Pseudonymisation, anonymisation et données de santé : ce que la sanction IQVIA révèle sur une confusion aux conséquences majeures

Sommaire

Introduction
I. Anonymisation et pseudonymisation : deux notions radicalement distinctes
II. L'affaire IQVIA : contexte, faits et décision
III. Les manquements sanctionnés : une lecture juridique détaillée
IV. La question centrale : à partir de quand une donnée est-elle vraiment anonyme ?
V. Ce que cette décision change pour toutes les organisations traitant des données sensibles
VI. Les obligations concrètes à mettre en place
Conclusion

Introduction

Le 26 mai 2026, la formation restreinte de la Commission nationale de l'informatique et des libertés a prononcé une amende de 5 millions d'euros à l'encontre de la société IQVIA Operations France, filiale française d'un groupe américain spécialisé dans les études pharmaceutiques. Cette sanction, fondée sur plusieurs manquements graves au RGPD et à la loi Informatique et Libertés, intervient à la suite d'un reportage du magazine Cash Investigation diffusé en 2021, de plaintes de particuliers et d'associations, et de plusieurs années de contrôles.

Ce qui rend cette décision particulièrement structurante pour l'ensemble des organisations traitant des données sensibles n'est pas uniquement son montant. C'est la question juridique qu'elle tranche de manière nette, et qui avait fait l'objet d'un débat majeur dans le domaine de la protection des données : la pseudonymisation constitue-t-elle une anonymisation suffisante pour sortir du champ d'application du RGPD ?

La réponse de la CNIL est sans ambiguïté : non.

Cette distinction, souvent mal comprise, est pourtant fondamentale. Elle détermine si une organisation est soumise ou non aux obligations du RGPD pour les données qu'elle traite. La confondre — délibérément ou par méconnaissance — expose à des sanctions dont l'affaire IQVIA donne la mesure.

I. Anonymisation et pseudonymisation : deux notions radicalement distinctes

Le RGPD ne s'applique qu'aux données à caractère personnel, c'est-à-dire aux informations permettant d'identifier, directement ou indirectement, une personne physique. Les données véritablement anonymes, au sens où toute réidentification est impossible, échappent au champ d'application du règlement.

Cette frontière est d'une importance juridique considérable. Si une organisation peut démontrer que ses données sont anonymes, elle n'est soumise à aucune des obligations du RGPD pour ces données : ni base légale de traitement, ni information des personnes, ni droits d'accès et d'opposition, ni durée de conservation. C'est précisément l'argument qu'IQVIA a tenté de faire valoir.

L'anonymisation : une condition technique stricte

Une donnée est véritablement anonyme lorsque son processus de transformation est irréversible et rend toute réidentification impossible, y compris en combinant les données disponibles avec d'autres sources d'information. Le Comité européen de la protection des données, comme avant lui le Groupe de travail Article 29, a précisé les critères permettant d'évaluer le caractère anonyme d'une donnée.

Trois risques doivent être évalués et éliminés pour qu'une donnée puisse être considérée comme véritablement anonyme. Le risque d'individualisation désigne la possibilité d'isoler un individu au sein d'un ensemble de données, même sans connaître son identité. Le risque de corrélation désigne la capacité à relier plusieurs enregistrements concernant le même individu au sein d'une même base ou entre différentes bases. Le risque d'inférence désigne la possibilité de déduire des informations sur une personne à partir d'autres données disponibles.

L'anonymisation est donc une qualification technique précise, exigeante, et non un choix déclaratoire. Une organisation ne peut pas décider unilatéralement que ses données sont anonymes sans en apporter la démonstration technique.

La pseudonymisation : une mesure de sécurité, pas une exemption

La pseudonymisation est définie à l'article 4, paragraphe 5 du RGPD comme le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

Deux caractéristiques essentielles distinguent la pseudonymisation de l'anonymisation.

Premièrement, la pseudonymisation est réversible. L'identité de la personne peut être retrouvée si l'on dispose de la table de correspondance ou des informations supplémentaires permettant d'effectuer la réidentification. C'est précisément cette réversibilité qui maintient les données pseudonymes dans le champ d'application du RGPD.

Deuxièmement, la pseudonymisation est explicitement qualifiée par le RGPD de mesure de sécurité appropriée, non d'outil d'exemption. Le considérant 26 du RGPD est explicite sur ce point : les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable.

En d'autres termes, la pseudonymisation réduit les risques associés au traitement et peut justifier un allègement de certaines obligations, mais elle ne soustrait pas les données au champ d'application du RGPD.

Exemple concret pour illustrer la distinction

Une clinique anonymise les données de ses patients pour une étude statistique : elle supprime tout identifiant direct (nom, prénom, numéro de sécurité sociale), agrège les données par tranches d'âge et de pathologie, et s'assure que chaque groupe comporte un nombre suffisant d'individus pour empêcher toute individualisation. Si l'anonymisation est correctement réalisée, ces données sortent du champ du RGPD.

La même clinique pseudonymise les données de ses patients pour une autre étude : elle remplace le nom et le numéro de sécurité sociale par un identifiant aléatoire unique, mais conserve l'ensemble des données médicales associées (diagnostics, prescriptions, dates de consultation). Un tiers de confiance conserve la table de correspondance permettant de relier chaque identifiant à un patient réel. Ces données restent des données à caractère personnel, soumises au RGPD dans leur intégralité.

II. L'affaire IQVIA : contexte, faits et décision

La société et son activité

IQVIA Operations France est la filiale française du groupe IQVIA, acteur mondial des études pharmaceutiques et de l'analyse de données de santé. Son activité consiste à réaliser des études pour son propre compte ou pour le compte de laboratoires pharmaceutiques, portant sur certaines maladies ou certains traitements administrés.

Pour mener ces études, la société s'appuie sur deux entrepôts de données de santé que la CNIL l'a autorisée à constituer. L'entrepôt LRX, autorisé en 2018, est alimenté par des données collectées auprès d'environ 14 000 pharmacies partenaires. L'entrepôt EMR, autorisé en 2021, est alimenté par des données collectées auprès de plusieurs milliers de médecins.

Ces autorisations avaient été accordées sous conditions : la CNIL avait exigé un certain nombre de garanties pour limiter les risques pour les personnes et respecter leurs droits.

Le déclencheur : Cash Investigation et les plaintes

En 2021, le magazine Cash Investigation diffuse un reportage mettant en lumière le fonctionnement d'IQVIA et les pratiques de collecte de données de santé de millions de patients français à leur insu. Des plaintes de particuliers et d'associations sont adressées à la CNIL, faisant notamment état du manque de transparence des traitements mis en œuvre à l'égard des patients.

La CNIL ouvre alors une procédure de contrôle, qui se déroule sur plusieurs années, avant d'aboutir à la décision de sanction du 26 mai 2026.

La tentative de requalification en données anonymes

Dans le cadre de la procédure de sanction, IQVIA a développé un argument juridique fondé sur un arrêt rendu par la Cour de justice de l'Union européenne le 4 septembre 2025, dit arrêt SRB. La société a soutenu que les données figurant dans ses entrepôts LRX et EMR étaient anonymes et que, dès lors, les règles relatives à la protection des données n'étaient pas applicables, ce qui aurait fait tomber l'ensemble des manquements reprochés.

La formation restreinte de la CNIL a rejeté cet argument de manière motivée et détaillée.

Elle a relevé que les données collectées par IQVIA présentaient un niveau de granularité élevé : pour chaque patient, l'entrepôt LRX contenait l'année de naissance, le sexe, des informations relatives au médecin consulté et aux prescriptions délivrées. L'entrepôt EMR était encore plus riche, intégrant la situation matrimoniale, le nombre d'enfants, la catégorie socio-professionnelle, et de très nombreuses informations médicales incluant les diagnostics, les symptômes, les allergies, le poids, la taille, le pouls, les vaccins, les examens biologiques et les arrêts de travail.

À cette richesse s'ajoutait l'existence d'un identifiant unique permettant de suivre le parcours de soin de chaque patient dans le temps. Cet identifiant, même s'il n'était pas le nom de la personne, permettait de relier l'ensemble des données disponibles sur un même individu.

La CNIL a conclu que le risque de réidentification, en combinant les données des entrepôts avec des informations publiquement accessibles, était trop élevé pour que ces données puissent être qualifiées d'anonymes. Elles étaient pseudonymes, pas anonymes, et restaient donc des données à caractère personnel soumises au RGPD.

III. Les manquements sanctionnés : une lecture juridique détaillée

La décision de la CNIL identifie plusieurs manquements distincts, de nature et de gravité variables.

Le non-respect des autorisations délivrées (article 66 de la loi Informatique et Libertés)

La loi Informatique et Libertés soumet les traitements de données de santé à un régime d'autorisation préalable de la CNIL. IQVIA avait obtenu ces autorisations pour ses deux entrepôts. Mais les contrôles ont révélé que les traitements réellement mis en œuvre ne respectaient pas les conditions posées par ces autorisations.

Deux manquements de sécurité ont été relevés pour les deux entrepôts. Aucune analyse régulière des journaux de connexion n'était mise en place, ce qui empêchait la détection efficace des activités anormales. Pour l'entrepôt EMR, aucune authentification multifacteur n'était exigée pour accéder aux données, en contradiction directe avec les recommandations de la CNIL et les bonnes pratiques de sécurité pour des données de cette sensibilité.

L'absence d'information des personnes (article 14 du RGPD)

Les données collectées par IQVIA ne provenaient pas directement des patients. Elles transitaient par les pharmacies et les médecins partenaires, qui les transmettaient à l'entrepôt. Dans ce schéma, l'article 14 du RGPD impose au responsable de traitement d'informer les personnes concernées, même lorsque leurs données n'ont pas été collectées directement auprès d'elles.

Les contrôles réalisés auprès de quatre pharmacies partenaires ont établi qu'aucune d'entre elles n'informait ses clients de la transmission de leurs données à IQVIA. La CNIL a rappelé un principe fondamental : si IQVIA avait confié aux pharmaciens le soin de délivrer cette information en son nom, c'est bien à IQVIA, en tant que responsable de traitement, qu'il appartenait de s'assurer du respect effectif de cette obligation. La délégation de l'obligation d'information à un intermédiaire ne dispense pas le responsable de traitement de vérifier que cette obligation est réellement satisfaite.

Des études réalisées hors cadre légal

La CNIL a également constaté qu'IQVIA réalisait des études pour son propre compte à partir de l'entrepôt LRX, en dehors de tout cadre légal, c'est-à-dire sans que ces traitements aient fait l'objet d'une autorisation ou d'une mise en conformité avec un référentiel. Ce manquement est particulièrement grave : il signifie que des traitements de données de santé de masse étaient réalisés sans aucune base légale.

Un défaut de conception : les données transmises même en cas de refus (article 25 du RGPD)

Ce manquement est l'un des plus révélateurs sur le plan technique et organisationnel. Le logiciel de gestion pharmaceutique utilisé par les pharmacies partenaires transmettait les données des patients à IQVIA, y compris lorsque le patient avait expressis verbis refusé cette transmission.

Ce défaut relève de la violation de l'article 25 du RGPD, qui impose la protection des données dès la conception (privacy by design) et par défaut (privacy by default). Le principe de protection des données par défaut signifie que, en l'absence d'action de la personne concernée, seules les données strictement nécessaires à la finalité du traitement sont traitées. Un logiciel qui ignore les refus explicites des utilisateurs pour continuer à transmettre leurs données constitue une violation directe de ce principe.

IV. La question centrale : à partir de quand une donnée est-elle vraiment anonyme ?

La décision IQVIA s'inscrit dans un contexte juridique plus large. L'arrêt SRB de la Cour de justice de l'Union européenne du 4 septembre 2025 avait relancé le débat sur la définition de l'anonymisation, en précisant les critères permettant d'évaluer la probabilité de réidentification d'un individu à partir de données pseudonymisées.

La question que la CNIL devait trancher dans l'affaire IQVIA était la suivante : compte tenu de la richesse et de la granularité des données présentes dans les entrepôts LRX et EMR, et de la possibilité de les croiser avec des données publiquement accessibles, existait-il un risque raisonnable de réidentification ?

La réponse affirmative de la CNIL repose sur une analyse concrète de la situation : un identifiant unique par patient permettant de retracer le parcours de soin, des données particulièrement riches et précises (année de naissance, sexe, localisation du médecin, liste détaillée des médicaments prescrits, diagnostics, examens), et la possibilité de combiner ces éléments avec des données publiques pour retrouver l'identité de certains patients.

La CNIL a par ailleurs rappelé un argument de cohérence comportementale : jusqu'à l'arrêt SRB, IQVIA n'avait jamais contesté traiter des données personnelles. Elle avait au contraire sollicité et obtenu des autorisations de la CNIL pour ses entrepôts, des autorisations qui n'auraient aucun sens si les données traitées étaient véritablement anonymes. Revendiquer l'anonymisation a posteriori, dans le cadre d'une procédure de sanction, pour échapper aux obligations découlant d'autorisations volontairement demandées, constitue une position juridiquement incohérente.

Cette décision confirme ainsi une ligne d'analyse constante : l'évaluation du caractère anonyme d'une donnée ne dépend pas de la technique utilisée pour la transformer, mais du risque réel de réidentification dans le contexte concret du traitement. Plus les données sont riches et précises, plus ce risque est élevé, et plus la charge de la preuve de l'anonymisation est lourde pour l'organisation.

V. Ce que cette décision change pour toutes les organisations traitant des données sensibles

La décision IQVIA ne concerne pas uniquement le secteur pharmaceutique ou les grands acteurs de la santé numérique. Elle établit des principes qui s'appliquent à toute organisation traitant des données sensibles au sens de l'article 9 du RGPD — données de santé, données relatives à la vie sexuelle, données révélant des convictions religieuses ou politiques, données biométriques — et plus largement à toute organisation cherchant à justifier un traitement par la qualification de ses données en données anonymes.

Premier enseignement : la qualification de données anonymes doit être démontrée, pas seulement affirmée

Toute organisation qui fonde son traitement sur la qualification de ses données en données anonymes doit être en mesure d'en apporter la preuve technique. Cette preuve suppose une évaluation rigoureuse des trois risques précédemment évoqués (individualisation, corrélation, inférence), documentée et actualisée en fonction de l'évolution des techniques de réidentification disponibles.

Cette évaluation doit intégrer non seulement les données que l'organisation détient, mais aussi l'ensemble des informations publiquement accessibles susceptibles d'être croisées avec ces données. À mesure que les bases de données publiques s'enrichissent et que les techniques d'analyse progressent, des données qui semblaient anonymes peuvent cesser de l'être.

Deuxième enseignement : la délégation de l'obligation d'information ne dispense pas du contrôle de son exécution

Lorsqu'une organisation confie à un tiers — prestataire, partenaire, intermédiaire — le soin d'informer les personnes concernées en son nom, elle reste pleinement responsable du respect de cette obligation. Elle doit mettre en place des mécanismes de contrôle permettant de vérifier que l'information est effectivement délivrée, dans les conditions et avec le contenu requis par le RGPD.

Cette situation est fréquente dans de nombreux secteurs. Un assureur qui collecte des données via un courtier, un éditeur de logiciel qui collecte des données via ses clients entreprises, une marque qui collecte des données via un réseau de distributeurs : dans chacun de ces cas, le responsable de traitement ne peut se limiter à prévoir contractuellement l'obligation d'information sans en vérifier l'exécution réelle.

Troisième enseignement : le privacy by design est une obligation technique, pas une clause contractuelle

Le manquement relatif au logiciel transmettant les données même en cas de refus du patient illustre une erreur fréquente : croire que l'intégration d'une mention dans les conditions générales ou d'une clause dans un contrat avec un prestataire suffit à satisfaire aux exigences de protection des données dès la conception.

L'article 25 du RGPD impose que les systèmes d'information soient techniquement conçus pour respecter les droits des personnes. Un système qui ignore le refus d'un utilisateur ne peut pas être rendu conforme par une clause contractuelle : c'est sa conception même qui doit être modifiée.

Quatrième enseignement : les autorisations CNIL ne sont pas un blanc-seing

Les organisations qui bénéficient d'une autorisation de la CNIL pour traiter des données sensibles — et elles sont nombreuses dans le secteur de la santé, de la recherche et de certains secteurs réglementés — doivent intégrer que cette autorisation est accordée sous conditions et peut faire l'objet de contrôles ultérieurs. L'obtention de l'autorisation ne clôt pas la démarche de conformité : elle en fixe le cadre, que l'organisation doit respecter dans la durée.

VI. Les obligations concrètes à mettre en place

Pour les organisations concernées par des traitements de données sensibles ou cherchant à qualifier leurs données en données anonymes, la décision IQVIA invite à une révision structurée de plusieurs dispositifs.

Évaluer rigoureusement le statut de ses données

La première étape consiste à cartographier les traitements pour lesquels l'organisation invoque ou envisage d'invoquer la qualification de données anonymes. Pour chacun de ces traitements, une évaluation technique des trois risques de réidentification doit être documentée, en tenant compte de la richesse des données disponibles, de l'existence d'identifiants persistants, et de la possibilité de croiser les données internes avec des sources externes.

Si cette évaluation révèle un risque résiduel de réidentification non négligeable, les données doivent être qualifiées de pseudonymes et soumises au RGPD dans son intégralité.

Sécuriser les entrepôts et bases de données sensibles

Les deux manquements de sécurité relevés dans la décision IQVIA — absence d'analyse des journaux de connexion et absence d'authentification multifacteur — correspondent à des exigences élémentaires de la CNIL en matière de sécurité des données sensibles.

La CNIL a publié des recommandations spécifiques sur la journalisation (2021) et sur l'authentification multifacteur (2022). Ces recommandations constituent le référentiel minimal attendu pour les systèmes traitant des données de santé ou d'autres catégories particulières de données.

Mettre en place un dispositif de contrôle de l'information des personnes

Lorsque l'information des personnes est assurée par un intermédiaire, l'organisation doit prévoir un dispositif de contrôle de l'exécution effective de cette obligation. Ce dispositif peut prendre la forme d'audits réguliers des partenaires, de procédures de vérification documentées, ou de mécanismes techniques permettant de tracer la délivrance de l'information.

Le registre des activités de traitement doit mentionner les modalités de délivrance de l'information et les contrôles mis en place pour en vérifier l'effectivité.

Revoir la conception des systèmes collectant des données avec option de refus

Pour tout système permettant aux personnes de s'opposer à la collecte ou à la transmission de leurs données, la conception technique doit garantir que cette opposition est techniquement respectée. Cela implique de revoir les flux de données dans le système d'information, de s'assurer que le refus d'une personne entraîne effectivement la non-transmission de ses données, et de tester régulièrement le bon fonctionnement de ce dispositif.

Documenter et actualiser la conformité en continu

La conformité aux autorisations obtenues, aux exigences du RGPD et aux recommandations de la CNIL n'est pas un état figé. Elle suppose un suivi régulier, des contrôles internes, et une capacité à démontrer à tout moment que les engagements pris sont effectivement respectés. La documentation de cette conformité — rapports d'audit, journaux de contrôle, procédures mises à jour — constitue la première ligne de défense en cas de contrôle.

Conclusion

La sanction prononcée à l'encontre d'IQVIA Operations France le 26 mai 2026 est l'une des décisions les plus pédagogiques de ces dernières années en matière de protection des données de santé. Elle tranche une question juridique majeure, précise les obligations des responsables de traitement en matière d'information des personnes et de sécurité, et rappelle que la conformité ne s'arrête pas à l'obtention d'une autorisation.

La distinction entre anonymisation et pseudonymisation n'est pas un débat académique. C'est une qualification juridique aux conséquences pratiques considérables, qui détermine si une organisation est soumise ou non à l'ensemble des obligations du RGPD. Dans un contexte où les techniques de réidentification progressent et où les bases de données publiques s'enrichissent, la démonstration du caractère véritablement anonyme d'une donnée est une tâche exigeante, qui ne peut reposer sur une affirmation unilatérale.

Pour les organisations traitant des données de santé, des données biométriques ou d'autres catégories particulièrement sensibles, cette décision constitue un signal clair : la rigueur dans la qualification des données, dans la sécurisation des systèmes et dans le respect des droits des personnes n'est pas optionnelle. Elle est vérifiée. Et elle est sanctionnée.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

Pour partager cet article sur les réseaux sociaux

Articles et actualités RGPD