La Commission nationale de l'informatique et des libertés (CNIL) a prononcé une amende de cinq millions d'euros à l'encontre d'IQVIA Operations France, suite à des manquements liés à la gestion des données de santé.
Spécialisée dans le conseil et la rédaction d'études pour le compte de laboratoires pharmaceutiques, la société de conseil IQVIA Operations France, filiale d'IQVIA, a écopé de 5 millions d'euros d'amende et doit se mettre en conformité dans un délai de six mois, sous peine de 10 000 euros par jour de retard. Les études dont il est question portent sur des maladies ou traitements administrés.
Il est reproché à IQVIA de ne pas avoir respecté certaines garanties visant à limiter les risques pour les personnes dans le cadre de la gestion d'entrepôts de données de santé.
Des données pas si anonymes
Pour la réalisation de ses travaux, l'entreprise exploite deux entrepôts de données autorisés par la CNIL : l'entrepôt LRX, alimenté par des données collectées auprès d'environ 14 000 pharmacies, et l'entrepôt EMR, autorisé en 2021, alimenté par des données collectées auprès de plusieurs milliers de médecins. Suite à un reportage de Cash Investigation, la CNIL a été saisie de plaintes de particuliers et d'associations concernant un manque de transparence quant au traitement des données utilisés dans ce cadre.
Suite à des contrôles auprès de la société et des pharmacies partenaires, la formation restreinte, l'organisme de sanction de la CNIL, a estimé qu'IQVIA Operations « n'avait pas respecté les termes des autorisations délivrées, s'agissant notamment de l'information des personnes, de l'exercice de leurs droits et de la sécurité des données ».
IQVIA collectait des données variées sur les personnes, telles que l'année de naissance, le sexe, des informations relatives au médecin consulté et aux prescriptions délivrées, et, pour l'entrepôt EMR, la situation matrimoniale, le nombre d'enfants, la catégorie socio-professionnelle et des informations liées à la santé. Ces données étaient reliées à un identifiant unique pour chaque patient. La CNIL a estimé que le risque d'identifier une personne était trop élevé et que les données traitées par la société ne pouvaient pas être considérées comme anonymes, contrairement à ce que défendait IQVIA.
La CNIL a en outre découvert qu’aucune mesure n’avait été prise pour analyser les journaux de connexions des deux entrepôts, afin de détecter des anomalies. Autre manquement, pour le seul entrepôt EMR cette fois : la MFA n’a pas été mise en œuvre pour l’accès aux données. Toujours sur l’entrepôt EMR, la CNIL a constaté l’absence de procédure permettant d’exercer son droit d’opposition « de manière effective », ainsi que des mentions inexactes figurant sur une notice d’information.
IQVIA répond
« La société a démontré avoir, depuis les contrôles réalisés, remédié aux manquements relatifs à la sécurité et à la confidentialité des données. », écrit la CNIL.
Concernant les contrôles réalisés auprès de quatre pharmacies, l'autorité a constaté que les clients n'étaient pas informés de la transmission de leurs données à IQVIA. La formation restreinte a en outre mis le doigt sur deux autres manquements. La société a réalisé des études pour son propre compte à partir de l'entrepôt LRX en dehors de tout cadre légal, et a conçu un logiciel de gestion pour les pharmacies lui transmettant les données clients, même celles de personnes n'ayant pas donné leur consentement.
La société, elle, se réserve le droit de faire appel de la décision. « Les mesures de sécurité identifiées ont été mises en place et nous restons engagés à renforcer en continu notre dispositif de sécurité et de gouvernance », a-t-elle réagi dans un communiqué. « Toutes les données de santé utilisées pour nos études statistiques sont pseudonymisées via des tiers de confiance et des processus de chiffrement robustes. Ainsi, elles ne contiennent pas l'identité des personnes afin de respecter leur anonymat », a-t-elle assuré.
