La Commission Nationale de l’Informatique et des Libertés (CNIL) infligé une amende de 5 millions d’euros à Iqvia France, filiale du groupe américain Iqvia, pour des manquements dans la gestion des données de santé concernant plusieurs dizaines de millions de personnes.
Une amende pour Iqvia en France
Iqvia France réalise des études sur les maladies et les traitements pour son propre compte ou pour le compte de laboratoires pharmaceutiques. Pour ces travaux, l’entreprise exploite deux entrepôts de données de santé agréés par la CNIL : le premier alimenté par les données collectées auprès d’environ 14 000 pharmacies, le second par les données de plusieurs milliers de médecins. La CNIL avait accompagné ces autorisations de garanties spécifiques destinées à protéger les droits des personnes concernées et à limiter les risques liés au caractère sensible des données de santé.
L’affaire a commencé à la suite d’un rapport de Enquête sur les espèces diffusée en mai 2021 qui a conduit des particuliers et des associations à saisir la CNIL pour dénoncer un manque de transparence dans le traitement des données des patients. Après plusieurs contrôles effectués auprès d’Iqvia France et des pharmacies partenaires, la CNIL a conclu que l’entreprise n’avait pas respecté les termes des autorisations délivrées, notamment en matière d’information des personnes, d’exercice de leurs droits et de sécurité des données.
La CNIL a fixé le montant de l’amende en tenant compte de la gravité des manquements, du volume de personnes concernées, de la position d’Iqvia France sur le marché et de ses capacités financières. Parallèlement, la commission a émis des injonctions enjoignant à l’entreprise de remédier à certains manquements dans un délai de six mois, sous peine d’une astreinte de 10 000 euros par jour de retard.
Iqvia France a pris note de la décision et se réserve le droit de faire appel. L’entreprise prétend que « les mesures de sécurité identifiées ont été mises en place » et ça « toutes les données de santé utilisées pour nos études statistiques sont pseudonymisées via des tiers de confiance et des procédés de cryptage robustes », précisant qu’elles « ne contiennent pas l’identité des personnes afin de respecter leur anonymat ».
