TLDR : تغريم CNIL لشركة IQVIA بمبلغ 5 ملايين يورو بسبب استخدام pseudonymization التي لا تعادل anonymization لحامل المفاتيح، مما يسلط الضوء على الحاجة للامتثال لمتطلبات RGPD في معالجة البيانات الصحية.
المحتوى
قامت CNIL بتغريم شركة IQVIA OPERATIONS FRANCE بمبلغ 5 ملايين يورو بقرار SAN-2026-008 في 26 مايو 2026، الذي تم نشره في 28 مايو 2026 (حيث عقدت اللجنة جلستها في 26 مارس 2026). استهدفت الإجراءات مستودعين للبيانات الصحية تديرهما فرع الشركة الأمريكية IQVIA: LRX، المرخص في 2018 والمدعوم من حوالي 14,000 صيدلية فرنسية، وEMR، المرخص في 2021 والمدعوم من عدة آلاف من الأطباء. أشارت المداولة إلى أن البيانات المعالجة تتعلق بعدة عشرات الملايين من الأشخاص - سنة الميلاد، الجنس، الوصفات الطبية، التشخيصات، الأعراض، الحساسية، العناصر الاجتماعية المهنية ومعرف فريد لمسار الرعاية. كما أمرت الهيئة التنظيمية بتصحيح الوضع في غضون ستة أشهر، تحت طائلة غرامة 10,000 يورو عن كل يوم تأخير، وفقًا للبيان الرسمي لـCNIL. وتحتفظ الشركة بحقها في الاستئناف. تظل الغرامة تحت سقف 4٪ من الإيرادات السنوية العالمية المجمعة المحددة في المادة 83 من RGPD.
نطاق يمتد إلى ما بعد IQVIA: 102 مشغل يشاركون نفس البنية
في 1 سبتمبر 2025، قام موقع esante.gouv.fr بتسجيل 125 مستودعًا للبيانات الصحية مرخصة من CNIL، تديرها 102 جهة فاعلة متميزة - ناشرو الأدوية، منظمات البحث العامة، منصات التأمين، الهياكل الاستشفائية المرخصة. جميعها تعتمد على نفس البنية التقنية: pseudonymization للبيانات الصحية قبل إتاحتها لاستخدام ثانوي. يعتمد المنطق الذي تبنته الهيئة التنظيمية ضد IQVIA - أن pseudonymization لا تعادل anonymization للكيان الذي يمتلك المفاتيح - على سمة بنية، وليس خاصية في الملف. كانت CNIL قد جعلت من البيانات الصحية محورًا صريحًا لعقيدتها من خلال دعوتها لمشاريع مخصصة. توسع المداولة في 26 مايو 2026 هذا الأساس العقائدي إلى التأهيل القانوني نفسه، وتعرض هيكليًا كل من المشغلين الـ101 الآخرين، باعتبارهم المراقب الأول الذين يمتلكون مفاتيح إعادة تحديد الهوية، لنفس الإطار - مع مراعاة البنى التقنية الخاصة بكل نظام، سواء كان ينتمي إلى صناعة الأدوية، التأمين أو البحث العام.
البنية Pseudonymization: مكون بنيوي مدرك من قبل تأهيل المراقب الأول
بالنسبة لـDSI الذي يدير مستودعًا، يعتبر pseudonymization طبقة تقنية: جدول مراسلات مشفر من جهة، ومجموعات بيانات مشتقة من الجهة الأخرى. استند دفاع IQVIA على هذا الفصل، مستندًا إلى حكم CJUE C-413/23 P EDPS ضد SRB في 4 سبتمبر 2025 - حيث أن EDPS، المراقب الأوروبي لحماية البيانات، ضد مجلس القرار الوحيد، السلطة المصرفية التي تطبق نظامها المرجعي (اللائحة 2018/1725، الموازية المؤسسية لـRGPD المطبقة على مؤسسات الاتحاد) هنا بنفس الطريقة. وقد أقرت محكمة لوكسمبورغ أن pseudonymization هي حالة مرتبطة بالمراقب: طالما أن الكيان يحتفظ بمفاتيح إعادة تحديد الهوية، تظل البيانات ذات طابع شخصي - وهو تأهيل نقله CNIL إلى RGPD عبر التعريفات الموازية للمادتين 4(1) و4(5). "الإجراءات المتخذة في pseudonymization لها فقط تأثير تقليل مخاطر الترابط ... ولكن ليس القضاء عليها"، كما أكدت اللجنة. بالنسبة للمدير التنفيذي للمشروع للمستودع، فإن النتيجة الهيكلية واضحة: طالما أن جدول المراسلات يقع ضمن نطاقه التشغيلي، فإن نظام البيانات الشخصية ينطبق على النظام بأكمله، وليس فقط على المنطقة التي لا تزال تحتوي على معرفات مباشرة. بالإضافة إلى هذا الأساس التأهيلي، توجد خمسة انتهاكات فنية وإجرائية موثقة: معلومات غير كافية للأشخاص المعنيين، حق الاعتراض غير الفعال عمليًا، عدم وجود مصادقة متعددة العوامل على مستودع EMR، سجلات الاتصال غير المحللة بانتظام، إشعارات المعلومات غير الدقيقة - بالإضافة إلى ملاحظة أن أياً من الصيدليات التي تم تفتيشها لم تخبر عملاءها بعملية النقل. تبقى هناك تباين معماري ينص عليه قرار SRB صراحة ولم تحسمه CNIL: إذا لم يكن لدى المستلم الوسائل المعقولة لاستخدامها لربط البيانات بشخص محدد، فإن البيانات المزعومة لا تشكل بالنسبة له بيانات شخصية. بمعنى آخر، يمكن أن تخضع مكونان من نفس السلسلة لنظم مختلفة حسب وصولهما إلى المفاتيح. تستهدف العقوبة IQVIA باعتبارها المراقب الأول؛ ولا تحكم على النظام القابل للتطبيق على الأطراف الثالثة التي تتلقى الاستخراجات بدون الوصول إلى جدول إعادة التحديد.
آفاق تنظيمية تحدد نافذة استعداد الفرق التقنية
بالنسبة لـDSI أو CTO الذي يدير مستودعًا اليوم، يظل وضع المتلقين الخارجيين معلقًا على اثنين من المواعيد النهائية التي تحدد نافذة الاستعداد التشغيلي. يحدد اللائحة الأوروبية 2025/327 بتاريخ 11 فبراير 2025 التي تنشئ الفضاء الأوروبي للبيانات الصحية في مارس 2029 موعدًا لتطبيق جزء الاستخدام الثانوي، الذي سينظم بدقة الظروف التقنية للوصول إلى البيانات المزعومة من قبل أطراف خارجية - البحوث الأكاديمية، الصناعات الدوائية، السلطات العامة. وقد أوضح ActuIA خمسة حالات استخدام معيارية لـEEDS المستقبلية منذ مرحلة التفاوض. طالما أن هذا الجزء غير قابل للتطبيق، يظل نظام كل تدفق صادر - الاستخراجات، واجهات برمجة التطبيقات الخارجية، المشاركات المشاريع - خاضعًا لاتخاذ القرارات حالة بحالة بناءً على RGPD مضيئًا بقرار SRB. الأفق الآخر هو عقائدي: نظم EDPB في 12 ديسمبر 2025 حدثًا لأصحاب المصلحة مرتبطًا بوثيقة مناقشة، يهدف إلى دمج مساهمة SRB في إرشاداته 01/2025 حول pseudonymization. تحدد المداولة SAN-2026-008 النظام القابل للتطبيق على المسؤول عن المعالجة الذي يحتفظ بالمفاتيح؛ بالنسبة للتدفقات نحو الأطراف الثالثة بدون الوصول إلى المفاتيح، ستوفر الإرشادات 01/2025 لـEDPB - التي أغلقت مشاورتها العامة نهاية 2025 - الإجابة، على أن يتم الانتهاء منها وفقًا للجدول المعتاد من 12 إلى 18 شهرًا بعد المشاورة، أي في عام 2027 في أقرب وقت.