La CNIL a sanctionné IQVIA OPERATIONS FRANCE d'une amende de 5 millions d'euros par délibération SAN-2026-008 du 26 mai 2026, rendue publique le 28 mai 2026 (la formation restreinte avait tenu séance le 26 mars 2026). La procédure visait deux entrepôts de données de santé exploités par la filiale du groupe américain IQVIA: LRX, autorisé en 2018 et alimenté par environ 14 000 pharmacies françaises, et EMR, autorisé en 2021 et alimenté par plusieurs milliers de médecins. La délibération retient que les données traitées concerneraient plusieurs dizaines de millions de personnes - année de naissance, sexe, prescriptions, diagnostics, symptômes, allergies, éléments socio-professionnels et identifiant unique de parcours de soins. La régulatrice ordonne en parallèle une mise en conformité sous six mois, sous peine d'une astreinte de 10 000 euros par jour de retard, selon le communiqué officiel de la CNIL. La société se réserve le droit de faire appel. L'amende reste sous le plafond de 4 % du chiffre d'affaires annuel mondial consolidé fixé à l'article 83 du RGPD.

Une portée qui dépasse IQVIA: 102 opérateurs partagent la même architecture

Au 1er septembre 2025, le portail esante.gouv.fr recensait 125 entrepôts de données de santé autorisés par la CNIL, gérés par 102 acteurs distincts - éditeurs pharmaceutiques, organismes de recherche publique, plateformes assurantielles, structures hospitalières conventionnées. Tous reposent sur la même brique technique: la pseudonymisation des données patient avant ouverture à un usage secondaire. Le raisonnement retenu par la régulatrice contre IQVIA - la pseudonymisation ne vaut pas anonymisation pour l'entité qui détient les clés - vise par construction un trait d'architecture, pas une particularité du dossier. La CNIL avait déjà fait des données de santé un axe explicite de sa doctrine via son appel à projets dédié. La délibération du 26 mai 2026 étend ce socle doctrinal à la qualification juridique elle-même, et expose structurellement chacun des 101 autres opérateurs, en tant que contrôleur initial détenant les clés de réidentification, à la même grille de lecture - sous réserve des architectures techniques propres à chaque dispositif, qu'il relève de l'industrie pharmaceutique, de l'assurance ou de la recherche publique.

Pseudonymisation: une brique d'architecture rattrapée par la qualification du contrôleur initial

Pour un DSI qui exploite un entrepôt, la pseudonymisation est une couche technique: table de correspondance chiffrée d'un côté, jeux de données dérivés de l'autre. La défense d'IQVIA s'appuyait sur cette séparation, en s'adossant à l'arrêt CJUE C-413/23 P EDPS contre SRB du 4 septembre 2025 - l'EDPS, contrôleur européen de la protection des données, contre le Conseil de résolution unique, autorité bancaire dont le régime de référence (règlement 2018/1725, pendant institutionnel du RGPD applicable aux institutions de l'Union) se transpose ici à l'identique. La Cour de Luxembourg y a posé que la pseudonymisation est un statut relatif à l'observateur: tant que l'entité conserve les clés de réidentification, les données restent à caractère personnel - qualification que la CNIL transpose au RGPD via les définitions parallèles des articles 4(1) et 4(5). «Les
  mesures de pseudonymisation ont seulement pour effet de réduire les risques de corrélation… mais pas de les éliminer », a retenu la formation restreinte. Pour le maître d'œuvre de l'entrepôt, la conséquence d'architecture est nette: tant que la table de correspondance est dans son périmètre opérationnel, le régime des données personnelles s'applique au système entier, et pas seulement à la zone qui contient encore des identifiants directs. À ce socle de qualification s'ajoutent cinq manquements techniques et procéduraux documentés: information insuffisante des personnes concernées, droit d'opposition rendu inopérant en pratique, absence d'authentification multifacteur sur l'entrepôt EMR, journaux de connexion non analysés de manière régulière, notices d'information inexactes - auxquels s'ajoute le constat qu'aucune des pharmacies contrôlées n'informait ses clients de la transmission. Reste une nuance d'architecture que l'arrêt SRB porte explicitement et que la décision CNIL ne tranche pas: si un destinataire ne dispose pas des moyens raisonnablement susceptibles d'être utilisés pour rapprocher les données d'une personne identifiable, les données pseudonymisées ne constituent pas, pour lui, des données personnelles. Autrement dit, deux composants d'une même chaîne peuvent relever de régimes différents selon leur accès aux clés. La sanction vise IQVIA en tant que contrôleur initial; elle ne préjuge pas du régime opposable aux tiers qui reçoivent des extractions sans accès à la table de réidentification.

Deux horizons réglementaires définissent la fenêtre de préparation des équipes tech

Pour un DSI ou un CTO qui exploite un entrepôt aujourd'hui, le statut des tiers destinataires reste suspendu à deux échéances qui bornent la fenêtre de préparation opérationnelle. Le règlement UE 2025/327 du 11 février 2025 instituant l'Espace européen des données de santé fixe au mois de mars 2029 l'entrée en application de son volet usage secondaire, qui organisera précisément les conditions techniques d'accès aux données pseudonymisées par des tiers - recherche académique, industriels pharmaceutiques, autorités publiques. ActuIA détaillait les cinq cas d'usage canoniques du futur EEDS dès la phase de négociation du texte. Tant que ce volet n'est pas applicable, le régime de chaque flux sortant - extractions, API tiers, partages projet - reste à arbitrer dossier par dossier sur le fondement du RGPD éclairé par l'arrêt SRB. L'autre horizon est doctrinal: le Comité européen de la protection des données (EDPB) a organisé le 12 décembre 2025 un événement parties prenantes adossé à un discussion paper, destiné à intégrer l'apport de SRB dans ses lignes directrices 01/2025 sur la pseudonymisation. La délibération SAN-2026-008 fixe le régime applicable au responsable de traitement détenteur des clés; pour les flux vers des tiers sans accès aux clés, les lignes directrices EDPB 01/2025 - dont la consultation publique s'est close fin 2025 - fourniront la réponse, leur finalisation suivant le calendrier habituel de 12 à 18 mois post-consultation, soit 2027 au plus tôt.