Зміст
CNIL оштрафувала IQVIA OPERATIONS FRANCE на 5 мільйонів євро рішенням SAN-2026-008 від 26 травня 2026 року, оприлюдненим 28 травня 2026 року (обмежена колегія провела засідання 26 березня 2026 року). Процедура стосувалася двох сховищ медичних даних, якими керувала філія американської групи IQVIA: LRX, дозволена в 2018 році і наповнена приблизно 14 000 французькими аптеками, і EMR, дозволена в 2021 році і наповнена кількома тисячами лікарів. У рішенні зазначається, що оброблювані дані стосуються кількох десятків мільйонів людей - рік народження, стать, призначення, діагнози, симптоми, алергії, соціально-професійні елементи та унікальний ідентифікатор маршруту лікування. Регулятор також наказує привести діяльність у відповідність протягом шести місяців під загрозою штрафу в розмірі 10 000 євро за кожен день затримки, згідно з офіційним повідомленням CNIL. Компанія залишає за собою право на апеляцію. Штраф залишається нижче стелі в 4% від консолідованого світового річного обороту, встановленого статтею 83 GDPR.
Ширше значення, ніж IQVIA: 102 оператори використовують ту саму архітектуру
Станом на 1 вересня 2025 року портал esante.gouv.fr нараховував 125 сховищ медичних даних, дозволених CNIL, якими керували 102 різні суб'єкти - фармацевтичні видавці, установи державних наукових досліджень, страхові платформи, лікарняні структури. Всі вони базуються на одній технічній основі: псевдонімізація даних пацієнтів перед відкриттям для вторинного використання. Аргументація регулятора проти IQVIA - псевдонімізація не дорівнює анонімізації для суб'єкта, що володіє ключами - стосується архітектурної особливості, а не особливості справи. CNIL вже зробила медичні дані явним напрямком своєї доктрини через спеціальний конкурс проектів. Рішення від 26 травня 2026 року розширює цю доктрину до самої юридичної кваліфікації та структурно піддає кожного з 101 інших операторів, як початкового контролера, що володіє ключами деідентифікації, тій же схемі аналізу - за умови технічних архітектур, властивих кожному пристрою, чи то фармацевтична промисловість, страхування чи державні дослідження.
Псевдонімізація: архітектурний компонент, який підпадає під кваліфікацію початкового контролера
Для ІТ-директора, який керує сховищем, псевдонімізація є технічною складовою: зашифрована таблиця відповідностей з одного боку, набори похідних даних з іншого. Захист IQVIA базувався на цьому розділенні, з опорою на постанову Європейського суду C-413/23 P EDPS проти SRB від 4 вересня 2025 року - EDPS, європейського контролера захисту даних, проти Єдиного резолюційного комітету, банківської влади, режим якої (регламент 2018/1725, інституційний аналог GDPR, застосовний до інституцій Союзу) тут застосовується без змін. Суд Люксембургу постановив, що псевдонімізація є статусом відносно спостерігача: поки суб'єкт зберігає ключі деідентифікації, дані залишаються особистими - цей висновок CNIL переносить на GDPR за допомогою паралельних визначень статей 4(1) і 4(5). «Заходи псевдонімізації лише зменшують ризики кореляції... але не усувають їх», - зазначила обмежена колегія. Для керівника проекту сховища архітектурний наслідок є чітким: поки таблиця відповідностей залишається в його операційному периметрі, режим персональних даних застосовується до всієї системи, а не лише до зони, яка все ще містить прямі ідентифікатори. До цього основного кваліфікаційного підходу додаються п'ять задокументованих технічних і процедурних порушень: недостатня інформація для суб'єктів даних, право на заперечення не діє на практиці, відсутність багатофакторної аутентифікації на сховищі EMR, журнали з'єднань не аналізуються регулярно, неточні інформаційні повідомлення - до яких додається виявлення, що жодна з перевірених аптек не інформувала своїх клієнтів про передачу. Остається архітектурна тонкість, яку постанова SRB висвітлює явним чином, а рішення CNIL не вирішує: якщо отримувач не має засобів, які можуть бути раціонально використані для зв'язку даних з ідентифікованою особою, псевдонімізовані дані не є для нього особистими даними. Іншими словами, два компоненти одного ланцюга можуть підпадати під різні режими залежно від їх доступу до ключів. Санкція стосується IQVIA як початкового контролера; вона не передбачає режиму, застосовного до третіх сторін, які отримують екстракти без доступу до таблиці деідентифікації.
Два регуляторні горизонти визначають вікно підготовки для технічних команд
Для ІТ-директора або технічного директора, який нині експлуатує сховище, статус третіх отримувачів залишається в підвішеному стані до двох термінів, які визначають вікно операційної підготовки. Регламент ЄС 2025/327 від 11 лютого 2025 року про запровадження Європейського простору медичних даних встановлює березень 2029 року як дату введення в дію свого компонента вторинного використання, який точно визначить технічні умови доступу до псевдонімізованих даних третіми сторонами - академічними дослідженнями, фармацевтичними компаніями, державними органами. ActuIA детально розглядала п'ять канонічних випадків використання майбутнього EEDS ще на етапі переговорів щодо тексту. Поки цей компонент не застосовується, режим кожного вихідного потоку - екстракти, API третіх сторін, проекти - залишається на розсуд справи на підставі GDPR, роз'ясненого постановою SRB. Інший горизонт є доктринальним: Європейський комітет із захисту даних (EDPB) організував 12 грудня 2025 року захід для зацікавлених сторін, прив'язаний до дискусійного документа, щоб інтегрувати висновок SRB у свої керівні принципи 01/2025 щодо псевдонімізації. Рішення SAN-2026-008 встановлює режим, застосовний до контролера обробки, що володіє ключами; для потоків до третіх сторін без доступу до ключів керівні принципи EDPB 01/2025 - публічне обговорення яких завершилося наприкінці 2025 року - нададуть відповідь, їх остаточне затвердження відбудеться за звичайним графіком у 12-18 місяців після консультації, тобто не раніше 2027 року.