La Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 5 millions d’euros à Iqvia France, filiale du groupe américain Iqvia, pour des manquements dans la gestion de données de santé concernant plusieurs dizaines de millions de personnes.
Une amende pour Iqvia en France
Iqvia France réalise des études sur des maladies et des traitements pour son propre compte ou pour des laboratoires pharmaceutiques. Pour ces travaux, la société exploite deux entrepôts de données de santé autorisés par la CNIL : le premier alimenté par des données collectées auprès d’environ 14 000 pharmacies, le second par des données issues de plusieurs milliers de médecins. La CNIL avait assorti ces autorisations de garanties spécifiques destinées à protéger les droits des personnes concernées et à limiter les risques liés au caractère sensible des données de santé.
L’affaire a démarré à la suite d’un reportage de Cash Investigation diffusé en mai 2021 qui avait conduit des particuliers et des associations à saisir la CNIL pour dénoncer un manque de transparence dans le traitement des données patients. Après plusieurs contrôles menés auprès d’Iqvia France et de pharmacies partenaires, la CNIL a conclu que la société n’avait pas respecté les termes des autorisations délivrées, notamment sur l’information des personnes, l’exercice de leurs droits et la sécurité des données.
La CNIL a fixé le montant de l’amende en tenant compte de la gravité des manquements, du volume de personnes concernées, de la position de marché d’Iqvia France et de ses capacités financières. En parallèle, la commission a prononcé des injonctions imposant à la société de corriger certains manquements dans un délai de six mois, sous peine d’une astreinte de 10 000 euros par jour de retard.
Iqvia France a pris acte de la décision et se réserve le droit de faire appel. La société affirme que « les mesures de sécurité identifiées ont été mises en place » et que « toutes les données de santé utilisées pour nos études statistiques sont pseudonymisées via des tiers de confiance et des processus de chiffrement robustes », précisant qu’elles « ne contiennent pas l’identité des personnes afin de respecter leur anonymat ».
