Le 26 mai 2026, la CNIL a prononcé une amende de 5 millions d'euros à l'encontre de la société IQVIA Operations France à la suite de contrôles portant sur deux entrepôts de données de santé.
Cette décision intervient dans un contexte où les projets fondés sur la valorisation des données se multiplient, notamment dans les domaines de la santé, de la recherche, de l'intelligence artificielle ou encore de l'analyse statistique.
Quels enseignements les entreprises peuvent-elles tirer de cette nouvelle sanction ?
1. Pseudonymisation et anonymisation : une distinction qui reste fondamentale
L'un des points les plus intéressants de cette décision concerne la qualification des données traitées.
IQVIA soutenait que les données exploitées dans le cadre de ses activités étaient anonymes. La formation restreinte de la CNIL a considéré au contraire qu'il demeurait possible, au moyen d'informations complémentaires et de moyens raisonnablement susceptibles d'être mis en œuvre, de réidentifier les personnes concernées.
Les données en question ont donc été qualifiées de données pseudonymisées et non de données anonymisées.
Cette distinction est loin d'être purement théorique.
Une donnée anonymisée sort du champ d'application du RGPD. À l'inverse, une donnée pseudonymisée demeure une donnée à caractère personnel et continue de bénéficier de l'ensemble des protections prévues par le règlement.
Ce point mérite d'être souligné dans un contexte européen marqué par une volonté croissante de faciliter le partage et la réutilisation des données, notamment dans le secteur de la santé. Les discussions ayant entouré l'European Health Data Space (EHDS) ont notamment remis au centre du débat la question du statut des données pseudonymisées.
La décision de la CNIL rappelle que la pseudonymisation constitue une mesure de protection utile, mais qu'elle ne transforme pas les données personnelles en données anonymes.
2. L'information des personnes concernées ne peut pas être considérée comme une simple formalité
La sanction repose également sur des manquements liés à l'information des personnes concernées.
Dans le dispositif mis en place, l'information des patients reposait notamment sur les officines participant à la collecte des données.
La CNIL a toutefois considéré que les mesures mises en œuvre ne permettaient pas de garantir de manière satisfaisante que les personnes concernées recevaient effectivement l'information requise par le RGPD.
Cet aspect de la décision mérite une attention particulière.
Dans de nombreux projets impliquant plusieurs acteurs, l'information des personnes concernées est souvent confiée à un partenaire, un prestataire ou un intermédiaire opérationnel.
Pour autant, le responsable de traitement reste responsable de la bonne exécution de cette obligation.
La décision rappelle ainsi qu'il ne suffit pas de prévoir contractuellement qu'un tiers assurera l'information des personnes concernées. Encore faut-il être en mesure de démontrer que cette information est effectivement délivrée dans des conditions conformes au RGPD.
3. Les droits des personnes concernées doivent pouvoir être exercés en pratique
La sanction repose également sur des insuffisances relevées par la CNIL concernant les modalités d'exercice des droits des personnes concernées.
Ce point est particulièrement intéressant car il rappelle une difficulté fréquemment rencontrée dans les projets impliquant plusieurs acteurs et plusieurs flux de données.
Le RGPD ne se limite pas à reconnaître des droits aux personnes concernées. Encore faut-il que les mécanismes permettant leur exercice soient effectivement opérationnels.
Lorsqu'une organisation traite des données issues de différentes sources ou s'appuie sur plusieurs intermédiaires pour les collecter et les exploiter, elle doit être en mesure d'identifier les données concernées et de traiter efficacement les demandes reçues.
En pratique, cela suppose notamment :
-
une répartition claire des responsabilités entre les différents acteurs ;
-
des procédures documentées ;
-
des mécanismes permettant de retrouver les données concernées ;
-
une capacité à transmettre et traiter les demandes dans les délais prévus par le RGPD.
Cette question est souvent sous-estimée lors de la conception des traitements. Pourtant, les modalités d'exercice des droits doivent être pensées dès l'origine du projet et non uniquement lorsqu'une demande est reçue.
La décision de la CNIL rappelle ainsi qu'il ne suffit pas d'indiquer aux personnes concernées qu'elles disposent de droits. Les organisations doivent également être en mesure de démontrer que leur exercice est réellement possible dans les conditions prévues par la réglementation.
Conclusion
Au-delà du montant de l'amende, la décision du 26 mai 2026 apporte plusieurs enseignements utiles pour l'ensemble des organisations traitant des données personnelles.
Elle rappelle d'abord qu'une donnée pseudonymisée reste une donnée personnelle dès lors qu'une réidentification demeure raisonnablement possible.
Elle rappelle également que l'information des personnes concernées et l'exercice de leurs droits ne constituent pas de simples obligations formelles. Les organisations doivent être en mesure de démontrer que l'information est effectivement portée à la connaissance des personnes concernées et que des mécanismes opérationnels permettent l'exercice effectif de leurs droits.
Enfin, elle met en lumière l'importance de la gouvernance des acteurs participant à une même chaîne de traitement et la nécessité de mettre en place des mécanismes permettant de contrôler la bonne exécution des obligations confiées à des tiers.
Ces sujets dépassent largement le secteur de la santé et concernent aujourd'hui la majorité des projets impliquant la collecte, le partage ou la réutilisation de données personnelles.
