de cette définition qu’un traitement de données à caractère personnel peut être constitué d’une ou de plusieurs opérations, chacune d’entre elles visant l’un des différents stades que peut contenir un traitement de données à caractère personnel " (CJUE, 2ème ch., 29 juillet 2019, Fashion ID Gmbh, C-40/17).

51. L’article 4, point 7 du RGPD définit quant à lui le responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Les lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, adoptées le 7 juillet 2021 par la Comité européen de la protection des données (ci-après, « le CEPD ») précisent que « la détermination des finalités et des moyens revient à décider respectivement du » pourquoi « et du » comment " du traitement : pour une opération de traitement particulière, le responsable du traitement est l’acteur qui a déterminé la raison pour laquelle le traitement a lieu (c’est-à-dire « à quelles fins » ou « pourquoi ») et comment cet objectif sera atteint (c’est-à-dire quels moyens doivent être mis en œuvre pour atteindre l’objectif) « . Ces lignes directrices rappellent en outre que » les notions de responsable du traitement et de sous-traitant sont des concepts fonctionnels : ils visent à répartir les responsabilités en fonction des rôles réels des parties. […] En d’autres termes, la répartition des rôles devrait généralement résulter d’une analyse des éléments factuels ou des circonstances de l’espèce et, en tant que telle, elle n’est pas négociable « (point 12). » Toutes les circonstances factuelles pertinentes doivent être prises en considération pour déterminer si une entité donnée exerce une influence déterminante sur le traitement de données à caractère personnel en question " (point 25).

a. Sur l’entrepôt LRX

52. Le rapporteur considère que la société IQVIA doit être regardée comme étant responsable de l’ensemble des traitements mis en œuvre aux fins de constitution de l’entrepôt LRX, et ce dès l’intégration des données au logiciel de gestion d’officine et leur transmission au premier tiers de confiance, la société [X].

53. La société IQVIA soutient pour sa part que les pharmaciens sont seuls responsables de la transmission des données de leurs clients à la société [X], cette transmission devant selon elle être considérée comme un traitement à part entière, et non comme l’une des étapes d’un traitement unique, comme avancé par le rapporteur. Elle estime ainsi ne pouvoir être tenue pour responsable de cette opération, le traitement des données en cause ne basculant sous sa responsabilité qu’à compter de leur arrivée sur la plateforme du second tiers de confiance, la société [Y]. A l’appui de cette analyse, la société se réfère aux clauses du contrat passé entre les pharmaciens et la société [X] (qui désignent cette dernière comme étant sous-traitante du pharmacien, qualifié de responsable de traitement). Elle fait également valoir qu’en tant que professionnels de santé tenus au secret professionnel, les pharmaciens sont nécessairement responsables de la communication des données de leurs clients à un tiers.

54. La formation restreinte relève tout d’abord que la société IQVIA OPERATIONS FRANCE a été autorisée par la CNIL à procéder à la constitution de l’entrepôt LRX en qualité de responsable de traitement, sur la base légale de ses intérêts légitimes. L’objectif est en effet de permettre à la société, dans le cadre de son activité de conseil et de réalisation d’études, de " mener des études non interventionnelles visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications ".

55. Si, pour constituer cet entrepôt, la société a choisi de mettre en place une procédure requérant l’intervention de différents acteurs (le pharmacien, la société [X], la société [Y] et la société IQVIA), lesquels sont successivement amenés à traiter matériellement les données en cause, la formation restreinte relève que les opérations réalisées par ces acteurs (la collecte du NIR associé aux données de prescription, le calcul de l’INS-C, les différentes étapes de hachage, la substitution de l’identifiant patient, la réception des données sur les serveurs de la société IQVIA ainsi que leur stockage) poursuivent toutes la même finalité, déterminée par la société IQVIA, à savoir permettre, in fine, la constitution de l’entrepôt. Elles doivent donc être considérées comme participant d’un traitement unique et ne sauraient, contrairement à ce que soutient la société, être envisagées isolément.

56. Il en va ainsi, notamment, des opérations réalisées au stade de l’officine. En effet, comme rappelé aux points 37 à 39 de la présente délibération, lorsque le pharmacien enregistre les ventes de médicaments au sein de son LGO, un module intégré à ce logiciel permet d’extraire les données et de générer un flux, nommé « flux Pharmastat ». Ce flux est ensuite transmis au premier tiers de confiance, la société [X], qui a pour mission de scinder ce « flux Pharmastat » en plusieurs flux, parmi lesquels le « flux LRX », venant alimenter l’entrepôt LRX (les autres flux étant quant à eux destinés à alimenter d’autres bases de données de la société IQVIA).

57. La formation restreinte relève d’abord que, dans ses deuxièmes observations en réponse, produites le 26 juin 2025, la société admet elle-même avoir « défini un processus global de flux et de pseudonymisation, via plusieurs process et plusieurs tiers de confiance ». Elle reproche ainsi au rapporteur de ne pas prendre en compte ce processus global et d’en isoler une partie, correspondant à la transmission des données, par les pharmacies, au premier tiers de confiance, soulignant qu’il " ne s’agit pas […] d’un traitement de données en tant que tel ".

58. La formation restreinte souligne ensuite que le module extracteur précité est développé par les éditeurs de LGO, pour le compte exclusif de la société IQVIA, sur la base d’un cahier des charges établi par cette dernière. Le contrat passé entre IQVIA et les éditeurs, qui désigne expressément la première comme étant responsable de traitement, et les seconds comme étant ses sous-traitants, prévoit une cession par l’éditeur, au profit d’IQVIA, des droits de propriété intellectuelle sur les modules en cause, et précise que l’éditeur ne doit traiter les données qu’en vertu des instructions écrites de la société IQVIA, conformément à la norme Pharmastat (qui fixe la composition du « flux Pharmastat »).

59. En outre, il ressort des éléments de l’instruction que cette norme Pharmastat est définie par la société IQVIA, laquelle fixe notamment le format et la structuration des fichiers (zones alphanumériques comprenant une liste de caractères définis, compression des fichiers avant transmission), la fréquence de la collecte et de la transmission, le devenir des données (destruction des fichiers ayant donné lieu à une transmission correcte ou, en cas de transmission incorrecte, conservation pour ré-émission ultérieure) ainsi que les modalités de leur transmission à la société [X] (protocole IP paramétré directement par IQVIA avec le pharmacien). La société IQVIA peut également, si les besoins de l’activité l’imposent, décider de modifier unilatéralement cette norme.

60. Il résulte de ce qui précède que, dès l’instant où les données sont intégrées au LGO du pharmacien et traitées par le module extracteur pour le compte de la société IQVIA, celle-ci doit être regardée comme étant responsable des traitements réalisés par ce biais, dans la mesure où elle en détermine à la fois la finalité (à savoir la construction d’un « flux LRX » aux fins d’alimenter l’entrepôt LRX) et les moyens (à savoir les modalités de collecte et de transmission de ces données aux tiers de confiance successifs, et notamment à la société [X]).

61. La formation restreinte relève que cette analyse est confortée par divers éléments de l’instruction, lesquels désignent la société IQVIA comme étant responsable de l’ensemble du traitement mis en œuvre dans le cadre de la constitution de l’entrepôt LRX, sans limiter cette responsabilité à certaines étapes dudit traitement. Ainsi, il ressort de la notice d’information à destination des patients que celle-ci a " pour objet de [leur] présenter les conditions dans lesquelles [leurs] données sont recueillies et traitées par IQVIA dans le cadre du projet LRX « , ce dernier étant défini comme » un projet d’intérêt public, dont l’objectif est de créer un entrepôt de données dédié à la réalisation de recherches, d’études, et d’évaluations dans le domaine de la santé « . Il est précisé que les » données collectées par IQVIA sont traitées sur la base légale de l’intérêt légitime d’IQVIA (et de l’autorisation délivrée par la CNIL […]), en sa qualité de responsable de traitement ". La formation restreinte relève d’ailleurs que cette notice d’information a été élaborée par la société IQVIA elle-même et qu’il ressort du contrat conclu entre cette dernière et les pharmaciens que, si ceux-ci s’engagent contractuellement à l’afficher et à la remettre à leurs patients, c’est " afin de permettre à IQVIA de satisfaire à ses obligations d’information conformément à la Règlementation « . De la même manière, la plaquette de présentation du réseau Pharmastat, élaborée par IQVIA et destinée aux pharmaciens, précise que » Pharmastat fait partie d’IQVIA ", et invite les personnes concernées à s’adresser à IQVIA si elles nourrissent une " quelconque interrogation sur la façon dont [leurs] données personnelles peuvent être traitées dans le cadre de Pharmastat ". En outre, à l’occasion du contrôle sur place réalisé le 6 juillet 2021, la société IQVIA a confirmé être " responsable du traitement de l’entrepôt LRX ainsi que de son alimentation ". Or, les opérations en cause dans le cadre de la présente procédure, et notamment la collecte des données des patients par l’intermédiaire des officines, ainsi que leur transmission aux deux tiers de confiance successifs, participent bien de l’alimentation de l’entrepôt LRX.

62. S’agissant des pharmaciens, dont la responsabilité est mise en avant par la société dans ses écritures, il est rappelé que la présente procédure a pour objet de vérifier le respect, par la société IQVIA, de la règlementation relative à la protection des données, ainsi que des autorisations que la CNIL lui a délivrées. Ainsi, la formation restreinte n’est pas tenue de se prononcer sur l’éventuelle co-responsabilité incombant aux pharmaciens, dès lors qu’aucun grief n’est formulé à leur encontre et qu’en tout état de cause cette éventuelle co-responsabilité n’aurait pas pour effet de limiter ou d’amoindrir la responsabilité de la société IQVIA sur les faits qui lui sont reprochés.

63. En conclusion, la formation restreinte considère que la société IQVIA doit être considérée comme étant responsable de l’ensemble des opérations mises en œuvre dans le cadre de la constitution de l’entrepôt LRX, et ce dès la collecte des données au stade de l’officine, nonobstant l’éventuelle responsabilité des autres acteurs avec lesquels la société a contracté.

b. Sur l’entrepôt EMR

64. Le rapporteur considère que, comme pour l’entrepôt LRX, la société doit être regardée comme responsable des traitements mis en œuvre dans le cadre de la constitution de l’entrepôt EMR.

65. La société IQVIA estime au contraire que c’est le médecin qui agit en tant que responsable de traitement s’agissant de la communication des données de ses patients, et qu’elle-même n’intervient qu’à partir du moment où la société [Y], tiers de confiance, réceptionne les données.

66. La formation restreinte relève que, comme pour l’entrepôt LRX, la société IQVIA a été autorisée par la CNIL à procéder à la constitution de l’entrepôt EMR en qualité de responsable de traitement, sur la base légale de ses intérêts légitimes, afin de lui permettre, dans le cadre de ses activités, de " mener des études sur l’évaluation et l’analyse des pratiques de soins en médecine générale ".

67. Elle estime, pour les mêmes raisons que celles développées au point 55 de la délibération, que l’ensemble des opérations réalisées par les différents acteurs amenés à traiter matériellement les données en cause (le médecin, le cas échéant la société [Z], la société [Y], la société IQVIA) participent d’un même traitement, composé de plusieurs étapes, et que ces étapes ne sauraient être considérées isolément.

68. Elle relève que la société IQVIA détermine à la fois la finalité (à savoir construire un flux permettant d’alimenter l’entrepôt EMR) et les moyens de ces opérations (en choisissant notamment de contracter avec tel ou tel acteur et en fixant les modalités de collecte des normes « Médical 21 » et « Disease Analyzer »). Il ressort d’ailleurs de la notice d’information à destination des patients, élaborée par la société IQVIA, que celle-ci se présente comme responsable de traitement des données collectées aux fins de constituer l’entrepôt EMR.

69. Dans ces conditions, la formation restreinte estime que la société IQVIA doit être considérée comme responsable de l’ensemble des opérations mises en œuvre dans le cadre de la constitution de l’entrepôt EMR, et ce dès la collecte des données en cause, nonobstant l’éventuelle responsabilité des autres acteurs avec lesquels la société a contracté.

c. Sur les études réalisées à partir des entrepôts LRX et EMR

70. S’agissant des études réalisées à partir des entrepôts LRX et EMR, qui constituent des traitements distincts, la société a indiqué être responsable de traitement des études qu’elle réalise pour son propre compte. Ces études consistent à analyser la prise en charge des patients, selon les pathologies qu’ils présentent et selon les traitements qu’ils reçoivent (par exemple, l’analyse de la prise en charge des patients traités pour une fibrose pulmonaire idiopatique, l’analyse de la prise en charge des patients traités avec un antipsychotique ou encore l’analyse de la prise en charge thérapeutique de l’hypertension artérielle).

71. La formation restreinte considère qu’en ce qu’elle en détermine à la fois les finalités et les moyens, la société doit être regardée comme responsable des traitements relatifs aux études réalisées pour son propre compte à partir des entrepôts LRX et EMR.

3. Sur la nature des données figurant dans les entrepôts LRX et EMR

72. L’article 4, point 1 du RGPD définit la notion de données à caractère personnel comme " toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ".

73. L’article 4, point 5 du RGPD définit quant à lui la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».

74. Le considérant 26 du RGPD précise que « les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche ».

75. Dès 2014, le groupe de travail « Article 29 » sur la protection des données (ci-après le « G29 »), devenu le CEPD, a adopté un avis sur les techniques d’anonymisation (avis 05/2014 du 10 avril 2014), précisant qu’un processus pouvait notamment être qualifié d’anonymisation lorsqu’il résiste aux trois types de risques suivants :

— l’individualisation, qui correspond à la possibilité d’isoler une partie ou la totalité des enregistrements identifiant un individu dans un ensemble de données ;

— la corrélation, qui consiste en la capacité de relier entre eux au moins deux enregistrements se rapportant à la même personne concernée ou à un groupe de personnes concernées ;

— l’inférence, qui est la possibilité de déduire, avec un degré de probabilité élevé, la valeur d’un attribut à partir des valeurs d’un ensemble d’autres attributs.

76. A défaut de résister à ces trois types de risques, le « G29 » considère que les données peuvent tout de même être considérées comme anonymes, dans l’hypothèse où le responsable de traitement est en mesure de démontrer que la réidentification n’est pas possible par des « moyens raisonnables ».

77. La Cour de justice de l’Union européenne a également été amenée, à plusieurs reprises, à se prononcer sur la notion de données à caractère personnel.

78. Dans un arrêt « Breyer », rendu sous l’empire de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (CJUE, 2ème chambre, 19 octobre 2016, C-582/14), elle a jugé que " pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne " (point 42).

79. Cette position a été confirmée dans l’arrêt « OC c/ Commission européenne » (CJUE, 6ème chambre, 7 mars 2024, C-479/22). Dans cette affaire, la CJUE a jugé que doivent être pris en compte " l’ensemble des facteurs objectifs tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci " (point 50). La CJUE a en outre précisé dans cet arrêt qu’" il est inhérent à l’« identification indirecte » d’une personne que des informations supplémentaires doivent être combinées avec les données en cause aux fins de l’identification de la personne visée « (point 55) et que » la requérante n’était pas tenue d’apporter la preuve qu’elle avait effectivement été identifiée […], puisqu’une telle condition n’est pas prévue à l’article 3, point 1, du règlement 2018/1725, celui-ci se limitant à exiger qu’une personne soit « identifiable » « (point 61), par des » moyens raisonnables ".

80. Enfin, par un arrêt « SRB » du 4 septembre 2025, la Cour a précisé que " des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725, dans la mesure où la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable « (point 86). La Cour estime à cet égard que, si les mesures techniques et organisationnelles de pseudonymisation peuvent avoir pour effet que les données perdent leur » caractère personnel " pour un destinataire, cela présuppose toutefois que, d’une part, ce destinataire " ne soit pas en mesure de lever ces mesures lors de tout traitement [desdites données] effectué sous son contrôle " et, d’autre part, que " lesdites mesures [soient] effectivement […] de nature à empêcher [le destinataire] d’attribuer ces mêmes [données] à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments, de telle manière que, pour cette société, la personne concernée n’est pas ou n’est plus identifiable " (point 77) (CJUE, première chambre, 4 septembre 2025, C-413/23).

81. De son côté, le Conseil d’État a récemment eu l’occasion de se prononcer sur la nature des données figurant dans des bases alimentées par des données collectées auprès de médecins et d’officines pharmaceutiques, très semblables à celles constituées par la société IQVIA. Il a relevé que les sociétés requérantes " détenaient une quantité massive de données, recueillies auprès de cabinets médicaux ou de pharmacies, […] [incluant] des éléments d’identification comme l’âge, le sexe ou la catégorie socio-professionnelle, ainsi que des données de santé telles que, notamment, le dossier médical, les prescriptions, les arrêts de travail, les vaccinations, pour les données transmises par les médecins, et les médicaments achetés et le prescripteur, pour les données transmises par les pharmacies. […] Outre [ces] données précises sur les personnes concernées […], les données recueillies comprennent des éléments comme la date et parfois l’heure exacte de la visite médicale ou de l’achat ainsi que des éléments directs ou indirects de localisation ou d’identification des professionnels de santé qui sont intervenus ". Le Conseil d’Etat a ainsi souligné qu’il était " possible, à partir de ces données, de retracer des parcours de soins et d’individualiser des clients et leurs pathologies ", et qu’" une telle individualisation dans l’ensemble des données n’a[vait] […] nécessité que peu de temps et de moyens […] ". Il a considéré que la CNIL avait, en l’espèce, " procédé à une évaluation concrète du risque de réidentification des données et établi qu’il était possible de lever le pseudonymat de personnes concernées par des moyens raisonnables ", et que c’est à bon droit qu’elle en avait conclu que les " données en cause, bien que pseudonymisées, n’étaient pas anonymisées " (CE, 10ème et 9ème chambres, 13 février 2026, n° 498628, 498629 et 498749, T.).

82. Le rapporteur considère que les données des entrepôts LRX sont bien des données à caractère personnel, le risque de réidentification des personnes concernées étant, selon lui, bien réel.

83. Dans ses dernières observations en réponse, qui s’appuient sur le rapport rédigé pour son compte par la société […], la société soutient que les données des entrepôts LRX et EMR sont anonymes et que, dès lors, les obligations du RGPD et de la loi Informatique et Libertés sont inapplicables et les autorisations délivrées par la CNIL sont, de fait, devenues sans objet. La société fonde cette analyse sur l’arrêt SRB précité qui, selon l’interprétation qu’elle en fait, a « clarifié le fait que la notion de données à caractère personnel est relative et non absolue » et " qu’un même ensemble de données peut constituer pour une entité A des données à caractère personnel soumises à toutes les contraintes du RGPD et, pour une autre entité B, des données parfaitement anonymes, si cette seconde entité est, elle, incapable d’identifier les personnes concernées en utilisant des moyens raisonnables et licites ". Or, elle considère qu’en l’espèce, compte tenu de la pseudonymisation des données figurant dans les entrepôts LRX et EMR, les moyens qui devraient être mis en œuvre par IQVIA pour réidentifier les personnes concernées seraient soit déraisonnables, soit illicites, et en conclut que les données en cause doivent être considérées comme n’étant pas, de son point de vue, des données à caractère personnel.

a. Sur la position de la société IQVIA jusqu’à l’arrêt SRB

84. La formation restreinte relève tout d’abord que, jusqu’à la production du rapport rédigé pour son compte par la société […], la société IQVIA n’avait jamais contesté que les données figurant dans les entrepôts LRX et EMR étaient des données à caractère personnel. C’est en raison de cette qualification, et en tant que responsable de traitement, qu’elle a, en 2017 puis en 2019, déposé auprès de la CNIL des demandes afin d’être autorisée, conformément à l’article 66 de la loi Informatique et Libertés, à mettre en œuvre des « traitements automatisés de données à caractère personnel » ayant pour finalité la constitution de ces entrepôts.

85. Les éléments de l’instruction établissent que la société avait pris soin d’analyser la nature des données traitées au sein des différents entrepôts mis en œuvre par ses soins. Elle a ainsi précisé, notamment à l’occasion du contrôle sur place réalisé le 6 juillet 2021, qu’elle considérait que les données composant le flux " [Z+] ", provenant des logiciels médecins édités par la société [Z] et destinées à alimenter l’entrepôt EMR, n’étaient pas, selon elle, des données anonymes, alors même que la société [Z] soutenait le contraire. La société IQVIA avait d’ailleurs informé la CNIL de ce désaccord avec la société [Z]. La formation restreinte relève que, par une délibération en date du 5 septembre 2024, les données des patients collectées par la société [Z] (ayant repris les activités de la société [Z]) auprès des médecins ont été considérées comme étant des données à caractère personnel, et qu’un manquement à l’article 66 de la loi Informatique et Libertés a été retenu (CNIL, FR, Sanction, 5 septembre 2024, n° SAN-2024-013, publié). Cette délibération a été confirmée par le Conseil d’État, par une décision du 13 février 2026 (cf. point 81 de la présente délibération).

86. Ces éléments démontrent qu’avant l’intervention de l’arrêt SRB, la société avait mené une analyse la conduisant à en conclure que les traitements opérés dans le cadre des entrepôts LRX et EMR étaient bien des traitements de données à caractère personnel. Il convient dès lors de s’interroger sur l’éventuelle portée de l’arrêt SRB sur les traitements en cause dans le cadre de la présente procédure.

b. Sur la portée de l’arrêt SRB s’agissant des traitements mis en œuvre par la société IQVIA dans le cadre de la constitution des entrepôts LRX et EMR

87. La société justifie sa nouvelle analyse en indiquant que l’arrêt SRB, qui selon elle " tranche fortement avec la position des autorités de protection des données jusqu’à cette date quant à l’interprétation de la notion de données à caractère personnel ", a un effet direct sur l’appréciation de la nature des données figurant au sein des entrepôts LRX et EMR.

88. La formation restreinte relève tout d’abord que cet arrêt fait clairement apparaître que la CJUE n’a pas entendu marquer une rupture par rapport à ses précédentes décisions, mais au contraire s’inscrire dans leur continuité. En témoignent les nombreuses références aux arrêts Breyer ou OC précités (points 78 à 79 de la présente délibération). Tout en considérant que des données pseudonymisées pouvaient, en théorie, perdre leur caractère personnel, la Cour a rappelé que « la perspective pertinente pour apprécier le caractère identifiable de la personne concernée dépend essentiellement des circonstances caractérisant le traitement des données dans chaque cas particulier » (point 100 de l’arrêt, soulignement ajouté). C’est donc au regard des faits de l’espèce, des caractéristiques des traitements en cause et du rôle occupé par les différents acteurs amenés à traiter les données, que doit s’apprécier le caractère personnel ou non de ces dernières. La Cour opère à cet égard une distinction, selon que l’organisme mis en cause est responsable du traitement, ou simple destinataire de données pseudonymisées, précisant que " la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable de traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable " (point 87 de l’arrêt, soulignement ajouté).

89. Dans l’affaire ayant donné lieu à l’arrêt SRB, le Conseil de résolution unique (ci-après, « CRU ») avait lancé une phase de consultation auprès d’actionnaires et de créanciers, recueillant les contributions écrites de ces derniers. Ces commentaires avaient été filtrés, catégorisés et agrégés, et un code alphanumérique, généré de manière aléatoire, avait été attribué à chacun d’eux (sans qu’il soit possible de regrouper tout ou partie des commentaires rédigés par la même personne). Les données ainsi pseudonymisées avaient ensuite été transmises à un cabinet d’audit, intervenant en qualité d’évaluateur indépendant. C’est dans ce contexte que la Cour a considéré que " comme c’est normalement le cas du responsable de traitement ayant procédé à la pseudonymisation, le CRU dispose, en l’espèce, des informations supplémentaires permettant d’attribuer les commentaires transmis [au cabinet d’audit] à la personne concernée, si bien que, pour lui, ces commentaires conservent, en dépit de la pseudonymisation, leur caractère personnel " (point 76 de l’arrêt). " S’agissant [du cabinet d’audit auquel] le CRU a transmis des commentaires pseudonymisés, les mesures techniques et organisationnelles [de pseudonymisation] peuvent […] avoir pour effet que, pour cette société, ces commentaires ne présentent pas un caractère personnel. Cela présuppose toutefois, d’une part, que [le cabinet d’audit] ne soit pas en mesure de lever ces mesures lors de tout traitement desdits commentaires effectué sous son contrôle. D’autre part, lesdites mesures doivent effectivement être de nature à empêcher [le cabinet d’audit] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments, de telle manière que, pour cette société, la personne concernée n’est pas ou n’est plus identifiable " (point 77 de l’arrêt).

90. Or, en l’espèce, la formation restreinte relève que la société IQVIA est dans une situation bien différente puisque, comme démontré aux points 54 à 63 et 66 à 69 de la présente délibération, celle-ci n’est pas un simple destinataire de données pseudonymisées, mais doit être regardée comme étant responsable de l’ensemble du traitement mis en œuvre, et ce dès le stade de collecte des données auprès des officines ou des médecins. Comme rappelé précédemment, la société admet elle-même avoir « défini un processus global de flux et de pseudonymisation, via plusieurs process et plusieurs tiers de confiance ». La formation restreinte estime que cette qualité de responsable de traitement fait obstacle, à elle seule, à ce que les données puissent être considérées comme étant anonymes, au regard des circonstances de l’espèce.

91. En outre, et comme il sera démontré ci-après, les données traitées par la société IQVIA sont très différentes des commentaires transmis au cabinet d’audit mentionné dans l’arrêt SRB, compte tenu notamment de leur richesse et du fait qu’elles permettent un suivi longitudinal de chaque patient, via un identifiant unique.

92. La formation restreinte considère dès lors que la qualité des organismes par rapport aux données traitées et la richesse des informations contenues examinées dans le cadre de la présente procédure sont trop éloignées de celles à l’origine de l’arrêt SRB pour qu’un parallèle pertinent puisse être établi.

c. Sur les risques de réidentification des personnes dont les données figurent au sein des entrepôts LRX et EMR

93. La société soutient que les moyens qu’elle devrait mettre en œuvre pour réidentifier les personnes dont les données figurent dans les entrepôts LRX et EMR seraient, soit irréalisables en pratique (notamment parce qu’ils impliqueraient un effort démesuré en termes de temps, de coût et de main-d’œuvre), soit illicites, qu’il s’agisse de reconstruire la chaîne de pseudonymisation ou de recouper ces données avec des données externes.

94. Le rapporteur considère au contraire que, compte tenu notamment de la richesse des données figurant dans ces entrepôts et de l’objet même des traitements, qui est d’opérer un suivi longitudinal du parcours de soin de chaque patient et donc de pouvoir isoler chacun d’eux, il apparait plus que plausible de pouvoir lever le pseudonymat des personnes concernées par des moyens raisonnables.

95. A titre liminaire, la formation restreinte rappelle, d’une part, que pour apprécier le caractère personnel ou non d’un ensemble de données, l’intention, l’intérêt ou la motivation du responsable de traitement ou du tiers à réidentifier les personnes concernées ne sont pas des facteurs pertinents à prendre en considération. Cette notion d’« intention » ne figure ainsi ni à l’article 4, point 1 du RGPD, ni à son considérant 26. Dans une décision contraignante de juillet 2021, le CEPD a rappelé que " ce qui est pertinent pour que le RGPD s’applique, c’est-à-dire pour que les données soient considérées comme « à caractère personnel », est plutôt de savoir si les données concernent une personne qui peut être identifiée, directement ou indirectement, et si le responsable du traitement ou un tiers a la capacité technique d’individualiser une personne concernée dans un ensemble de données. Cette possibilité peut se concrétiser indépendamment de la question de savoir si cette capacité technique est associée à la motivation pour réidentifier ou individualiser une personne concernée " (décision contraignante 1/2021 concernant le litige relatif au projet de décision de l’autorité de contrôle irlandaise concernant Whatsapp Ireland en application de l’article 65, paragraphe 1, point a) du RGPD, adoptée le 28 juillet 2021). Ainsi, en l’espèce, il importe peu que la société IQVIA ait l’intention de réidentifier les personnes dont les données figurent au sein de ses entrepôts LRX et EMR – ou même y ait intérêt. Il suffit en effet qu’elle ait la capacité de les réidentifier, via des moyens raisonnables, pour que les données en question soient qualifiées de données à caractère personnel.

96. D’autre part, la formation restreinte relève que la société affirmait, au moment du contrôle, que les données figurant dans les entrepôts LRX et EMR étaient bien des données à caractère personnel concernant la santé des personnes.

97. A titre principal et en premier lieu, la formation restreinte relève que l’objet même des traitements en cause dans le cadre de la présente procédure est d’assurer un suivi longitudinal des personnes dont les données figurent dans les entrepôts LRX et EMR. Pour permettre un tel suivi, la société collecte de nombreuses informations, ayant trait à la fois à l’identification des patients et à leur santé. L’entrepôt EMR contient ainsi notamment l’année de naissance du patient, son sexe, sa situation matrimoniale, son nombre d’enfants, sa catégorie socio-professionnelle, sa ou ses dates de visite chez le médecin, le diagnostic posé, ses symptômes, ses allergies, son poids, sa taille, son pouls, ses prescriptions médicamenteuses, ses vaccins, ses examens ou encore ses arrêts de travail. L’entrepôt LRX contient quant à lui l’année de naissance de la personne concernée, son sexe, des informations relatives au spécialiste ayant délivré l’ordonnance, ainsi que des informations relatives aux prescriptions.

98. Afin de pouvoir isoler chaque individu au sein de ces entrepôts et permettre le suivi de leur parcours au fil du temps, la société IQVIA a mis en place un processus permettant d’attribuer à chaque individu un identifiant unique (selon les modalités décrites ci-dessous), qui se combine avec l’ensemble des données précitées.

99. S’agissant de l’entrepôt LRX, chaque client de pharmacie se voit ainsi attribuer un identifiant qui lui est propre, et qui est le même quelle que soit l’officine partenaire dans laquelle il se rend. Ce code, associé aux données de dispensation des produits, permet de regrouper l’ensemble des achats réalisés par un même client dans n’importe quelle pharmacie partenaire d’IQVIA.

100. S’agissant de l’entrepôt EMR, chaque patient dispose également d’un identifiant qui lui est propre pour un médecin donné. S’il n’est pas possible de corréler les données provenant de différents médecins pour un même patient, la société peut néanmoins suivre, à l’aide de ce code, le parcours de chaque patient au sein d’un même cabinet.

101. La formation restreinte relève que s’ajoutent à l’ensemble de ces données des données de localisation, permettant de situer les patients par zones géographiques composées de regroupements de neuf pharmacies et de cinq médecins de la même spécialité.

102. Ainsi, le fait que chaque patient dispose d’un code d’identification unique, auquel sont rattachées de nombreuses données telles que son âge, son sexe, l’ensemble des prescriptions dont il bénéficie ou encore sa situation géographique, afin de permettre à la société de suivre son parcours de soin dans le temps, a pour conséquence que celle-ci peut aisément isoler chaque individu et que les traitements en cause ne résistent pas au risque d’individualisation, tel qu’il est notamment mentionné dans l’avis du « G29 » précité (cf. points 75 et 76 de la présente délibération). Ce point n’est d’ailleurs pas contesté par la société.

103. La formation restreinte relève que, dans une espèce similaire, cette accumulation d’informations sur la prise en charge de patients, ainsi que la possibilité de les individualiser, a largement été mise en avant par le Conseil d’État dans sa décision précitée du 13 février 2026 (cf. point 81 de la présente délibération), pour en déduire que les données ne pouvaient être considérées comme étant anonymes.

104. En deuxième lieu, la formation restreinte rappelle que pour évaluer le risque de réidentification des personnes concernées, il convient de rechercher si le pseudonymat peut être levé par des moyens raisonnables, y compris en recoupant les données non directement identifiantes avec des données externes, notamment avec des informations disponibles sur Internet.

105. En l’espèce, si les données figurant dans les entrepôts LRX et EMR ne sont pas directement identifiantes (ce qui est le propre de la pseudonymisation), la formation restreinte relève que, compte tenu de la richesse des informations que ces entrepôts contiennent, le recours à diverses sources externes est susceptible de permettre aisément la réidentification des personnes concernées.

106. L’exemple donné par le rapporteur dans son troisième rapport illustre ce risque. Il relève ainsi que la société réalise, à partir de l’entrepôt LRX, des études en vie réelle sur la prise en charge des patients traités pour une amyotrophie spinale (SMA), via l’analyse du rôle des prescripteurs et l’âge des patients traités (la liste des études réalisées par IQVIA étant accessible à tous, à partir de son site web). Comme précisé dans la note d’information à destination des patients (elle aussi accessible au public), " la population de l’étude est composée des patients correspondant aux critères de sélection suivants : au moins une délivrance de/pour amyotrophie spinale SMA en officine de ville sur la période 2024 ". Le rapporteur observe que, comme pour beaucoup de maladies rares ou touchant des enfants, il existe de nombreux groupes de soutien et de partage sur les réseaux sociaux, révélant parfois une quantité importante d’informations sur les lieux et la chronologie de la prise de charge, ainsi que sur les traitements délivrés. En parcourant l’un de ces groupes sur le réseau social Facebook, le rapporteur a pu avoir accès à de nombreuses informations […] [ndlr : ces informations comprennent l’historique du parcours de soin d’un enfant, les lieux de sa prise en charge, son lieu d’habitation, ainsi que le nom complet de la mère et de l’enfant]. La formation restreinte rejoint le rapporteur pour considérer qu’à partir de ces éléments, notamment la chronologie établie, les lieux de prise en charge et les médicaments délivrés, il serait aisé d’isoler la patiente au sein de la base de données LRX (qui contient notamment l’âge du patient, les prescriptions délivrées et sa zone géographique) et donc de la réidentifier.

107. La formation restreinte relève que le rapporteur indique dans ses écritures que ces recherches n’ont pris que quelques minutes avec un simple accès à Internet. La société ne peut donc valablement soutenir qu’un tel recoupement serait irréalisable en pratique parce qu’il impliquerait des recherches longues et complexes et qu’il constituerait un effort démesuré compte tenu du temps, du coût et de la main d’œuvre requis. La formation restreinte rappelle, d’une part, que le fait que la société IQVIA ne retirerait aucun avantage de cette opération est sans incidence (cf. point 96 de la présente délibération) et, d’autre part, qu’il suffit qu’une seule personne puisse être réidentifiée par des moyens raisonnables pour que les données figurant dans la base soient qualifiées de données à caractère personnel.

108. La possibilité technique d’une réidentification est par ailleurs attestée par le fait que, lorsqu’un patient souhaite s’opposer au traitement des données figurant déjà dans l’entrepôt EMR, il doit fournir à la société certaines informations (date et heure du rendez-vous, contenu de la prescription) qui permettent à la société de réidentifier la personne concernée et faire droit à sa demande d’opposition. La notice d’information à destination des patients confirme que, s’ils le souhaitent, ils ont la possibilité de " transmettre à IQVIA des informations complémentaires qui pourraient l’aider à [les] identifier, le cas échéant, afin de permettre l’exercice de [leurs] droits ". Ces éléments – même s’ils proviennent dans ces cas de figure des personnes concernées – démontrent que, de façon générale, en disposant de quelques informations relatives aux consultations réalisées, la société IQVIA est tout à fait en mesure de lever le pseudonymat des données figurant dans les entrepôts LRX et EMR.

109. La société ne peut pas non plus soutenir que les moyens de réidentification évoqués ne pourraient être qualifiés de « moyens raisonnables » au motif qu’ils seraient « illégaux » car contraires, d’une part, aux stipulations des contrats conclus par la société avec ses partenaires et, d’autre part, aux règles régissant la protection des données.

110. Pour apprécier cette illégalité potentielle, la formation restreinte rappelle que, dans son arrêt Breyer, la CJUE considère que les moyens ne pourraient être qualifiés de raisonnables " si l’identification de la personne était interdite par la loi " (point 46 de l’arrêt). Cette précision a été reprise au point 82 de l’arrêt SRB.

111. D’une part, la formation restreinte considère qu’en englobant les contrats dans ce qui est « interdit par la loi », au sens de la jurisprudence de la CJUE, la société fait une lecture erronée des arrêts précités. En effet, il ne peut être considéré que le fait pour la société de conclure avec ses partenaires des contrats qui interdiraient à ces derniers de lui transmettre des éléments permettant la réidentification aurait pour conséquence de rendre l’identification de la personne « interdite par la loi ». La formation restreinte estime que cette interdiction légale évoquée par la CJUE ne saurait découler de la simple rencontre de volontés de deux parties, au risque de permettre aux acteurs de soustraire aisément les données aux règles régissant la protection des données à caractère personnel, puisqu’il leur suffirait de prévoir, par des clauses contractuelles, que cette réidentification est interdite, alors même que dans les faits le risque persiste puisqu’elle est techniquement réalisable.

112. D’autre part, l’identification de la personne par le recoupement des données figurant dans les entrepôts avec celles disponibles à partir de sources ouvertes ne saurait être regardée, faute d’interdit explicite précis en ce sens, comme « interdite par la loi » au sens de cette jurisprudence, quand bien même la conformité au RGPD d’une telle pratique de collecte en sources ouvertes peut, dans certaines configurations, être sujette à caution. A cet égard, la simplicité avec laquelle il est possible d’obtenir des données à partir de sources ouvertes afin de les recouper avec celles figurant dans les entrepôts LRX et EMR, sans avoir recours à aucun moyen manifestement illégal en tant que tel, doit conduire à considérer que les risques de réidentification sont réels.

113. Il résulte de l’ensemble de ces éléments que les mesures de pseudonymisation mises en place par la société IQVIA ont seulement pour effet de réduire les risques d’une mise en corrélation de ces données avec l’identité des personnes concernées, mais non de les supprimer. Les données figurant dans les entrepôts LRX et EMR doivent dès lors être considérées comme étant des données à caractère personnel, soumises aux règles du RGPD et de la loi Informatique et Libertés.

C. Sur les manquements aux dispositions de l’article 66 de la loi Informatique et Libertés s’agissant de la constitution des entrepôts LRX et EMR

114. Les traitements de données à caractère personnel dans le domaine de la santé sont régis par les articles 64 et suivants de la loi Informatique et Libertés.

115. L’article 66 de cette loi dispose que :

«  I – Les traitements relevant de la présente section ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public.

II – Des référentiels et règlements types, au sens des b et c du 2° du I de l’article 8, s’appliquant aux traitements relevant de la présente section sont établis par la Commission nationale de l’informatique et des libertés, en concertation avec la plateforme des données de santé mentionnée à l’article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.

Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l’informatique et des libertés une déclaration attestant de cette conformité. […]

III – Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés. La demande d’autorisation est présentée dans les formes prévues à l’article 33 […] ".

116. Ainsi, les traitements de données à caractère personnel dans le domaine de la santé en matière de recherche ne peuvent être mis en œuvre qu’après autorisation de la CNIL, ou à la condition d’être conformes à un référentiel mentionné au II de cet article.

117. En l’espèce, la société IQVIA a été autorisée par la CNIL, en application de l’article 66 susvisé (anciennement article 54), à constituer deux entrepôts de données à caractère personnel, comprenant notamment des données de santé.

118. Ces autorisations, matérialisées par les délibérations n° 2018-289 du 12 juillet 2018 et n° 2021-015 du 4 février 2021, conditionnent la mise en œuvre des traitements en cause à un certain nombre de garanties, ayant trait notamment à l’information et aux droits des personnes concernées, ainsi qu’à la sécurité des données traitées. Ces garanties ont notamment pour objet d’assurer le respect des dispositions légales et réglementaires relatives à la protection des données à caractère personnel. Elles tiennent compte de la nature des données en cause, à savoir des données sensibles relatives à la santé des personnes concernées, ainsi que de leur volume.

119. Pour apprécier le bien-fondé des griefs reprochés par le rapporteur à la société en lien avec ces obligations, la formation restreinte s’attachera à examiner si la constitution des entrepôts LRX et EMR est réalisée conformément aux modalités prévues par les délibérations susvisées.

120. La formation restreinte entend préciser que, pour une meilleure lisibilité de sa décision, le manquement à l’article 66 de la loi Informatique et Libertés relatif aux études réalisées à partir de l’entrepôt LRX sera examiné à la suite du manquement à l’article 14 du RGPD (cf. II., D. et E.).

1. Observations liminaires

a. Sur la distinction entre demande d’autorisation et autorisation

121. La société soutient qu’il ne peut lui être reproché un manquement à l’article 66 de la loi Informatique et Libertés dès lors que ses pratiques correspondent aux engagements pris dans le cadre de ses demandes d’autorisation. Elle considère en effet que les éléments fournis à l’appui de ces dernières et qui n’auraient pas fait l’objet de demandes de complément de la part des services de la CNIL doivent être considérés comme ayant été validés, et constituent dès lors " un pan de l’autorisation ". À titre d’exemple, elle fait valoir que la notice d’information délivrée aux personnes concernées par le traitement EMR est la même que celle qu’elle avait soumise à la CNIL à l’appui de sa demande d’autorisation, que ce document n’a donné lieu à aucune remarque de la part des services de la Commission et qu’il doit dès lors être considéré comme conforme.

122. La formation restreinte rappelle qu’aux termes de l’article 66, III de la loi Informatique et Libertés, les traitements contenant des données concernant la santé des personnes, lorsqu’ils ne sont pas conformes à un référentiel, ne peuvent avoir lieu qu’après autorisation de la Commission. Ces dispositions précisent que " la demande d’autorisation est présentée dans les formes prévues à l’article 33 ", lequel énumère les informations devant être fournies à l’appui de cette demande (finalités du traitement, données à caractère personnel traitées, catégories de personnes concernées, durées de conservation des données, mesures prises pour assurer la sécurité de ces dernières, etc.). L’article 66, V de la loi Informatique et Libertés prévoit que « la Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé est saisi en application du second alinéa de l’article 72. Lorsque la Commission nationale de l’informatique et des libertés ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée acceptée. Cette disposition n’est toutefois pas applicable si l’autorisation fait l’objet d’un avis préalable en application de la sous-section 2 de la présente section et que l’avis ou les avis rendus ne sont pas expressément favorables ».

123. En pratique, lorsqu’une demande d’autorisation est adressée à la CNIL, les services de la Commission sont chargés d’instruire celle-ci, afin notamment de vérifier si le dossier est complet. Si ces services estiment que certains éléments sont imprécis ou insuffisants, ils peuvent adresser à l’organisme une demande de compléments portant sur des points juridiques ou techniques. Ainsi, s’ils sont chargés d’accompagner les acteurs et de mettre le dossier en état, les services de la CNIL n’ont néanmoins pas compétence pour autoriser ou non les traitements en cause, cette compétence appartenant au collège de la CNIL (collège qui constitue la " Commission nationale de l’informatique et des libertés ", au sens de l’article 9 de la loi Informatique et Libertés), à qui est présenté le dossier à l’issue de son instruction et qui statue sur la demande d’autorisation sollicitée.

124. La formation restreinte rappelle à cet égard que le collège n’est pas tenu par les modalités de mise en œuvre des traitements figurant dans la demande d’autorisation (sa compétence ne se limitant pas à « valider » ou à « invalider » le dossier) et qu’il peut notamment décider, dans sa délibération autorisant la mise en œuvre du traitement, de renforcer certaines exigences et de définir des conditions de mise en œuvre du traitement différentes de celles figurant dans la demande d’autorisation soumise par le responsable de traitement.

125. Il convient ainsi de distinguer, d’une part, la demande d’autorisation adressée à la CNIL, qui présente les traitements concernés et les garanties qu’entend mettre en œuvre le responsable de traitement et est instruite par les services, et d’autre part, l’autorisation elle-même, qui prend la forme d’une délibération adoptée par le collège de la CNIL, et qui est le seul élément de nature à permettre la mise en œuvre des traitements et donc à revêtir une valeur juridique au sens de l’article 66 de la loi Informatique et Libertés (sauf en l’absence de réponse de la CNIL dans un délai de deux mois, la demande étant réputée acceptée en application de l’article 66, V précité). C’est donc bien à cette autorisation et ses termes que l’organisme concerné doit se conformer, et non aux éléments figurant dans sa demande (sauf à ce que la délibération s’y réfère expressément).

b. Sur la nécessité d’assurer la sécurité des données malgré les mesures de pseudonymisation dont elles font l’objet

126. Le rapporteur relève que les données contenues dans les entrepôts LRX et EMR doivent, au regard de leur sensibilité et de leur volume, et ce malgré les mesures de pseudonymisation mises en œuvre, faire l’objet d’une vigilance particulière, notamment afin de prévenir et détecter d’éventuelles violations.

127. En défense, la société considère que la pseudonymisation renforcée des données, mesure expressément citée par l’article 32 du RG PD, permet d’assurer la sécurité et la confidentialité desdites données. Elle estime ainsi qu’à supposer qu’un accès non autorisé aux données survienne, il ne pourrait avoir de conséquences négatives pour les personnes concernées compte tenu de l’impossibilité pour les tiers d’accéder ou de « remonter » à l’identité de ces personnes. Elle ajoute que l’article 34 du RGPD prévoit d’ailleurs qu’il n’est pas nécessaire d’informer les personnes concernées d’une violation de données si les données en question sont incompréhensibles pour toute personne non autorisée. La société précise, dans ses secondes observations en réponse (avant qu’elle ne conteste le caractère personnel des données traitées), avoir bien conscience que le pseudonymat peut, par définition, être levé, mais conteste la probabilité qu’il le soit.

128. La formation restreinte rappelle que l’article 32 du RGPD prévoit que le responsable de traitement met en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque, « y compris, entre autres, selon les besoins » quatre types de mesures mentionnées, parmi lesquelles « la pseudonymisation et le chiffrement des données à caractère personnel ».

129. La délibération n° 2018-289 relative à l’entrepôt LRX précise en ce sens qu’" en l’état actuel de la technique, et au vu des mesures de sécurité mises en place par ailleurs, la Commission estime que le procédé de pseudonymisation prévu va dans le sens des recommandations poussées par le RGPD en réduisant les possibilités de ré-identification des personnes dont les données sont traitées au strict nécessaire dans ce contexte. La Commission rappelle toutefois que la pseudonymisation ne constitue qu’une mesure de sécurité visant à réduire les risques pour les personnes concernées, et n’exonère en rien le responsable de traitement de ses obligations ". L’autorisation prévoit en effet d’autres exigences en matière de sécurité, contenues dans la partie « sur la sécurité des données et la traçabilité des actions ».

130. Il en va de même de la délibération n° 2021-015 portant sur l’entrepôt EMR, qui rappelle que " la pseudonymisation, même renforcée, ne constitue qu’une mesure de sécurité visant à réduire les risques pour les personnes concernées et n’exonère en rien les différents acteurs de leurs obligations liées à la protection des données personnelles ". Elle prévoit en outre un certain nombre de mesures de sécurité devant être mises en place, qui sont expressément mentionnées dans la délibération précitée, telles que le cloisonnement du réseau, l’authentification forte ou encore la journalisation des accès.

131. Ainsi, si les mesures de pseudonymisation renforcée mises en place par la société contribuent à assurer la sécurité des données et à atténuer les risques en cas de compromission, elles ne sauraient pour autant suffire, à elles seules, à considérer que la sécurité et la confidentialité des données traitées sont suffisamment garanties, comme cela ressort d’ailleurs des termes mêmes des délibérations adoptées par le collège de la CNIL sur les traitements en cause.

132. Il convient dès lors d’examiner si, au-delà des mesures de pseudonymisation mises en place, les exigences prévues par l’autorisation, notamment en matière de sécurité des données, ont été respectées par la société IQVIA.

3. Sur l’entrepôt LRX : sur la sécurité et la confidentialité des données

133. L’article 32 du RGPD prévoit que " 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite […] ".

134. Afin d’assurer le respect de ces dispositions, la délibération n° 2018-289 du 12 juillet 2018 autorisant la société IQVIA à constituer l’entrepôt de données de santé LRX comporte une partie sur la « sécurité des données et la traçabilité des actions ». Diverses garanties sont ainsi prévues, telles que des règles relatives à l’authentification des utilisateurs, à la journalisation des connexions et à l’analyse des traces ou encore au cloisonnement du réseau.

a. Sur le cloisonnement du réseau

135. La délibération n° 2018-289 du 12 septembre 2018 précise que " des mesures sont prévues pour assurer la sécurité du réseau, notamment par la mise en œuvre d’une compartimentation de celui-ci ".

136. Dans son guide d’hygiène informatique " renforcer la sécurité de son système d’information en 42 mesures ", publié en janvier 2017 et destiné à accompagner les organismes dans la sécurisation de leur système d’information, l’Agence nationale de la sécurité des systèmes d’information (ci-après, " l’ANSSI « ) rappelle que, pour sécuriser un réseau, il convient de le segmenter et de mettre en place un cloisonnement entre les zones. Elle précise que » lorsque le réseau est « à plat », sans aucun mécanisme de cloisonnement, chaque machine du réseau peut accéder à n’importe quelle autre machine. La compromission de l’une d’elles met alors en péril l’ensemble des machines connectées. Un attaquant peut ainsi compromettre un poste utilisateur et ensuite « rebondir » jusqu’à des serveurs critiques. Il est donc important, dès la conception de l’architecture réseau, de raisonner par segmentation en zones composées de systèmes ayant des besoins de sécurité homogènes. On pourra par exemple regrouper distinctement des serveurs d’infrastructure, des serveurs métiers, des postes de travail utilisateurs, des postes de travail administrateurs, des postes de téléphonie sur IP, etc. Une zone se caractérise alors par des VLAN et des sous-réseaux IP dédiés voire par des infrastructures dédiées selon sa criticité. Ainsi, des mesures de cloisonnement telles qu’un filtrage IP à l’aide d’un pare-feu peuvent être mises en place entre les différentes zones. On veillera en particulier à cloisonner autant que possible les équipements et flux associés aux tâches d’administration ".

137. Le rapporteur considère qu’un manquement à l’article 66 de la loi Informatique et Libertés est caractérisé dès lors que, contrairement à ce que prévoit l’autorisation délivrée par la CNIL, il ressort des constations effectuées par la délégation de contrôle qu’aucun cloisonnement du réseau n’a été mise en place pour limiter l’accès à la base de données de l’entrepôt LRX. Il relève que cette absence de cloisonnement facilite une attaque par rebond, susceptible d’être menée depuis d’autres ordinateurs de l’entreprise, et qui pourrait contourner le mécanisme d’authentification du serveur. Ce risque apparait selon lui d’autant plus important qu’en l’absence de politique d’authentification multifacteur pour accéder à l’entrepôt LRX, l’authentification des utilisateurs repose exclusivement sur la connexion à leur session Windows.

138. En défense, la société fait valoir que, dans sa demande d’autorisation, elle n’a pas indiqué qu’un cloisonnement du réseau serait mis en place spécifiquement pour l’entrepôt LRX, mais que de multiples mesures de sécurité seraient mises en œuvre pour préserver l’intégrité des serveurs. Elle considère que c’est sur cette base que la CNIL a délivré son autorisation, laquelle ne spécifie pas que la base de données de l’entrepôt LRX devrait figurer seule sur un sous-réseau (ci-après, « VLAN »). La société estime dès lors qu’elle respecte les engagements pris en matière de sécurité. Par ailleurs, s’agissant d’un éventuel risque d’attaque par rebond, la société détaille les mesures mises en place pour limiter ce risque (défense en profondeur, principe du moindre privilège, procédure ayant pour but de définir les processus associés au système de gestion des informations et des événements de sécurité – ci-après, « SIEM »). Enfin, elle relève que les modalités d’authentification des utilisateurs ont été expressément validées par l’autorisation, laquelle n’exige pas la mise en place d’une authentification multifacteur.

139. Premièrement, la formation restreinte renvoie, sur la distinction entre la demande d’autorisation déposée par la société auprès de la CNIL et l’autorisation elle-même, aux développements figurant aux points 121 à 125 de la présente délibération. Elle relève que le cloisonnement du réseau est expressément exigée par l’autorisation, laquelle précise ensuite que " sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’état de l’art ". Le fait que l’autorisation prévoie spécifiquement le cloisonnement du réseau imposait donc à la société de prendre les mesures correspondantes pour se conformer à cette exigence, quels que soient les éléments présentés dans le cadre de la demande d’autorisation.

140. Deuxièmement, la formation restreinte rappelle que l’autorisation délivrée porte sur la constitution de l’entrepôt LRX et que c’est donc bien cet entrepôt qui doit, selon les termes de la délibération, faire l’objet d’un cloisonnement afin de limiter l’impact d’une éventuelle violation, en réduisant la surface d’attaque potentielle, afin que la compromission d’un poste de travail n’ait pas pour conséquence de mettre en péril l’ensemble du réseau. En effet, l’existence d’un réseau non cloisonné permet de faciliter les attaques par rebond, susceptibles d’être menées depuis d’autres ordinateurs de l’entreprise utilisés comme « tremplins » (l’ensemble des ordinateurs ayant accès au même réseau), en contournant le mécanisme d’authentification du serveur.

141. En l’espèce, l’absence de cloisonnement a pour conséquence que, dès lors qu’une personne ouvre sa session Windows sur son poste informatique connecté au réseau interne de l’entreprise, ou à distance par VPN, elle accède au réseau sur lequel figure l’entrepôt LRX et peut dès lors mener une attaque visant à contourner le mécanisme d’authentification afin de pouvoir accéder aux données.

142. La formation restreinte considère que ce risque d’attaque par rebond est aggravé par l’absence de politique d’authentification multifacteur, l’accès aux données de l’entrepôt reposant, pour les utilisateurs qui y sont habilités, sur l’authentification à leur session Windows à l’aide d’un identifiant et d’un mot de passe, sans aucune mesure de restriction complémentaire. Si cette absence d’authentification multifacteur ne contrevient pas, en soi, aux exigences posées par l’autorisation du 12 septembre 2018 (la CNIL ayant considéré que les règles d’authentification mises en place par la société étaient conformes à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe), il doit être relevé, comme l’a fait le rapporteur, que les conséquences de l’absence de cloisonnement du réseau sont aggravées par ces modalités d’authentification, qui ne correspondent plus aujourd’hui à l’état de l’art.

143. Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’en s’abstenant de mettre en œuvre un cloisonnement du réseau sur lequel se trouvent les données de l’entrepôt LRX, la société n’a pas respecté les termes de l’autorisation qui lui a été délivrée par la CNIL. Elle relève par ailleurs que les mesures mises en place, visant principalement à limiter les intrusions depuis l’extérieur du réseau de l’entreprise, ne sont pas des alternatives robustes permettant d’empêcher les attaques issues d’un poste informatique compromis connecté au réseau interne. Dans ces conditions, un manquement à l’article 66 de la loi Informatique et Libertés apparait constitué.

144. La formation restreinte relève toutefois que, par courrier transmis à la CNIL le 24 mars 2026, la société a indiqué que l’entrepôt LRX avait été déplacé dans une enclave sécurisée, sur un domaine séparé du domaine IQVIA, impliquant une authentification à double facteur en plus d’une connexion sur le réseau IQVIA depuis une machine enrôlée.

145. La formation restreinte prend acte de la mise en place de ces mesures et, donc, de la mise en conformité de la société sur ce point.

b. Sur la traçabilité des accès

146. La délibération n° 2018-289 du 12 septembre 2018 prévoit qu’" une journalisation des connexions à l’application ainsi que des opérations de consultation, création, modification et suppression réalisées dans le traitement sera réalisée. Une analyse des traces régulière devrait être effectuée. La Commission recommande, à cet égard, que ce contrôle des traces soit effectué de manière automatique, afin de détecter les comportements anormaux et lever des alertes. La Commission prend acte de ce que le responsable de traitement s’est engagé à conserver les journaux pendant une durée de six mois ".

147. Dès 2013, dans sa note technique " recommandations de sécurité pour la mise en œuvre d’un système de journalisation ", l’ANSSI insistait sur le fait que " les journaux d’évènements constituent une brique technique indispensable à la gestion de la sécurité des systèmes d’information, quelles que soient la nature et la taille de ces derniers. Les journaux sont une source d’information riche qui peut être utilisée a priori pour détecter des incidents de sécurité. Dans ce cas, les évènements constituant les journaux sont consultés et analysés en temps réel. Les journaux peuvent également être employés a posteriori pour retrouver les traces d’un incident de sécurité ; l’analyse des journaux d’un ensemble de composants (postes de travail, équipements réseaux, serveurs, etc.) peut alors permettre de comprendre le cheminement d’une attaque et d’évaluer son impact « . Cette exigence est reprise et détaillée dans le guide » recommandations de sécurité pour l’architecture d’un système de journalisation ", publié par l’ANSSI en janvier 2022. Celui-ci rappelle en effet que " l’analyse continue des journaux d’événements permet de repérer des activités inhabituelles. […] En ce sens, la journalisation constitue également le prérequis indispensable à la mise en œuvre d’une capacité de détection, d’analyse et de réponse aux incidents de sécurité ".

148. La CNIL rappelle elle aussi, dans sa délibération n° 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation, que la mise en place d’un dispositif de journalisation participe au respect de l’obligation de sécurisation de tout traitement de données à caractère personnel, cette sécurisation reposant notamment sur une " exploitation en temps réel ou à court terme de ces données pour détecter des opérations anormales afin de parer des attaques ou intrusions, ou de remédier rapidement à un incident informatique en facilitant l’identification du problème. La Commission recommande dès lors de mettre en œuvre un système de traitement et d’analyse des données collectées et de formaliser un processus permettant de générer des alertes et de les traiter en cas de suspicion de comportement anormal ".

149. S’agissant des modalités d’analyse des journaux d’événements, leur caractère manuel ou automatique a pu être pris en compte par la Commission dans le cadre de demandes d’autorisation ou de référentiels. Ainsi, à titre d’éclairage, le référentiel relatif à la création d’entrepôts de données dans le domaine de la santé, publié en octobre 2021, prévoit qu’en matière de journalisation, " un contrôle des traces doit être réalisé régulièrement et a minima bimestriellement, ainsi qu’à la fin de chaque période d’habilitation liée à un projet de recherche. Ce contrôle doit être réalisé par une solution réalisant une surveillance automatique avec une remontée d’alertes traitées manuellement par un opérateur habilité, ou par un contrôle semi-automatique via exécution de programmes permettant une sélection des traces anormales, suivi d’une relecture manuelle par un opérateur habilité ".

150. Enfin, la CNIL précise, sur son site web, que le système de journalisation doit concerner non seulement les anomalies et événements liés à la sécurité (traces techniques ou « système »), mais également les activités métier des utilisateurs (traces applicatives) et les interventions techniques (y compris par les administrateurs) (https://www.cnil.fr/fr/securite-tracer-les-operations).

151. Le rapporteur relève que, contrairement aux exigences figurant dans l’autorisation, il ressort des constatations de la délégation de contrôle que la société ne met en œuvre aucune analyse des journaux de connexion permettant de retracer les opérations de consultation, création, modification et suppression réalisées au sein de l’entrepôt. Il considère en effet que si le système de gestion des informations et des événements de sécurité mis en place permet de détecter des anomalies techniques, aucune surveillance n’est opérée s’agissant des activités métier.

152. La société estime quant à elle avoir respecté les termes de l’autorisation délivrée par la CNIL en se dotant d’un système permettant de détecter d’éventuels comportements anormaux ou mésusages des données (SIEM). Elle précise en outre avoir mis en place un contrôle mensuel afin de vérifier que seules les personnes habilitées se connectent à la base de données LRX. Elle estime enfin que la délibération n° 2021-122 du 14 octobre 2021 relative à l’adoption d’une recommandation relative à la journalisation n’est pas susceptible de lui être opposée, dans la mesure où les contrôles réalisés sont antérieurs.

153. A titre liminaire, la formation restreinte rappelle d’abord que, si certaines recommandations auxquelles se réfère le rapporteur dans ses écritures, et qui sont reprises dans la présente délibération, sont postérieures aux opérations de contrôle, ces recommandations n’ont pas pour objet d’établir le manquement en cause (qui ne peut reposer que sur l’absence de respect de l’autorisation délivrée par la CNIL et sur le non-respect des obligations résultant du RGPD et de la loi Informatique et Libertés), mais d’expliquer l’importance et le caractère substantiel des exigences posées par l’autorisation.

154. Ensuite, la formation restreinte relève que l’autorisation délivrée à la société IQVIA prévoit, de manière explicite, qu’une analyse régulière des traces doit être effectuée. Cette exigence tient au fait qu’une telle analyse apparait indispensable pour identifier un accès frauduleux aux données traitées ou une utilisation abusive de celles-ci.

155. La délégation a été informée lors du contrôle que l’ensemble des requêtes effectuées sur l’entrepôt LRX était journalisé et stocké dans une base de données dédiée, afin d’en faciliter l’exploitation. La société a précisé que l’exploitation de ces journaux était manuelle, aucun mécanisme automatique d’exploitation n’étant mis en œuvre (par exemple, il n’y a pas de déclenchement d’alerte automatique après franchissement de seuil, par exemple en fonction du nombre de requêtes réalisées ou du volume de données affichées), et qu’au jour du contrôle, les journaux n’avaient été " exploités qu’aux fins de détection d’anomalies liées à l’exploitation des données " et qu’" aucune investigation n’avait été menée visant à détecter un usage anormal de ces données ".

156. Si la société indique, dans ses observations en défense, avoir mis en place un système permettant de détecter d’éventuels comportements anormaux ou mésusages des données (SIEM), la formation restreinte relève qu’il résulte de la documentation relative à cette procédure, ainsi que des déclarations de la société elle-même, que celle-ci permet seulement de détecter des anomalies techniques. En outre, le « contrôle mensuel » évoqué par la société a pour objet, selon elle, de vérifier que " seules les personnes habilitées à accéder à la base de données de l’entrepôt LRX sont bien celles qui se connectent effectivement à cette base ".

157. Ces mesures, dont la pertinence n’est pas remise en cause, ne permettent toutefois pas d’analyser les " connexions à l’application ainsi que les opérations de consultation, création, modification et suppression " au sein de l’entrepôt, comme pourtant exigé par l’autorisation. Il est en effet nécessaire, comme rappelé précédemment, de surveiller également les activités métier, afin de pouvoir détecter des requêtes illégitimes réalisées par une personne pourtant habilitée à accéder à l’entrepôt. Par exemple, un salarié de la société IQVIA, habilité à accéder aux données, pourrait aisément avoir connaissance de l’intégralité (ou de la quasi-intégralité) du parcours de soin de l’un de ses proches, en disposant initialement de très peu d’informations.

158. Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’en ne mettant pas en place un dispositif permettant une analyse régulière des journaux, la société n’a pas respecté les termes de l’autorisation, ce qui constitue un manquement à l’article 66 de la loi Informatique et Libertés.

159. La formation restreinte relève toutefois que, par courrier transmis à la CNIL le 24 mars 2026, la société a indiqué que des mesures de journalisation avaient été mises en œuvre afin de tracer l’ensemble des actions effectuées sur les données stockées dans les entrepôts LRX et EMR, via les fonctionnalités dites " d’audit trail " permettant la journalisation de toute action effectuée sur les données via des requêtes SQL. En complément, des alertes automatiques ont été mises en place afin d’informer les équipes support de toute activité suspecte sur les données.

160. La formation restreinte prend acte de la mise en place de ces mesures et, donc, de la mise en conformité de la société sur ce point.

4. Sur l’entrepôt EMR

a. Sur l’information des patients

161. L’article 14 du RGPD prévoit que, lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci un certain nombre d’informations, permettant de garantir un traitement équitable et transparent de ses données. Parmi ces informations figurent celles relatives à « la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ».

162. La délibération n° 2021-015 du 4 février 2021 prévoit que " les personnes concernées devront être individuellement informées du traitement et que les différents supports d’information devront comporter l’ensemble des mentions prévues par les dispositions du RGPD ". Elle détaille, pour chaque flux, les modalités de délivrance de cette information.

163. S’agissant du flux DA, l’autorisation précise que " la société IQVIA Opérations France remettra à chaque médecin partenaire alimentant le flux de données DA des notices d’information imprimées à communiquer à chaque patient. Cette information vient en sus de l’information générale qui sera affichée par les médecins dans leurs locaux, fournie également par IQVIA Opérations France et qui mettra en avant la possibilité pour les personnes concernées d’exercer leur droit d’opposition. Un QR Code ainsi qu’un lien renvoyant vers un site web permettant à chaque patient d’accéder, avant la consultation, à une note d’information sur leur téléphone mobile seront affichés sur ces posters ".

164. S’agissant du flux [Z+], elle indique : " la Commission prend acte qu’IQVIA Opérations France, n’ayant pas de contact direct avec les professionnels transmettant des données dans le cadre du flux [Z+], a transmis à [Z] une note d’information à destination des patients. Il appartient à [Z] de transmettre l’information aux professionnels de santé afin de garantir que les patients soient correctement informés préalablement au traitement de données qui les concernent, conformément à l’article 14 du RGPD ".

165. Comme précisé expressément par l’autorisation, ces précisions ont notamment pour objet d’assurer le respect des dispositions de l’article 14 du RGPD susvisé.

166. À cet égard, l’autorisation délivrée par la CNIL prévoit que les données de l’entrepôt EMR " seront conservées en base active pendant une durée de dix ans. Au-delà, les données seront anonymisées ou supprimées. À cet égard, la Commission prend acte que cette opération fera l’objet d’une automatisation. La Commission considère que cette durée de conservation des données n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e du RGPD ".

167. Le rapporteur relève que la notice destinée à informer les patients des traitements mis en œuvre, tant s’agissant du flux DA que du flux [Z+], contient des informations inexactes, en ce qu’elle mentionne que les données sont conservées « pendant la durée de réalisation des études et analyses mises en œuvre par IQVIA et ses partenaires contractuels », avant de faire l’objet d’une " procédure d’archivage sécurisée pour une durée conforme à la réglementation en vigueur ". Cette information ne correspond ni à la durée prévue par l’autorisation, ni à celle pratiquée par la société IQVIA. Il considère dès lors qu’un manquement à l’article 66 de la loi Informatique et Libertés est constitué.

168. En défense, la société fait valoir que la notice d’information est la même que celle qu’elle avait soumise à la CNIL à l’appui de sa demande d’autorisation et qu’elle n’a fait l’objet d’aucune remarque, critique ou demande de modification par les services. Elle considère dès lors que cette notice doit être considérée comme conforme. En outre, la société relève que l’autorisation délivrée, pourtant détaillée quant à l’information des personnes, ne comporte aucune précision sur les durées de conservation.

169. La formation restreinte renvoie, s’agissant de la distinction entre demande d’autorisation et autorisation elle-même, aux développements figurant aux points 121 à 125 de la présente délibération.

170. Elle relève qu’en matière d’information des personnes, la délibération n° 2021-015 est rédigée en des termes extrêmement clairs, puisqu’elle prévoit que " les différents supports d’information devront comporter l’ensemble des mentions prévues par les dispositions du RGPD ". Parmi ces mentions figure expressément la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.

171. La formation restreinte note qu’en l’espèce, les notices élaborées par la société IQVIA et destinées à assurer l’information des patients (s’agissant tant du flux [Z+] que du flux DA) sont rédigées sous forme de questions réponses. A la question " Combien de temps vos données sont-elles conservées ? « , la notice indique : » Vos données sont conservées pendant la durée de réalisation des études et analyses mises en œuvre par IQVIA et ses partenaires contractuels. Elles feront ensuite l’objet d’une procédure d’archivage sécurisée pour une durée conforme à la réglementation en vigueur ".

172. Or, la formation restreinte relève que l’autorisation délivrée prévoit, non pas que les données sont conservées « pendant la durée de réalisation des études et analyses mises en œuvre par IQVIA et ses partenaires contractuels », mais qu’elles sont conservées en base active pendant une durée de dix ans, puis anonymisées ou supprimées. La société a confirmé à la délégation que les données de l’entrepôt EMR étaient bien conservées pendant une durée de dix ans (non encore atteinte au moment du contrôle).

173. Il apparait dès lors que l’information délivrée aux patients est inexacte, en ce que la durée mentionnée dans les notices d’information des patients délivrées par la société IQVIA ne correspond pas à celle prévue par l’autorisation, que la société indique mettre en œuvre.

174. La formation restreinte rappelle que la délivrance d’une information complète et exacte aux personnes concernées est essentielle, en ce qu’elle seule permet à ces dernières d’avoir conscience que leurs données de santé sont versées et conservées dans des entrepôts privés de recherche pendant une durée relativement longue, et de leur permettre ainsi d’exercer leurs droits si elles le souhaitent, notamment leur droit d’opposition.

175. Compte tenu de l’ensemble de ces éléments, la formation restreinte considère qu’en délivrant une information inexacte aux personnes dont les données viennent enrichir l’entrepôt EMR, la société n’a pas respecté les termes de l’autorisation délivrée, et a dès lors commis un manquement aux dispositions de l’article 66 de la loi Informatique et Libertés.

b. Sur l’exercice des droits

176. L’article 21, paragraphe 1 du RGPD, dispose que « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice ».

177. L’article 17, paragraphe 1 du RGPD prévoit quant à lui que " la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque […] c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 […] ".

178. Afin d’assurer le respect de ces dispositions, la délibération n° 2021-015 du 4 février 2021 mentionne, s’agissant du flux DA : " la Commission prend acte que les droits d’accès, de rectification et d’opposition du patient s’exerceront auprès du médecin utilisant le logiciel métier et participant à la prise en charge de la personne concernée ou du médecin hébergeur de la société IQVIA. À cet égard, elle relève que le médecin peut matérialiser l’opposition du patient au traitement de ses données dans l’entrepôt au moyen d’une case à cocher. La Commission rappelle donc qu’une procédure opérationnelle sécurisée doit être mise en place afin d’assurer la levée du pseudonymat et la bonne ré-identification des personnes concernées dans le respect de la confidentialité des données traitées. À cette fin, elle rappelle que des mesures similaires à celles prévues pour l’exercice des droits dans le cadre du traitement IQVIA Oncologie (délibération n° 2017-347 du 21 décembre 2017) pourraient être mises en place ".

179. Le rapporteur relève que, si la société a bien mis en place des mesures permettant aux patients de s’opposer, a priori, au traitement de leurs données par la société IQVIA, il en va différemment s’agissant des données d’ores et déjà collectées. Il considère en effet que, contrairement à ce que prévoit l’autorisation, la société n’a prévu aucun mécanisme permettant la levée du pseudonymat et la réidentification effective des personnes concernées, pour permettre la prise en compte de leur droit d’opposition à la fourniture d’informations complémentaires. Il estime que, dans ces conditions, un manquement à l’article 66 de la loi Informatique et Libertés est caractérisé.

180. En défense, la société fait valoir, premièrement, que ses pratiques correspondent aux engagements pris dans le cadre de sa demande d’autorisation, le dossier ayant toujours clairement précisé que, concernant les données déjà collectées et pseudonymisées, la prise en compte du droit d’opposition et du droit à l’effacement apparaissait techniquement impossible. Dans la mesure où aucune remarque ni critique n’a été formulée sur ce point pendant l’instruction de sa demande, elle considère qu’aucun manquement ne peut lui être reproché.

181. Deuxièmement, la société rappelle que toute la conception de l’entrepôt EMR repose sur l’opacité de l’identité du patient pour IQVIA, cette réidentification n’étant pas nécessaire aux finalités du traitement. Elle cite à cet égard le considérant 57 du RGPD, qui prévoit que " si les données à caractère personnel qu’il traite ne lui permettent pas d’identifier une personne physique, le responsable du traitement ne devrait pas être tenu d’obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter les dispositions du présent règlement. Toutefois, le responsable du traitement ne devrait pas refuser des informations supplémentaires fournies par la personne concernée afin de faciliter l’exercice de ces droits ".

182. Troisièmement, dans le cadre de ses deuxièmes observations en réponse, la société indique avoir bien mis en place une procédure opérationnelle sécurisée pour assurer la levée du pseudonymat et la bonne réidentification du patient, comme l’exigeait l’autorisation, en permettant au patient de lui transmettre des informations complémentaires destinées à l’identifier. Elle relève ainsi que l’autorisation ne fait référence à aucune technologie particulière ou à aucun outil spécifique pour parvenir à cette réidentification (contrairement à l’autorisation LRX, qui prévoit le recours à un code-barre). Elle insiste sur le fait que ces éléments figuraient dans la demande d’autorisation déposée.

183. La formation restreinte rappelle qu’en application de l’article 21 du RGPD, le droit d’opposition doit pouvoir être exercé à tout moment. La personne concernée doit ainsi avoir la possibilité de s’opposer au traitement de ses données a priori, avant même qu’elles soient collectées, mais également a posteriori, l’exercice du droit d’opposition ayant pour conséquence, sauf circonstances particulières, que « (l)e responsable du traitement ne traite plus les données à caractère personnel ».

184. En l’espèce, il ressort des éléments du dossier que la société met à disposition des médecins un équipement informatique disposant d’une fonctionnalité permettant la gestion des droits des patients. Ces derniers peuvent ainsi s’opposer, au moment de la consultation, à ce que leurs données viennent nourrir l’entrepôt EMR.

185. Si ces mesures permettent d’assurer l’effectivité de la prise en compte du droit d’opposition a priori (avant que les données ne parviennent jusqu’à l’entrepôt EMR), la formation restreinte relève que la société a indiqué lors du contrôle que, lorsqu’un patient souhaite s’opposer au traitement des données figurant déjà dans l’entrepôt, il doit adresser sa demande à la déléguée à la protection des données européenne du groupe IQVIA. La société a précisé que cette demande devait contenir suffisamment d’informations (date et heure du rendez-vous, contenu de la prescription) pour qu’elle puisse tenter de réidentifier le patient. Cette réidentification n’est en outre possible que si les données fournies ne correspondent qu’à un seul patient. La société a également précisé que, dans la mesure où il n’existe aucun chaînage entre les différents cabinets et que les patients disposent d’un identifiant différent pour chaque praticien consulté, la personne souhaitant s’opposer au traitement de ses données doit fournir les informations précédemment mentionnées pour chacun des médecins concernés.

186. La formation restreinte observe en outre que la notice d’information élaborée par la société IQVIA à destination des patients mentionne que, si ces derniers disposent du droit de s’opposer au traitement de leurs données « à tout moment », " ce droit ne sera effectif que pour les données saisies par votre médecin après votre opposition. En effet, les données déjà traitées ne comportant pas votre identité, comme indiqué ci-dessus, IQVIA ne sera pas en mesure de procéder à leur suppression […] IQVIA a mis en place des mesures de sécurité renforcées (pseudonymisation et minimisation des données) visant à garantir la protection de votre vie privée suivant une approche de « Protection des données par défaut » conforme aux exigences du RGPD. Les mesures de sécurité renforcées mises en place ne permettant pas à IQVIA de vous identifier, elles rendent donc techniquement impossible l’exercice de vos droits. Néanmoins, si vous le souhaitez, vous avez la possibilité de transmettre à IQVIA des informations complémentaires qui pourraient l’aider à vous identifier, le cas échéant, afin de permettre l’exercice de vos droits ".

187. Comme le souligne la société, la délibération n° 2021-015 n’impose le recours à aucune technologie particulière. Néanmoins, la formation restreinte considère que la procédure mise en place par la société, décrite ci-dessus, ne saurait être considérée comme " une procédure opérationnelle sécurisée [permettant] d’assurer la levée du pseudonymat et la bonne ré-identification des personnes concernées dans le respect de la confidentialité des données traitées " en cas d’exercice du droit d’opposition. En effet, celle-ci est trop complexe et hypothétique, dans la mesure où elle consiste à conditionner la prise en compte du droit d’opposition du patient à la fourniture d’informations complémentaires, qui plus est particulièrement détaillées et dont la personne ne dispose pas ou plus nécessairement (date et heure du rendez-vous, contenu de la prescription) et qui, comme le précise la société, n’est susceptible d’aboutir que si les informations communiquées ne correspondent qu’à un seul patient. .

188. La formation restreinte relève que, si le considérant 57 du RGPD prévoit que le responsable de traitement qui traite des données ne lui permettant pas d’identifier une personne physique ne devrait pas être tenu d’obtenir des informations supplémentaires pour identifier cette personne à la seule fin de respecter les dispositions du Règlement, ce n’est justement pas ce qui est exigé en l’espèce, la Commission comme le rapporteur ayant d’ailleurs proposé à la société des solutions lui permettant d’assurer l’effectivité de la prise en compte du droit d’opposition, sans pour autant devoir collecter des données supplémentaires.

189. Ainsi, comme indiqué par le rapporteur et à l’instar de la solution mise en place pour LRX, le module d’extraction mis à disposition des médecins aurait par exemple pu permettre la transmission d’un code d’opposition, associé uniquement à l’identifiant du patient, permettant à la société IQVIA d’être informée que les données relatives à un patient donné d’un médecin ne doivent plus être traitées (à charge pour le patient d’exercer ce droit auprès de chacun des médecins consultés).

190. La formation restreinte relève dès lors que, malgré l’existence de solutions techniques permettant d’assurer l’effectivité de la prise en compte du droit d’opposition des personnes dont les données figurent au sein de l’entrepôt LRX, la société n’a pas adopté de procédure adaptée permettant d’assurer la levée du pseudonymat et la bonne réidentification des personnes concernées, comme l’exigeait l’autorisation.

191. Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’en ne respectant pas les termes de l’autorisation délivrée par la CNIL, la société a commis un manquement à l’article 66 de la loi Informatique et Libertés.

c. Sur la sécurité et la confidentialité des données

- Sur les règles d’authentification

192. La délibération n° 2021-015 du 4 février 2021 prévoit que " l’ensemble des comptes administrateurs et utilisateurs qui seront dûment habilités à accéder aux données non agrégées du Hub EMR et de l’entrepôt EMR fera l’objet d’une authentification forte (identifiant et mot de passe couplés à un token générant un mot de passe à usage unique) ".

193. Le rapporteur relève que, contrairement aux préconisations de l’autorisation, aucun mécanisme d’authentification forte ou multifacteur n’est mis en place s’agissant de l’accès à l’entrepôt EMR. Il considère que, dans ces conditions, un manquement à l’article 66 de la loi Informatique et Libertés est caractérisé.

194. En défense, la société indique qu’une authentification forte est bien mise en œuvre au niveau du Hub EMR, plateforme ayant pour objet de collecter les données provenant des logiciels médecin afin d’effectuer une ultime pseudonymisation. S’agissant de l’entrepôt EMR, elle précise que l’authentification double facteur est en cours de déploiement, en vue d’être effective pour la fin de l’année 2025.

195. La formation restreinte relève que l’autorisation délivrée par la CNIL exige expressément la mise en place d’un mécanisme d’authentification forte (identifiant et mot de passe couplés à un token générant un mot de passe à usage unique) pour l’ensemble des comptes habilités à accéder non seulement au Hub EMR, mais également à l’entrepôt. Cette exigence apparait substantielle, au regard de la sensibilité des données traitées ainsi que de leur volume.

196. Or, il ressort des constatations réalisées par la délégation que les personnes habilitées à accéder à l’entrepôt EMR s’authentifiaient, au jour des contrôles, uniquement à l’aide d’un identifiant et d’un mot de passe. Aucun token (jeton individuel de connexion) générant un mot de passe à usage unique, comme demandé par l’autorisation, ni aucun autre mécanisme d’authentification forte ou multifacteur ne venait compléter l’authentification par mot de passe.

197. Dans ces conditions, faute d’avoir mis en œuvre un mécanisme d’authentification forte pour accéder à l’entrepôt EMR, la société n’a pas respecté les termes de l’autorisation et a commis un manquement à l’article 66 de la loi Informatique et Libertés.

198. La formation restreinte prend acte que la société a indiqué, par courrier transmis à la CNIL le 24 mars 2026, que l’accès aux entrepôts LRX et EMR faisait désormais l’objet d’une authentification multifacteur, un jeton à usage unique étant attribué à l’utilisateur lors de chaque connexion.

199. La formation restreinte prend acte de la mise en place de cette authentification multifacteur et, donc, de la mise en conformité de la société sur ce point.

- Sur le cloisonnement réseau

200. La délibération n° 2021-015 du 4 février 2021 prévoit que " le système sera cloisonné : les accès aux données de l’entrepôt EMR interviennent dans une zone spécifique du réseau d’IQVIA Opérations France, les gestionnaires de panels de médecins n’auront pas accès aux données patients, et les analystes et attachés de recherche clinique autorisés et habilités qui auront accès aux données des patients n’auront pas accès à l’identifiant d’origine du médecin ".

201. Le point 136 de la présente délibération rappelle l’importance d’un tel cloisonnement.

202. Le rapporteur considère qu’un manquement à l’article 66 de la loi Informatique et Libertés est caractérisé dès lors que, contrairement à ce que prévoit l’autorisation délivrée par la CNIL, aucun cloisonnement du réseau ne limite l’accès à la base de données de l’entrepôt EMR. Il relève que, comme pour l’entrepôt LRX, cette absence de cloisonnement facilite une attaque par rebond, susceptible d’être menée depuis d’autres ordinateurs de l’entreprise, qui pourrait contourner le mécanisme d’authentification du serveur.

203. En défense, la société conteste le manquement et indique avoir mis en place un « cloisonnement logique », les gestionnaires de panels de médecins n’ayant pas accès aux données patients et les personnes accédant à l’entrepôt EMR ne pouvant pas accéder à la base du panel. Elle considère que cette mesure permet de garantir la sécurité et de respecter l’autorisation délivrée par la CNIL. Elle relève en outre que cette pratique correspond aux engagements pris dans le cadre de la demande d’autorisation. Enfin, elle insiste sur le fait qu’elle a mis en place des mesures complémentaires permettant de réduire considérablement la possibilité d’une attaque par rebond (défense en profondeur, principe du moindre privilège, procédure SIEM).

204. La formation restreinte relève que l’autorisation délivrée par la CNIL est rédigée en des termes particulièrement clairs, puisqu’elle exige que le système soit cloisonné et que " les accès aux données de l’entrepôt EMR interviennent dans une zone spécifique du réseau d’IQVIA Opérations France « . Cette référence à une » zone spécifique du réseau " implique ainsi, contrairement à ce que soutient la société, que c’est bien sur le réseau lui-même que doit porter le cloisonnement (entraînant la création de sous-réseaux). Or, la formation restreinte relève que la société ne conteste pas l’absence de cloisonnement « physique » du réseau, tel que constaté par la délégation.

205. Si le « cloisonnement logique » dont se prévaut la société, et qui consiste à mettre en œuvre des accès différenciés en fonction des profils d’utilisateurs (les gestionnaires de panels de médecins n’ayant pas accès aux données patients, et les analystes et attachés de recherche clinique autorisés et habilités ayant accès aux données des patients n’ayant de leur côté pas accès à l’identifiant d’origine du médecin) constitue une mesure de sécurité essentielle, la formation restreinte rappelle que celle-ci offre des garanties différentes, et complémentaires, du cloisonnement réseau. Ce dernier vise en effet à protéger l’ensemble de l’infrastructure hébergeant l’entrepôt, tandis que les accès différenciés ont uniquement pour objet de limiter au strict nécessaire les catégories de données accessibles aux différents utilisateurs.

206. Dès lors, la société ne peut soutenir que les mesures qu’elle nomme « cloisonnement logique » permettent de satisfaire aux exigences de l’autorisation.

207. La formation restreinte considère qu’en s’abstenant de mettre en œuvre un cloisonnement du réseau sur lequel se trouveraient les données de l’entrepôt EMR, la société n’a pas respecté les termes de l’autorisation que lui a délivrée la CNIL. Dans ces conditions, un manquement à l’article 66 de la loi Informatique et Libertés apparait constitué.

208. La formation restreinte note toutefois que, par courrier transmis à la CNIL le 24 mars 2026, la société a indiqué que l’entrepôt EMR avait été déplacé dans une enclave sécurisée, sur un domaine séparé du domaine IQVIA, impliquant une authentification à double facteur en plus d’une connexion sur le réseau IQVIA depuis une machine enrôlée.

209. La formation restreinte prend acte de la mise en place de ces mesures et de la mise en conformité de la société sur ce point.

- Sur la traçabilité des accès

210. La délibération n° 2021-015 du 4 février 2021 prévoit que " les accès à l’entrepôt seront tracés et les traces seront conservées en lecture seule pendant une durée de six mois puis seront supprimées. Les exports seront journalisés et surveillés pour repérer les cas d’utilisation ou d’exportation anormales de données depuis les serveurs de la société IQVIA Opérations France. À cet égard, la Commission recommande de mettre en œuvre une analyse automatique des données exportées. La Commission prend acte du déploiement d’un système permettant de tracer l’ensemble des actions sur l’entrepôt, d’exporter l’ensemble des traces vers un collecteur sécurisé et de les analyser automatiquement afin de générer un tableau de bord et des alertes à destination de l’équipe d’exploitation de la plateforme et du comité de gouvernance des données ".

211. Les points 147 à 150 de la présente délibération rappellent l’importance des mesures de journalisation et de l’exploitation des traces.

212. Le rapporteur relève que, comme pour l’entrepôt LRX, et contrairement aux exigences figurant dans l’autorisation EMR, la société ne procède à aucune exploitation des journaux, seule à même de permettre la détection d’éventuels comportements anormaux, et qu’elle ne respecte ainsi pas les termes de l’autorisation délivrée. Il considère dès lors qu’un manquement à l’article 66 de la loi Informatique et Libertés est caractérisé.

213. En défense, la société se prévaut, comme pour l’entrepôt LRX, de la mise en place du système SIEM, lequel permet selon elle de détecter d’éventuels comportements anormaux ou mésusages des données, ainsi que du contrôle mensuel via lequel elle vérifie que seules les personnes habilitées se connectent à la base de données.

214. La formation restreinte relève qu’à l’instar de l’autorisation LRX, l’autorisation EMR est parfaitement claire sur ce qui est exigé de la société et qu’elle prévoit en outre que l’analyse des traces sera réalisée de manière automatique. Elle relève également que, tant lors du contrôle que dans le cadre de ses observations écrites, la société a fourni les mêmes informations et fait valoir les mêmes arguments que ceux invoqués s’agissant de l’entrepôt LRX.

215. La formation restreinte considère dès lors que, pour les mêmes raisons que celles exposées aux points 153 à 157 de la présente délibération, en ne mettant pas en place un dispositif permettant une analyse régulière des journaux, la société n’a pas respecté les termes de l’autorisation, ce qui constitue un manquement à l’article 66.

216. La formation restreinte note toutefois que, par courrier transmis à la CNIL le 24 mars 2026, la société a indiqué que des mesures de journalisation avaient été mises en œuvre afin de tracer l’ensemble des actions effectuées sur les données stockées dans les entrepôts LRX et EMR, via les fonctionnalités dites " d’audit trail " permettant la journalisation de toute action effectuée sur les données via des requêtes SQL. En complément, des alertes automatiques ont été mises en place afin d’informer les équipes support de toute activité suspecte sur les données.

217. La formation restreinte prend acte de la mise en place de ces mesures et, donc, de la mise en conformité de la société sur ce point.

D. Sur le manquement à l’article 14 du RGPD s’agissant de l’entrepôt LRX

218. En droit, l’article 14 du RGPD, qui s’applique lorsque des données à caractère personnel ne sont pas collectées directement auprès de la personne concernée, impose au responsable de traitement de fournir à cette dernière différentes informations relatives notamment à son identité et à ses coordonnées, aux coordonnées du délégué à la protection des données, aux finalités du traitement mis en œuvre, à sa base juridique, aux catégories de données traitées, aux destinataires ou aux catégories de destinataires de ces données ainsi qu’à son éventuelle intention d’effectuer un transfert de données vers un pays tiers. En outre, la réglementation impose, pour garantir « un traitement équitable et transparent » des données à caractère personnel, d’informer la personne sur la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée, l’existence des différents droits dont bénéficient la personne, le droit d’introduire une réclamation auprès d’une autorité de contrôle, la source dont proviennent ces données et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ainsi que l’existence d’une prise de décision automatisée, y compris un profilage et en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

219. Cette obligation d’information, que l’article 14 du RGPD fait peser sur le responsable de traitement, permet notamment que les données soient traitées de manière transparente à l’égard des personnes concernées, comme exigé par l’article 5 du RGPD. L’information constitue ainsi un préalable indispensable à la bonne compréhension du traitement de leurs données et à l’exercice de leurs droits.

220. La délibération n° 2018-289 du 12 septembre 2018 autorisant la société IQVIA à constituer l’entrepôt LRX prévoit, s’agissant de l’information des personnes, que " les pharmaciens d’officine seront chargés, contractuellement, d’informer individuellement leurs clients du traitement des données les concernant (…). Il est prévu que les personnes soient informées individuellement par la remise d’une notice d’information. Cette information sera complétée par un document affiché au sein de la pharmacie d’officine ou diffusé sur son site web. La Commission demande que ces mentions soient complétées afin de recouvrir l’ensemble des informations prévues aux articles 12 et 14 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ".

221. Le rapporteur relève que, si l’autorisation délivrée par la CNIL prévoit que les pharmaciens sont chargés contractuellement d’informer les personnes concernées des traitements relatifs à la constitution de l’entrepôt LRX, en leur remettant une notice d’information et en procédant à l’affichage d’un document au sein de l’officine, les contrôles réalisés auprès de quatre pharmacies parisiennes participant au panel LRX ont démontré que, dans les faits, aucune d’entre elles ne délivrait ces informations. Le rapporteur estime dès lors qu’un manquement à l’article 14 du RGPD est constitué et qu’il est imputable à la société IQVIA en sa qualité de responsable de traitement.

222. En défense, la société conteste le manquement reproché.

223. Dans ses premières observations en réponse, elle fait valoir que les pharmaciens sont responsables du traitement des données de leurs clients et de leur transmission à la société IQVIA. C’est pour cette raison que, selon elle, l’autorisation délivrée par la CNIL prévoit que les officines sont « en charge » d’informer leurs clients, cette obligation leur incombant en qualité de responsables de traitement. Elle estime pour sa part avoir respecté les termes de l’autorisation en concluant des contrats avec les pharmaciens, prévoyant que ces derniers seraient chargés de délivrer l’information. Elle relève en outre n’avoir aucun contact avec les personnes concernées.

224. Par ailleurs, la société met en avant la très faible proportion de pharmacies contrôlées (quatre sur un nombre total de 10 000 pharmacies participant au panel LRX), ne permettant pas, selon elle, d’établir que la totalité des pharmacies ne procèdent pas à l’information des personnes. Enfin, la société se prévaut des nombreuses actions de communication mises en place (campagnes de rappel par courrier postal et électronique, communications réalisées dans le cadre d’événements professionnels réunissant des pharmaciens, mise en place d’un portail de transparence et d’un QR code permettant d’accéder à l’information, etc.). Elle indique avoir adressé un courrier à la CNIL, en mai 2021, faisant état de ces actions de communication, courrier auquel elle n’a jamais obtenu de réponse.

225. Dans ses secondes observations, la société ajoute que l’autorisation délivrée par la CNIL n’exige pas que la société IQVIA aille vérifier sur place que les pharmacies procèdent à l’affichage de la notice d’information, et que par ailleurs le RGPD ne fait aucunement référence à une telle obligation. Dans la mesure où les pharmacies ne sont ni les sous-traitantes, ni les préposées de la société IQVIA, il n’existe à son sens aucune disposition qui mettrait à sa charge une obligation de les « auditer ». La société considère que lui imposer une telle obligation serait contraire au principe constitutionnel de légalité des délits et des peines, mais également contraire au principe de personnalité de la responsabilité pénale, puisqu’elle consisterait à sanctionner la société IQVIA du fait de la défaillance d’un tiers.

226. Enfin, la société estime que le manquement qui lui est reproché au titre de l’article 14 du RGPD se confond avec celui à l’article 66 de la loi Informatique et Libertés concernant les études réalisées à partir de l’entrepôt LRX, dans la mesure où il s’agit selon elle d’un même grief, relatif à l’absence d’information des personnes concernées.

227. La formation restreinte relève qu’en l’espèce, il ressort de l’instruction que quatre officines participant au panel LRX ont fait l’objet d’un contrôle de la part des services de la Commission, les 24 septembre, 29 octobre et 26 novembre 2021. Ces contrôles ont permis d’établir, d’une part, que sur ces quatre officines, aucune ne communiquait à ses clients la notice d’information individuelle élaborée par la société IQVIA et que, d’autre part, aucune notice d’information générale n’était affichée au sein de ces officines concernant les traitements mis en œuvre par la société.

228. La formation restreinte rappelle que les traitements visés par la délibération n° 2018-289, et en cause dans le cadre de la présente procédure, sont ceux relatifs à la constitution de l’entrepôt LRX, dont la société est responsable, comme démontré aux points 54 à 63 de la présente délibération.

229. Il lui appartient donc, en tant que responsable de traitement, de s’assurer du respect des obligations qui lui sont imposées par le RGPD, parmi lesquelles celle d’informer les personnes dont les données figurent au sein de l’entrepôt des traitements mis en œuvre, en application de l’article 14 du RGPD.

230. A cet égard, si l’autorisation prévoit que les pharmaciens sont chargés d’informer leurs clients du traitement des données les concernant, la formation restreinte relève, d’une part, que le traitement dont il est question et dont les personnes doivent être informées est bien celui mis en œuvre par la société IQVIA, comme en témoigne la notice d’information élaborée par cette société et qui mentionne notamment que " les données collectées par IQVIA sont traitées sur la base légale de l’intérêt légitime d’IQVIA (et de l’autorisation délivrée par la CNIL, telle que mentionnée ci-dessus), en sa qualité de responsable de traitement ". Cette notice mentionne également l’adresse électronique du délégué à la protection des données d’IQVIA, l’adresse du site web de la société et son adresse postale.

231. D’autre part, la formation restreinte remarque qu’en prévoyant que les pharmaciens seraient chargés de procéder à l’information des patients pour le compte d’IQVIA, la Commission s’est contentée de prendre acte des modalités de délivrance de cette information, proposées par la société dans le cadre de sa demande d’autorisation. Elle n’a en revanche pas entendu exonérer la société des obligations qui lui incombent en tant que responsable de traitement, ni faire peser ces obligations sur les pharmaciens, ce qui ne serait d’ailleurs juridiquement pas possible au regard des dispositions de l’article 14 du RGPD (et ce nonobstant leur éventuelle responsabilité contractuelle, ou leur responsabilité à l’égard d’autres traitements).

232. Ainsi, la formation restreinte considère que, quel que soit le canal par lequel l’information est délivrée, c’est bien à la société IQVIA que cette obligation d’information incombe, en raison de sa qualité de responsable du traitement et en application des dispositions de l’article 14 du RGPD (la collecte étant, en l’espèce, indirecte), et c’est donc sur elle que pèse le risque d’une sanction en cas de non-respect de cette obligation.

233. Par ailleurs, la formation restreinte entend souligner les conséquences de cette absence d’information sur les personnes concernées, qui voient leurs données de santé traitées à leur insu et qui se trouvent, de facto, dans l’impossibilité d’exercer leurs droits.

234. En revanche, s’agissant du périmètre du manquement, la formation restreinte relève que les contrôles opérés ont porté sur quatre officines, et qu’il convient dès lors de circonscrire le manquement aux personnes dont les données ont été collectées par l’intermédiaire de ces pharmacies.

235. Il ressort de l’ensemble de ces éléments qu’un manquement à l’article 14 du RGPD apparait caractérisé, s’agissant des personnes dont les données ont été collectées par l’intermédiaire des quatre pharmacies ayant fait l’objet de contrôles.

236. La formation restreinte entend préciser que l’argument de la société relatif à la prétendue confusion de ce manquement avec celui à l’article 66 de la loi Informatique et Libertés concernant les études réalisées par la société à partir de l’entrepôt LRX sera examiné au point 255 de la présente délibération.

E. Sur le manquement à l’article 66 de la loi Informatique et Libertés s’agissant des études réalisées à partir de l’entrepôt LRX

237. En droit, comme rappelé au point 115 de la présente délibération, l’article 66 de la loi Informatique et Libertés prévoit que les traitements de données à caractère personnel dans le domaine de la santé ne peuvent être mis en œuvre qu’après autorisation de la CNIL ou à la condition d’être conformes à un référentiel mentionné au II de cet article et ce, au regard de l’intérêt public qu’ils présentent.

238. Le rapporteur relève que les études que la société IQVIA réalise, pour son propre compte, à partir des données figurant dans l’entrepôt LRX, ne font l’objet d’aucune autorisation de la Commission et ne sont pas non plus conformes à l’un des référentiels visés à l’article 66 précité, faute d’information préalable et individuelle des patients. Il estime dès lors qu’un manquement à ces dispositions est caractérisé.

239. En défense, la société indique que, pour réaliser les études en cause, elle se fonde sur la déclaration de conformité à la méthodologie de référence MR-004 déposée auprès de la CNIL le 31 juillet 2018. Elle considère que l’information des personnes est correctement effectuée et qu’elle peut donc se prévaloir de cette méthodologie.

240. La formation restreinte relève qu’il ressort de l’instruction que la société IQVIA réalise, pour son propre compte, des études à partir des données de l’entrepôt LRX. Ces études, relatives à l’analyse de la prise en charge des patients traités pour diverses pathologies, constituent des traitements concernant la santé des personnes et sont, à ce titre, soumis aux dispositions de l’article 66 de la loi Informatique et Libertés. Il convient dès lors de déterminer si ces traitements pouvaient valablement être mis en œuvre, soit parce qu’ils bénéficiaient d’une autorisation de la Commission, soit en raison de leur conformité à une méthodologie de référence.

241. En premier lieu, la formation restreinte prend acte que si, lors du contrôle effectué dans les locaux de la société, celle-ci avait indiqué que les études réalisées pour son compte s’appuyaient sur l’autorisation LRX (à l’exception de celles pour lesquelles un chaînage était réalisé, qui faisaient l’objet d’une autorisation spécifique), elle a par la suite, d’abord dans le cadre de ses échanges avec la délégation, puis dans ses observations en réponse au rapport de sanction, indiqué que ces études étaient en réalité menées sur la base de sa déclaration de conformité à la méthodologie de référence MR-004.

242. En tout état de cause, la délibération n° 2018-289 relative à l’entrepôt LRX est rédigée de la manière suivante : " la Commission autorise la société IQVIA Opérations France à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, issues des données des pharmacies d’officine. […] Elle rappelle que les traitements de données de santé à caractère personnel qui seront mis en œuvre ultérieurement à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont des traitements distincts qui doivent faire l’objet, par la société IQVIA, de formalités propres prévues au chapitre IX section 2 de la loi ".

243. La formation restreinte relève ainsi que l’autorisation délivrée concerne exclusivement la constitution de l’entrepôt LRX, et exclut expressément de son champ les études réalisées à partir de cet entrepôt.

244. La société ne peut donc se prévaloir de cette autorisation pour réaliser les études en cause.

245. En second lieu, la formation restreinte relève que, le 31 juillet 2018, la société a déposé auprès de la CNIL une déclaration de conformité au référentiel de méthodologie de référence MR-004. Cette déclaration a fait l’objet d’un récépissé en date du 7 août 2018.

246. La formation restreinte rappelle que cette méthodologie de référence, qui a vocation à encadrer les traitements de données à caractère personnel à des fins d’étude, évaluation ou recherche n’impliquant pas la personne humaine (en particulier les études portant sur la réutilisation de données), pose un certain nombre de conditions devant être respectées par l’organisme qui entend s’en prévaloir.

247. Elle exige notamment qu’outre l’affichage d’une information générale permettant aux personnes concernées d’avoir connaissance des activités de recherche réalisées, ces dernières soient individuellement informées, pour chaque projet pour lequel leurs données font l’objet du traitement, de l’ensemble des mentions prévues aux articles 13 et 14 du RGPD (identité et coordonnées du responsable de traitement, coordonnées du délégué à la protection des données, finalités et base juridique du traitement, nature des informations utilisées, destinataires ou catégories de destinataires des données, droits dont elles disposent ou encore durée de conservation des données).

248. La MR-004 prévoit que, par exception, lorsque les données n’ont pas été recueillies spécifiquement à des fins de recherche, elles peuvent faire l’objet d’une réutilisation sans qu’il soit procédé à une nouvelle information individuelle des personnes concernées, soit si celles-ci disposent déjà des informations (par exemple, lorsque plusieurs projets de recherche sont menés par un même responsable de traitement avec des finalités, des catégories de données et des destinataires identiques), soit lorsque l’information délivrée lors de la collecte prévoit la possibilité de réutiliser les données et renvoie à un dispositif spécifique d’information auquel les personnes concernées pourront se reporter préalablement à la mise en œuvre de chaque nouveau traitement (par exemple, un site web sur lequel serait présenté chaque projet de recherche).

249. En l’espèce, la formation restreinte relève que les données utilisées dans le cadre des études réalisées par la société ont initialement été collectées dans le but de constituer l’entrepôt de données de santé LRX. Ainsi, si la MR-004 autorise leur réutilisation, c’est à la condition que les personnes concernées en soient individuellement et préalablement informées.

250. La société a indiqué à cet égard que cette information se confondait avec celle délivrée aux patients par les officines lors de la collecte des données, la notice élaborée par la société IQVIA faisant état non seulement de la constitution de l’entrepôt LRX mais également des recherches réalisées à partir des données figurant dans l’entrepôt, le détail des études réalisées étant par ailleurs publié sur un site web, auquel renvoie la notice.

251. Or, ainsi qu’il a été démontré aux points 227 et suivants de la présente délibération, les contrôles réalisés par la délégation auprès de quatre officines ont permis de constater que cette notice n’était pas remise aux personnes concernées lors de la collecte de leurs données. Celles-ci n’étaient dès lors informées ni de cette collecte, ni de la réutilisation de leurs données dans le cadre des études réalisées par la société IQVIA.

252. La formation restreinte considère qu’il ressort de ces éléments que la société réalise des études sans respecter la méthodologie de référence MR-004, s’agissant des données collectées par l’intermédiaire des quatre officines ayant fait l’objet de contrôles.

253. Ces études ne sont pas non plus fondées sur la base d’une autorisation délivrée par la CNIL, dès lors que l’autorisation n° 2018-289 exclut expressément de son champ les études ultérieures réalisées à partir de l’entrepôt LRX, comme précisé aux points 241 à 244 de la présente délibération, et qu’aucune autre autorisation spécifique permettant ces études n’a été délivrée.

254. Au vu de l’ensemble de ce qui précède, la formation restreinte considère qu’un manquement à l’article 66 de la loi Informatique et Libertés est constitué, la société ayant réutilisé les données de l’entrepôt LRX collectées par l’intermédiaire des quatre officines contrôlées à des fins de réalisation d’études en dehors du cadre légal applicable.

255. La formation restreinte entend préciser que, contrairement à ce que soutient la société, un tel manquement ne saurait se confondre avec celui qui lui est reproché au titre de l’article 14 du RGPD, même si tous deux découlent de l’absence d’information délivrée aux personnes concernées. Le manquement à l’article 14 du RGPD constitue en effet un manquement autonome, qui concerne la constitution de l’entrepôt LRX, et qui se trouve caractérisé indépendamment de toute réutilisation ultérieure des données. Le manquement à l’article 66 de la loi Informatique et Libertés a trait, pour sa part, aux conditions dans lesquelles ces données peuvent être réutilisées, l’absence d’information des personnes concernées interdisant à la société de se prévaloir de la MR-004 et de pouvoir ainsi réaliser des études sans autorisation préalable de la CNIL. Les éléments constitutifs de ces manquements, tout comme leurs effets, apparaissent donc bien distincts.

F. Sur le manquement à l’article 25 du RGPD, s’agissant de l’entrepôt LRX

256. En droit, l’article 25 du RGPD dispose que " 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée ".

257. Le Comité européen de la protection des données (ci-après, « le CEPD ») précise, dans ses lignes directrices 4/2019 relatives à l’article 25 adoptées le 20 octobre 2020, que " le responsable du traitement devrait choisir et répondre de la mise en œuvre des paramètres et des options de traitement par défaut, de manière à ce que seul le traitement qui est strictement nécessaire pour atteindre la finalité licite prévue soit effectué par défaut. Dans ce contexte, les responsables du traitement doivent s’appuyer sur leur évaluation de la nécessité du traitement au regard des fondements juridiques visés à l’article 6, paragraphe 1. Il s’ensuit que, par défaut, le responsable du traitement ne doit ni collecter plus de données que nécessaire, ni traiter les données collectées plus qu’il n’est nécessaire pour atteindre ses finalités, ni conserver les données plus longtemps que nécessaire. L’exigence fondamentale est que la protection des données soit intégrée par défaut dans le traitement ".

258. Le rapporteur relève que les modules d’extraction de données installés sur les LGO des pharmaciens transmettent systématiquement au premier tiers de confiance, la société [X], les données des patients, et ce même pour les officines ne participant pas au panel LRX. Il considère que cette transmission n’apparait pas justifiée et que la société IQVIA aurait dû prévoir, dès la conception et par défaut, des mesures permettant de s’assurer que les logiciels n’extraient pas les données des patients lorsque le pharmacien refuse cette communication. Le rapporteur estime dès lors qu’un manquement à l’article 25 du RGPD est caractérisé.

259. En défense, dans ses premières et deuxièmes observations en réponse, la société rappelle que les modules installés sur les LGO permettent non seulement d’extraire les données mais également de les pseudonymiser à un premier niveau, et ce avant toute transmission. Elle considère que cette pseudonymisation, expressément citée à l’article 25 du RGPD, permet d’assurer le respect de ces dispositions.

260. Par ailleurs, la société fait valoir qu’il ne peut être soutenu que les données seraient transmises au premier tiers de confiance sans qu’aucune finalité ne le justifie, cette transmission n’étant pas, en tant que telle, un traitement de données à caractère personnel, mais faisant partie d’un processus global de pseudonymisation comprenant différentes phases, validé par la Commission dans le cadre de la délivrance de l’autorisation.

261. Enfin, la société précise n’être destinataire d’aucune donnée qu’elle ne devrait pas recevoir, l’objectif du filtrage réalisé par le premier tiers de confiance étant justement que seules les données des officines participant au panel LRX soient transmises au second tiers de confiance puis à la société IQVIA.

262. Dans le rapport produit le 7 octobre 2025, puis dans ses dernières observations en réponse, la société soutient que, dans la mesure où c’est le pharmacien qui est responsable de la communication des données de ses clients à la société [X], le manquement à l’article 25 du RGPD, relatif à cette transmission, ne peut lui être imputable.

263. La formation restreinte relève qu’il ressort de l’instruction que la société IQVIA a chargé les éditeurs de LGO de développer, en son nom et pour son compte, des modules d’extraction de données répondant tous à un même cahier des charges, élaboré par IQVIA. Ces modules, intégrés aux LGO de l’ensemble des pharmaciens ayant contracté avec la société, permettent d’extraire les données et de générer un flux (« flux Pharmastat »), qui comprend non seulement les données relatives aux ventes de médicaments, mais également le code d’identification du patient, généré par le module à l’aide d’une fonction de hachage, et ce même dans l’hypothèse où le pharmacien a choisi de ne pas participer au panel LRX, et donc de ne pas transmettre les données relatives aux patients (ce qui est le cas d’environ 4 000 officines sur les 14 000 ayant contracté avec la société IQVIA).

264. Ce flux est ensuite transmis au premier tiers de confiance désigné par la société IQVIA, la société [X], à qui il appartient d’effectuer un tri entre les données des patients des officines participant au panel LRX (et qui ont donc vocation à être transmises au second tiers de confiance, puis à la société IQVIA), et celles des patients des officines ne participant pas à ce panel. Le contrat de prestation passé entre IQVIA et la société [X] prévoit à cet égard que la société IQVIA met à disposition de la société [X] la liste des " panélistes pour lesquels le traitement puis la transmission des données doit être effectuée en distinguant : – la liste des panélistes participant au projet Pharmastat [la participation au projet Pharmastat étant entendue comme la transmission à la société IQVIA des seules données relatives aux ventes de médicaments, à l’exclusion des données relatives aux patients] – la liste des panélistes participant à l’étude LRX […]. Sur la base des listes fournies par IQVIA, le tiers de confiance s’oblige à limiter les traitements des données de chaque panéliste au(x) projet(s) pour le(s)quel(s) il participe […] ".

265. Il apparait ainsi que, même dans l’hypothèse où l’officine a choisi de ne pas transmettre les données de ses patients, ces données sont néanmoins systématiquement transmises, via les modules extracteurs, au premier tiers de confiance.

266. La formation restreinte rappelle que l’article 25 du RGPD, tel qu’éclairé par les lignes directrices du CEPD précitées, impose au responsable de traitement de s’assurer que, dès la conception et par défaut, seules les données à caractère personnel nécessaires à l’atteinte de la finalité sont traitées.

267. Or, en l’espèce, la transmission systématique à la société [X] de données que les pharmaciens ont refusé de communiquer, et qui n’ont donc pas vocation à être traitées dans le cadre du panel LRX, n’est pas justifiée et ne répond pas à la finalité poursuivie par ce traitement.

268. La formation restreinte rappelle également que, contrairement à ce que soutient la société, cette transmission au premier tiers de confiance constitue bien, en tant que telle, une opération de traitement au titre de l’article 4, point 2 du RGPD, et ce quand bien même la société IQVIA ne serait in fine pas destinataire de ces données, ou que cette opération s’inscrirait dans un processus plus global de pseudonymisation (et, de manière générale, dans un traitement unique). La formation restreinte relève qu’en tout état de cause, les données provenant des officines qui ne participent pas au panel LRX n’ont pas vocation à être pseudonymisées, puisqu’elles ne devraient pas du tout être traitées.

269. En sa qualité de responsable de traitement et de propriétaire des modules d’extraction, la société aurait dû s’assurer que les données des patients ne soient pas extraites lorsque le pharmacien refuse leur transmission. Le filtrage confié par la société IQVIA à la société [X] aurait ainsi dû intervenir en amont, au niveau du LGO, afin que la société [X] ne soit pas destinataire de données qu’elle n’avait vocation ni à traiter ni à transmettre, ce que confirme la société IQVIA. La formation retreinte rappelle à cet égard que, si les modules extracteurs ont été développés par les éditeurs de LGO, c’est bien la société IQVIA qui a déterminé le contenu du flux transmis au premier tiers de confiance, via le cahier des charges imposé aux éditeurs.

270. Compte tenu de l’ensemble de ces éléments, la formation restreinte considère que la société IQVIA n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, dès la conception et par défaut, seules les données à caractère personnel qui sont nécessaires au regard des finalités du traitement sont traitées. Un manquement à l’article 25 du RGPD est dès lors constitué.

III. SUR LES MESURES CORRECTRICES ET LEUR PUBLICITÉ

271. En droit, aux termes de l’article 20-IV de la loi n° 78-17 du 6 janvier 1978 modifiée, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans les cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte ;

7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 ".

272. L’article 83 du RGPD prévoit en outre que « chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives », avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

273. Le considérant 150 du RGPD précise que « lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne ».

274. Les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 indiquent quant à elles que la notion d’entreprise doit s’entendre comme " une unité économique pouvant être formée par la société mère et toutes les filiales concernées. Conformément au droit et à la jurisprudence de l’Union, il y a lieu d’entendre par entreprise l’unité économique engagée dans des activités commerciales ou économiques, quelle que soit la personne morale impliquée ".

275. Par un arrêt du 5 décembre 2023 (CJUE, grande chambre, C-807/21, « Deutsche Wohnen »), la CUJE a considéré, s’agissant de la notion d’ « entreprise » qu’" ainsi que l’a relevé M. l’avocat général au point 45 de ses conclusions, c’est dans ce contexte spécifique du calcul des amendes administratives imposées pour des violations visées à l’article 83, paragraphes 4 à 6, du RGPD qu’il y a lieu d’appréhender le renvoi, effectué au considérant 150 de ce règlement, à la notion d’« entreprise », au sens des articles 101 et 102 TFUE. À cet égard, il convient de souligner que, aux fins de l’application des règles de la concurrence, visées par les articles 101 et 102 TFUE, cette notion comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement. Elle désigne ainsi une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales. Cette unité économique consiste en une organisation unitaire d’éléments personnels, matériels et immatériels poursuivant de façon durable un but économique déterminé (arrêt du 6 octobre 2021, Sumal, C 882/19, EU:C:2021:800, point 41 et jurisprudence citée). Ainsi, il ressort de l’article 83, paragraphes 4 à 6, du RGPD, qui vise le calcul des amendes administratives pour les violations énumérées dans ces paragraphes, que, dans le cas où le destinataire de l’amende administrative est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, le montant maximal de l’amende administrative est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise concernée. En définitive, ainsi que M. l’avocat général l’a relevé au point 47 de ses conclusions, seule une amende administrative dont le montant est déterminé en fonction de la capacité économique réelle ou matérielle de son destinataire, et donc imposée par l’autorité de contrôle en se fondant, en ce qui concerne le montant de celle-ci, sur la notion d’unité économique au sens de la jurisprudence citée au point 56 du présent arrêt, est susceptible de réunir les trois conditions énoncées à l’article 83, paragraphe 1, du RGPD, à savoir d’être à la fois effective, proportionnée et dissuasive. Dès lors, lorsqu’une autorité de contrôle décide, au titre des pouvoirs qu’elle détient en vertu de l’article 58, paragraphe 2, du RGPD, d’imposer à un responsable du traitement, qui est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, une amende administrative en application de l’article 83 dudit règlement, cette autorité est tenue de se fonder, en vertu de cette dernière disposition, lue à la lumière du considérant 150 du même règlement, lors du calcul des amendes administratives pour les violations visées aux paragraphes 4 à 6 de cet article 83, sur la notion d’« entreprise », au sens de ces articles 101 et 102 TFUE " (paragraphes 55 à 59).

276. Cette position a été confirmée par la Cour dans un arrêt du 13 février 2025 (CJUE, cinquième chambre, C-383/23, « Ilva A/S »).

277. Enfin, l’article 22, alinéa 2 de la loi Informatique et Libertés dispose que " la formation restreinte peut rendre publique les mesures qu’elle prend ".

A. Sur le prononcé d’une amende administrative et son montant

278. Le rapporteur propose à la formation restreinte de prononcer à l’encontre de la société une amende administrative au regard des manquements constitués aux articles 66 de la loi Informatique et Libertés, 14 et 25 du RGPD.

279. En défense, la société considère que, si des manquements devaient être caractérisés, ils ne sauraient présenter le degré de gravité évoqué par le rapporteur. Elle insiste à cet égard sur la durée de la procédure et considère que, si les manquements relevés avaient été graves, la CNIL aurait dû faire preuve de célérité pour les faire cesser.

280. La société met également en avant les mesures de pseudonymisation renforcée des données mises en œuvre, permettant selon elle de réduire considérablement les risques en matière de sécurité.

281. En outre, la société fait valoir que le chiffre d’affaires mondial du groupe IQVIA ne constitue pas un critère pertinent permettant de fixer le montant de la sanction, la proportionnalité de ce montant devant selon elle s’apprécier au regard du chiffre d’affaires des produits concernés par les manquements retenus. Elle rappelle ainsi que les entrepôts LRX et EMR relèvent de la société IQVIA OPERATIONS FRANCE, unique responsable de traitement, et qu’ils ne représentent qu’une très faible part du chiffre d’affaires de cette société, ayant généré environ […] en 2022 et […] en 2023 (soit […] % du chiffre d’affaires total de la société).

282. Elle considère également que le montant proposé par le rapporteur est injuste et disproportionné au regard d’autres sanctions prononcées par la CNIL.

283. Elle demande ainsi à la formation restreinte de ne pas prononcer de sanction à son encontre.

284. La formation restreinte considère qu’il convient, en l’espèce, d’examiner les critères pertinents de l’article 83 du RGPD pour décider s’il y a lieu d’imposer une amende administrative à la société et, le cas échéant, pour déterminer son montant.

1. Sur le prononcé de l’amende

285. En premier lieu, la formation restreinte considère qu’il y a lieu de tenir compte, en application de l’article 83, paragraphe 2, g) du RGPD, des catégories de données à caractère personnel concernées par les violations.

286. Elle relève à cet égard que l’ensemble des données dont il est question dans le cadre de la présente procédure sont relatives à la santé des personnes et constituent, à ce titre, des données « sensibles » au sens de l’article 9 du RGPD, qui bénéficient d’une protection particulière et dont le traitement est particulièrement encadré. Il apparait ainsi essentiel que l’organisme autorisé à traiter de telles données se montre particulièrement vigilant au respect des règles imposées à la fois par le législateur et par l’autorité ayant délivré l’autorisation. Or, ce sont ces règles qui, en l’espèce, n’ont pas été respectées par la société, étant précisé qu’elle a été le premier acteur privé à être autorisé par la CNIL à mettre en œuvre un entrepôt de données de santé en considération de la finalité d’intérêt public présentée. La formation restreinte considère qu’elle aurait dû, à ce titre, se montrer d’autant plus irréprochable quant au respect des termes de l’autorisation délivrée.

287. La formation restreinte entend néanmoins également tenir compte du fait que les données figurant dans les entrepôts LRX et EMR étaient des données pseudonymisées, non directement identifiantes. Ainsi, et bien qu’elles restent des données « sensibles », dont la compromission serait susceptible d’avoir un impact majeur sur les personnes concernées, les mesures prises par le responsable de traitement pour garantir que ces données ne puissent pas être attribuées à une personne précise sans avoir recours à des informations complémentaires doivent être prises en considération au stade de l’appréciation de la sanction.

288. En deuxième lieu, la formation restreinte entend tenir compte du critère prévu à l’article 83, paragraphe 2, a) du RGPD, relatif à la nature, à la gravité et à la durée des violations, compte tenu de la nature, de la portée ou de la finalité des traitements concernés, ainsi que du nombre de personnes concernées affectées et du niveau de dommage qu’elles ont subi.

289. Elle relève tout d’abord le caractère massif des traitements mis en œuvre, lesquels affectent ou sont susceptibles d’affecter plusieurs dizaines de millions de personnes. À titre d’exemple, la société évoque, dans sa plaquette de présentation du traitement LRX à destination des pharmaciens, 20 millions de patients suivis dans le temps. S’agissant de l’entrepôt EMR, la société a indiqué que les données y figurant provenaient des patients de 2 000 médecins partenaires, alors que dans sa plaquette de présentation de l’observation Médical 21, elle évoque 3 000 médecins partenaires. Le nombre de personnes concernées apparait en tout état de cause particulièrement élevé, certains des manquements concernés affectant l’ensemble des patients dont les données sont traitées au sein des deux entrepôts, tels ceux relatifs à la sécurité et à la confidentialité des données.

290. La formation restreinte relève ensuite que les manquements en cause présentent une gravité avérée, notamment en matière d’information, le traitement de leurs données de santé ayant pu être fait sans que les personnes en aient conscience, et aient été mises à même d’exercer effectivement leurs droits. La formation restreinte rappelle à cet égard les circonstances dans lesquelles ces données sont collectées par la société, de manière indirecte, à l’occasion d’achats de médicaments dans les pharmacies ou de consultations médicales. Ainsi, non seulement les personnes concernées ne prennent pas l’initiative de transmettre leurs données à la société IQVIA, mais il doit également être souligné que le contexte de la collecte (maladie, urgence, stress) est susceptible de réduire leur vigilance en matière de protection des données. Il est dès lors d’autant plus essentiel de leur procurer une information claire et complète, leur permettant le cas échéant de pouvoir exercer les droits dont elles disposent.

291. Il en va de même des manquements relevés en matière de sécurité, le risque de violation de données étant élevé compte tenu de la nature des données en cause. L’ANSSI précise à cet égard, dans son rapport sur l’état de la menace informatique dans le secteur de la santé daté du 7 novembre 2024, que " les entités du secteur de la santé sont détentrices de données de nature variée, qui incluent des données personnelles, médicales, d’authentification, de paiement, et stratégiques […] [qui] ont une valeur importante à la revente ".

292. S’agissant du manquement à l’article 25 du RGPD, la formation restreinte relève que la société avait entièrement la main sur les modules d’extraction des données, développés en son nom et pour son compte par les éditeurs de LGO, et qu’elle aurait ainsi dû mettre en œuvre des mesures permettant d’assurer la protection des données dès la conception et par défaut.

293. S’agissant enfin de l’information inexacte fournie aux patients sur la durée de conservation des données, la formation restreinte considère que le manquement est constitué mais qu’il revêt une gravité moindre.

294. En troisième lieu, la formation restreinte entend tenir compte du critère prévu à l’article 83, paragraphe 2, b) du RGPD, relatif au fait que la violation ait été commise délibérément ou par négligence.

295. Elle considère que la multiplicité des manquements relevés témoigne d’une négligence certaine de la part de la société, alors même que les conditions posées par les autorisations délivrées par la CNIL étaient rédigées en des termes très clairs.

296. En outre, elle estime que cette négligence revêt une particulière gravité au regard du secteur d’activité de la société et de sa position sur le marché, cette dernière se présentant comme le « leader mondial de la recherche clinique et de la donnée de santé ». Ainsi, le traitement des données de santé étant l’objet principal et historique de son activité, elle ne saurait ignorer les obligations qui lui incombent en la matière et les conditions dans lesquelles elle peut légalement exercer son activité. La formation restreinte relève en outre que la société dispose des ressources humaines, techniques et financières suffisantes pour s’assurer d’un respect scrupuleux des règles relatives à la protection des données à caractère personnel.

297. Pour l’ensemble de ces raisons, la formation restreinte considère que le prononcé d’une amende administrative s’impose.

2. Sur le montant de l’amende

298. La formation restreinte relève d’abord qu’en application de l’article 83 du RGPD, une amende administrative pouvant atteindre 20 millions d’euros ou, s’agissant d’une entreprise, 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, est susceptible d’être prononcée.

299. En premier lieu, la formation restreinte rappelle que, comme cela est détaillé aux points 273 à 276, pour déterminer le plafond de l’amende encourue, mais également pour s’assurer de son caractère effectif, dissuasif et proportionné, il convient de recourir à la notion d’« entreprise » en droit de la concurrence, en vertu de la référence directe et explicite opérée à cette notion par le considérant 150 du RGPD ainsi que par les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679.

300. La formation restreinte relève que dans son arrêt précité du 5 décembre 2023, la CJUE rappelle qu’une entreprise est une unité économique, même si du point de vue juridique cette unité économique est constituée de plusieurs personnes morales. La CJUE précise qu’à l’instar du droit de la concurrence (Cour de Cassation, ch. com., 7 juin 2023, pourvoi n° 22-10.545 ; Autorité de la concurrence, décisions n° 21-D-10 du 3 mai 2021 et n° 21-D-28 du 9 décembre 2021), lorsqu’une filiale est détenue directement ou indirectement à 100 % par sa maison mère, " d’une part cette société mère peut exercer une influence déterminante sur le comportement de cette filiale (…) et, d’autre part, il existe une présomption réfragable selon laquelle ladite société mère exerce effectivement une influence déterminante sur le comportement de sa filiale " (CJUE, 10 septembre 2009, C-97/08, point 60).

301. Pour déterminer le montant de l’amende envisagée, et qu’il corresponde à la capacité économique réelle de son destinataire, il convient alors, si les deux sociétés peuvent matériellement être regardées comme relevant de la même unité économique, de prendre en compte le chiffre d’affaires de la maison mère afin que l’amende soit effective, proportionnée et dissuasive (CJUE, cinquième chambre, C-383/23, « Ilva A/S », points 22 à 29).

302. En l’espèce, la formation restreinte rappelle que la société IQVIA HOLDINGS INC., dont le siège est situé aux Etats-Unis, détient à 100 % la société IQVIA OPERATIONS FRANCE. Elle considère ainsi que, conformément à la jurisprudence de la CJUE précitée, il existe une présomption selon laquelle la société IQVIA HOLDINGS INC. exerce une influence déterminante sur le comportement de sa filiale, la société IQVIA OPERATIONS FRANCE, sur le marché.

303. En outre, la formation restreinte relève que le groupe IQVIA se présente, notamment sur son site web www.iqvia.com, comme une seule et unique entité, « leader mondial de la recherche clinique et de la donnée de santé », traitant plus de 120 milliards de données de santé par an et réalisant plus de 500 études dans plus de 75 pays. Elle considère que ces éléments viennent corroborer le fait que les sociétés IQVIA HOLDINGS INC. et IQVIA OPERATIONS FRANCE constituent une seule entité économique et forment donc une seule entreprise au sens de l’article 101 du TFUE.

304. Par ailleurs, la formation restreinte considère que, contrairement à ce que soutient la société, le caractère proportionné et dissuasif de l’amende ne s’apprécie pas exclusivement au regard des revenus générés par l’activité en cause (certains organismes ne tirant par ailleurs aucun profit économique des traitements mis en œuvre), mais bien au regard de la gravité des manquements constatés et des capacités financières, non pas de l’entité responsable de traitement, mais de l’entreprise concernée.

305. Compte tenu de ce qui précède, la formation restreinte considère qu’il y a lieu, pour déterminer le montant de l’amende, de retenir le chiffre d’affaires de l’entreprise au sens d’« unité économique », à savoir celui de la société IQVIA HOLDINGS INC., qui s’est élevé, en 2023, à 15 milliards de dollars, soit environ 12,9 milliards d’euros, pour un bénéfice de 1,3 milliard de dollars, soit environ 1,1 milliard d’euros. Elle rappelle par ailleurs que le chiffre d’affaires de la société IQVIA OPERATIONS FRANCE s’est élevé, la même année, à 152,6 millions d’euros, pour un résultat net de 23,3 millions d’euros.

306. Ainsi, au regard de la responsabilité de la société, de ses capacités financières ainsi que de celles de sa maison mère et des critères pertinents de l’article 83 du RGPD, la formation restreinte considère qu’une amende administrative d’un montant de cinq millions (5 000 000) d’euros apparait dissuasive et proportionnée pour sanctionner les manquements aux articles 66 de la loi Informatique et Libertés, 14 et 25 du RGPD.

B. Sur le prononcé d’injonctions sous astreinte

307. Le rapporteur estime dans ses écritures que le prononcé d’injonctions sous astreinte est nécessaire afin d’assurer la mise en conformité de la société. Lors de la séance du 26 mars 2026, il a indiqué considérer, au regard des derniers éléments apportés par la société, qu’une telle injonction n’était plus nécessaire s’agissant des manquements relatifs à la sécurité et à la confidentialité des données.

308. La société demande à la formation restreinte de ne pas prononcer d’injonction.

309. La formation restreinte considère, s’agissant des manquements relatifs à la sécurité et à la confidentialité des données, que la société a dument justifié avoir mis en place des mesures permettant d’assurer le respect des prescriptions des autorisations délivrées. Il n’y a dès lors pas lieu de prononcer une injonction sur ce point. La formation restreinte rappelle néanmoins qu’il appartient à la société de " s’assurer de façon continue que les mesures de sécurité mises en place permettent de garantir que les risques sur les personnes restent à un niveau acceptable « et que » cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques ".

310. S’agissant des autres manquements relevés, la formation restreinte observe que la société n’a, depuis l’engagement de la procédure, apporté aucun élément qui permettrait de considérer qu’elle a adopté ou même initié des mesures permettant d’assurer sa mise en conformité. Dès lors, le prononcé d’injonctions s’impose.

311. En premier lieu, s’agissant de l’entrepôt EMR, la formation restreinte considère, d’une part, que la société doit délivrer aux patients dont les données sont collectées une information exacte et complète quant aux traitements réalisés, s’agissant notamment de la durée de conservation de ces données et, d’autre part, mettre en œuvre des mesures permettant d’assurer la prise en compte effective du droit d’opposition des patients, en permettant par exemple à ces derniers de s’opposer aux traitements réalisés au sein de l’entrepôt directement auprès du médecin.

312. En deuxième lieu, s’agissant du manquement à l’article 14 du RGPD, la formation restreinte considère que la société doit prendre des mesures permettant de s’assurer que les officines partenaires respectent leurs engagements contractuels et informent les patients de la transmission de leurs données à IQVIA. Elle rappelle en outre que nonobstant le déploiement de mesures de vérifications que la société doit mettre en œuvre dans le cadre de l’injonction, elle demeure en définitive responsable de la délivrance effective de cette information.

313. En troisième lieu, s’agissant des études réalisées à partir de l’entrepôt LRX, la formation restreinte considère que la société doit cesser de procéder à de telles études en l’absence d’une autorisation de la CNIL ou en l’absence de conformité à la méthodologie de référence MR-004.

314. Enfin, en quatrième et dernier lieu, s’agissant du manquement à l’article 25 du RGPD, la formation restreinte considère que la société doit mettre en œuvre des mesures organisationnelles et techniques permettant de s’assurer que les logiciels de gestion d’officine n’extraient pas les données des patients lorsque le pharmacien a refusé la transmission de celles-ci à la société IQVIA.

315. Pour garantir le respect des injonctions prononcées, la formation restreinte considère qu’au regard du chiffre d’affaires de la société et des moyens financiers, humains et techniques dont elle dispose pour remédier aux manquements, il convient de prononcer une astreinte journalière d’un montant de dix mille (10 000) euros par jour de retard, liquidable à l’issue d’un délai de six (6) mois à compter de la notification de la présente décision.

C. Sur la publicité de la sanction

316. Le rapporteur considère que la décision de la formation restreinte doit être rendue publique.

317. La société estime quant à elle qu’une telle publication serait injuste et disproportionnée au regard de toutes les mesures qu’elle a mises en œuvre pour assurer la protection des données.

318. La formation restreinte considère au contraire que la publication de la décision s’impose au regard de la gravité des manquements en cause, du nombre de personnes concernées ainsi que de la nature des données traitées.

319. Elle estime en outre que cette mesure apparait proportionnée dès lors que la décision n’identifiera plus nommément la société à l’issue d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

• prononcer une amende administrative à l’encontre de la société IQVIA OPERATIONS FRANCE d’un montant de cinq millions (5 000 000) d’euros pour manquements aux articles 66 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et 14 et 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

• prononcer une injonction à l’encontre de la société IQVIA OPERATIONS FRANCE de mettre en conformité ses traitements avec les dispositions des articles 66 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, 14 et 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, et en particulier :

o s’agissant de l’entrepôt EMR :

— délivrer aux patients dont les données sont collectées une information exacte et complète quant aux traitements réalisés, s’agissant notamment de la durée de conservation de ces données ;

— mettre en œuvre des mesures permettant d’assurer la prise en compte effective du droit d’opposition des patients, en permettant par exemple à ces derniers de s’opposer aux traitements réalisés au sein de l’entrepôt directement auprès du médecin.

o s’agissant du manquement à l’article 14 du RGPD, prendre des mesures permettant de s’assurer que les officines partenaires respectent leurs engagements contractuels et informent les patients de la transmission de leurs données à la société IQVIA OPERATIONS FRANCE ;

o s’agissant des études réalisées à partir de l’entrepôt LRX, cesser de procéder à de telles études en l’absence d’une autorisation de la CNIL ou en l’absence de conformité à la méthodologie de référence MR-004 ;

o s’agissant du manquement à l’article 25 du RGPD, mettre en œuvre des mesures organisationnelles et techniques permettant de s’assurer que les modules intégrés aux logiciels de gestion d’officine n’extraient pas les données des patients lorsque le pharmacien a refusé la transmission de celles-ci à la société IQVIA OPERATIONS FRANCE.

• assortir l’injonction d’une astreinte de dix mille (10 000) euros par jour de retard à l’issue d’un délai de six (6) mois suivant la notification de la délibération de la formation restreinte ;

• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.

Le président

Philippe-Pierre CABOURDIN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.