Sumar
CNIL a sancționat IQVIA OPERATIONS FRANCE cu o amendă de 5 milioane de euro prin deliberarea SAN-2026-008 din 26 mai 2026, făcută publică pe 28 mai 2026 (sesiunea restrânsă a avut loc pe 26 martie 2026). Procedura viza două depozite de date de sănătate operate de filiala grupului american IQVIA: LRX, autorizat în 2018 și alimentat de aproximativ 14.000 de farmacii franceze, și EMR, autorizat în 2021 și alimentat de mai multe mii de medici. Deliberarea reține că datele procesate ar viza câteva zeci de milioane de persoane - anul nașterii, sexul, prescripții, diagnostice, simptome, alergii, elemente socio-profesionale și identificator unic al parcursului de îngrijire. Regulatorul ordonă, în paralel, o conformare în termen de șase luni, sub sancțiunea unei penalități de 10.000 de euro pe zi de întârziere, conform comunicatului oficial al CNIL. Compania își rezervă dreptul de a face apel. Amenda rămâne sub plafonul de 4% din cifra de afaceri anuală mondială consolidată stabilită la articolul 83 din RGPD.
O amploare care depășește IQVIA: 102 operatori împărtășesc aceeași arhitectură
La 1 septembrie 2025, portalul esante.gouv.fr enumera 125 de depozite de date de sănătate autorizate de CNIL, gestionate de 102 entități diferite - editori farmaceutici, organisme de cercetare publică, platforme de asigurări, structuri spitalicești convenționate. Toate se bazează pe aceeași componentă tehnică: pseudonimizarea datelor pacienților înainte de deschiderea lor pentru o utilizare secundară. Raționamentul reținut de regulator împotriva IQVIA - pseudonimizarea nu echivalează cu anonimizarea pentru entitatea care deține cheile - vizează prin construcție o trăsătură de arhitectură, nu o particularitate a dosarului. CNIL a făcut deja din datele de sănătate un ax explicit al doctrinei sale prin apelul său la proiecte dedicate. Deliberarea din 26 mai 2026 extinde acest fundament doctrinal la calificarea juridică în sine și expune structural fiecare dintre cei 101 alți operatori, în calitate de controlori inițiali care dețin cheile de reidentificare, aceleași criterii de analiză - sub rezerva arhitecturilor tehnice proprii fiecărui dispozitiv, fie că este vorba de industria farmaceutică, asigurări sau cercetare publică.
Pseudonimizarea: o componentă de arhitectură surprinsă de calificarea controlorului inițial
Pentru un DSI care exploatează un depozit, pseudonimizarea este un strat tehnic: tabel de corespondență criptat pe de o parte, seturi de date derivate pe de alta. Apărarea IQVIA s-a bazat pe această separare, sprijinindu-se pe hotărârea CJUE C-413/23 P EDPS împotriva SRB din 4 septembrie 2025 - EDPS, controlor european al protecției datelor, împotriva Consiliului unic de rezoluție, autoritate bancară al cărei regim de referință (regulamentul 2018/1725, echivalent instituțional al RGPD aplicabil instituțiilor Uniunii) se transpune aici identic. Curtea de la Luxemburg a stabilit că pseudonimizarea este un statut relativ la observator: atâta timp cât entitatea păstrează cheile de reidentificare, datele rămân cu caracter personal - calificare pe care CNIL o transpune la RGPD prin definițiile paralele ale articolelor 4(1) și 4(5). „Măsurile de pseudonimizare au doar efectul de a reduce riscurile de corelare... dar nu de a le elimina”, a reținut sesiunea restrânsă. Pentru maestrul de operă al depozitului, consecința de arhitectură este clară: atâta timp cât tabelul de corespondență este în perimetrul său operațional, regimul datelor personale se aplică întregului sistem, și nu doar zonei care conține încă identificatori direcți. La acest fundament de calificare se adaugă cinci deficiențe tehnice și procedurale documentate: informare insuficientă a persoanelor vizate, drept de opoziție făcut inoperant în practică, lipsă de autentificare multifactor pe depozitul EMR, jurnale de conectare neanalizate în mod regulat, notificări de informare inexacte - la care se adaugă constatarea că niciuna dintre farmaciile controlate nu își informa clienții despre transmitere. Rămâne o nuanță de arhitectură pe care hotărârea SRB o poartă explicit și pe care decizia CNIL nu o tranșează: dacă un destinatar nu dispune de mijloacele susceptibile de a fi utilizate pentru a corela datele cu o persoană identificabilă, datele pseudonimizate nu constituie, pentru acesta, date personale. Cu alte cuvinte, două componente ale aceluiași lanț pot face obiectul unor regimuri diferite în funcție de accesul lor la chei. Sancțiunea vizează IQVIA în calitate de controlor inițial; nu prejudecă regimul aplicabil terților care primesc extrageri fără acces la tabelul de reidentificare.
Două orizonturi de reglementare definesc fereastra de pregătire a echipelor tehnice
Pentru un DSI sau un CTO care exploatează un depozit astăzi, statutul terților destinatari rămâne suspendat la două termene care delimitează fereastra de pregătire operațională. Regulamentul UE 2025/327 din 11 februarie 2025 care instituie Spațiul European al Datelor de Sănătate stabilește în martie 2029 intrarea în aplicare a componentei sale de utilizare secundară, care va organiza în mod specific condițiile tehnice de acces la datele pseudonimizate de către terți - cercetare academică, industrii farmaceutice, autorități publice. ActuIA detalia cele cinci cazuri de utilizare canonice ale viitorului EEDS încă din faza de negociere a textului. Atâta timp cât această componentă nu este aplicabilă, regimul fiecărui flux ieșit - extrageri, API-uri terțe, partajări de proiect - rămâne de arbitrat dosar cu dosar pe baza RGPD iluminată de hotărârea SRB. Celălalt orizont este doctrinal: Comitetul European pentru Protecția Datelor (EDPB) a organizat pe 12 decembrie 2025 un eveniment pentru părțile interesate sprijinit de un document de discuție, destinat să integreze contribuția SRB în liniile sale directoare 01/2025 privind pseudonimizarea. Deliberarea SAN-2026-008 stabilește regimul aplicabil responsabilului de tratament deținător al cheilor; pentru fluxurile către terți fără acces la chei, liniile directoare EDPB 01/2025 - a căror consultare publică s-a încheiat la sfârșitul anului 2025 - vor furniza răspunsul, finalizarea lor urmând calendarul obișnuit de 12 până la 18 luni post-consultare, adică 2027 cel mai devreme.