CNIL IQVIA 5 M€ : leçons pour vos outils de crise

Le 26 mai 2026, la CNIL a infligé 5 millions d'euros d'amende à la société IQVIA pour la gestion de ses entrepôts de données de santé. On pourrait croire l'affaire réservée au secteur pharmaceutique. Pour le consultant en gestion de crise que je suis, c'est un précédent qui parle à tous ceux qui exploitent un outil numérique de crise (annuaire d'astreinte, main courante, registre des personnes vulnérables). Voici pourquoi, et 4 réflexes à activer.

Ce que la CNIL reproche vraiment à IQVIA

IQVIA exploite deux entrepôts de données de santé autorisés par la CNIL : LRX (alimenté par environ 14 000 pharmacies, autorisé en 2018) et EMR (alimenté par plusieurs milliers de médecins, autorisé en 2021). La formation restreinte de la CNIL a retenu plusieurs manquements de fond. La sanction s'inscrit dans une vague d'incidents récents qui rappelle que la donnée est devenue un actif critique (voir aussi la fuite de données ANTS sur le dark web et notre décryptage cyberattaque, pas qu'un problème IT).

Le plus structurant : « pseudonyme » n'est pas « anonyme ». IQVIA soutenait que ses données étaient anonymes, donc largement hors du champ du RGPD. La CNIL a tranché l'inverse : ces données sont seulement pseudonymes, car la réidentification reste possible « avec des moyens raisonnables ». Trois facteurs ont pesé : un identifiant unique par patient, la profondeur des données (année de naissance, sexe, diagnostic…) et la possibilité d'identifier une personne en combinant ces informations.

Des failles de sécurité élémentaires. La CNIL a relevé qu'« aucune mesure ne permettait d'analyser, de manière régulière, les journaux de connexions » et qu'« aucune authentification multifacteur n'était mise en œuvre » sur l'entrepôt EMR.

Information et droits des personnes négligés. Les pharmacies et médecins partenaires n'informaient pas leurs clients de la transmission des données, et le logiciel transmettait celles-ci « même en cas de refus ». La CNIL y a vu des manquements aux articles 14 et 25 du RGPD et à l'article 66 de la loi Informatique et Libertés. Pour mémoire, l'obligation de notifier une fuite sous 72 heures s'ajoute à ces exigences : voir notre FAQ déclaration CNIL en cas de fuite de données.

Pseudonyme n'est pas anonyme : la leçon n° 1 pour vos données de crise

Beaucoup d'éditeurs et de collectivités se rassurent en retirant le nom d'une base, persuadés de l'avoir « anonymisée ». La CNIL rappelle qu'un identifiant unique, combiné à quelques attributs (âge, sexe, commune, situation), suffit souvent à réidentifier une personne. Ces données restent donc des données personnelles, et toutes les obligations du RGPD s'appliquent.

Or un outil de gestion de crise manipule précisément ce type de données qu'on sous-estime : coordonnées personnelles des agents d'astreinte, registre nominatif tenu par la cellule de crise, mains courantes mentionnant des victimes, registre communal des personnes vulnérables. Croire ces fichiers « anonymes » parce qu'ils sont internes est exactement l'erreur sanctionnée chez IQVIA.

« La donnée la mieux protégée est celle qu'on n'a pas collectée. La deuxième, celle dont on sait exactement qui y accède et quand. »

Principe de minimisation, esprit du RGPD (articles 5 et 25)

MFA et journalisation : la sécurité minimale n'est plus optionnelle

L'absence d'authentification multifacteur et de revue des journaux de connexion est désormais explicitement sanctionnée. Transposé à un outil de crise, qu'il s'agisse d'une war-room virtuelle, d'un outil de coordination de cellule ou d'une plateforme de simulation, cela impose deux réflexes non négociables :

• Authentification multifacteur (MFA) sur tout accès à une plateforme contenant des données personnelles, y compris les comptes prestataires et administrateurs.
• Journalisation puis analyse régulière des accès : enregistrer les connexions ne suffit pas, encore faut-il les relire pour détecter un accès anormal.

À cela s'ajoute le principe de protection des données dès la conception (article 25) : un logiciel qui transmet des données « même en cas de refus » illustre l'inverse. Un outil de crise doit, par défaut, ne collecter que le strict nécessaire et respecter les refus.

4 réflexes pour mettre vos outils de crise à l'abri

1. Cartographier les données personnelles de chaque outil

Annuaire, main courante, registre des vulnérables, plateforme de simulation : listez ce que chaque outil traite réellement. Et ne présumez pas l'anonymat : testez la réidentification. Si un croisement raisonnable permet de retrouver une personne, traitez la base comme des données personnelles.

2. Activer MFA et revue des journaux

Double authentification sur tous les accès, journalisation systématique et revue périodique des connexions. C'est exactement le couple de mesures dont l'absence a coûté cher à IQVIA.

3. Verrouiller la chaîne prestataire

Exigez par écrit les garanties sur le chiffrement, la MFA, la journalisation et le lieu d'hébergement (hébergeur agréé données de santé le cas échéant), via un contrat de sous-traitance conforme à l'article 28 du RGPD. Déléguer l'outil ne transfère pas votre responsabilité. Un exercice de crise est un bon moment pour éprouver, en conditions réelles, qui accède à quoi (voir aussi notre FAQ fréquence d'exercice de crise).

4. Intégrer la dimension cyber dans la culture du risque

La conformité technique n'est rien sans réflexes collectifs. La sécurité des outils de crise se joue dans les habitudes des équipes, leur capacité à signaler un accès anormal, à arbitrer une demande d'accès en urgence. C'est exactement le rôle d'une culture du risque partagée, que nous travaillons avec nos client·es au sein du parcours entreprise et du parcours territoire. Plus largement, ce sujet rejoint les autres décryptages cyber que nous publions, dont notre FAQ 7 actions à mener dans la première heure et notre article comment réagir à un ransomware.

Sources

1. 26 mai 2026 : CNIL, Données de santé : sanction de 5 millions d'euros à l'encontre de la société IQVIA, consulter.
2. Règlement général sur la protection des données (RGPD), articles 5, 14, 25 et 28, consulter.
3. CNIL, Guide de la sécurité des données personnelles, authentification et journalisation, consulter.

Questions fréquentes

Quelle est la différence entre données pseudonymes et données anonymes ?

Des données anonymes ne permettent plus, de façon irréversible, d'identifier une personne : elles sortent du champ du RGPD. Des données pseudonymes restent réidentifiables par des moyens raisonnables (identifiant unique, croisement d'attributs) : elles demeurent des données personnelles soumises au RGPD. C'est précisément la distinction retenue par la CNIL contre IQVIA, qui avait qualifié ses données d'anonymes à tort.

Pourquoi la CNIL a-t-elle sanctionné IQVIA de 5 millions d'euros ?

Pour plusieurs manquements sur ses entrepôts de données de santé : qualification erronée des données comme anonymes, absence d'authentification multifacteur, absence d'analyse régulière des journaux de connexion, défaut d'information des personnes et transmission de données malgré un refus. La CNIL a retenu des manquements aux articles 14 et 25 du RGPD et à l'article 66 de la loi Informatique et Libertés.

L'authentification multifacteur est-elle obligatoire sur un outil de crise ?

Le RGPD impose des mesures de sécurité proportionnées à la sensibilité des données. Dès lors qu'un outil traite des données personnelles ou sensibles (coordonnées d'agents, registre des personnes vulnérables, données de santé), l'authentification multifacteur et la journalisation des accès sont attendues. La sanction IQVIA confirme que leur absence constitue un manquement caractérisé.

Mon registre des personnes vulnérables est-il concerné ?

Oui. Un registre communal des personnes vulnérables contient des données personnelles, parfois liées à l'état de santé ou à l'autonomie. Il doit être protégé par des accès restreints, une authentification renforcée, une journalisation des consultations et une information claire des personnes inscrites. Les principes dégagés contre IQVIA s'y appliquent pleinement.

Comment vérifier la conformité d'un outil de crise fourni par un prestataire ?

Exigez par écrit les garanties sur le chiffrement, l'authentification multifacteur, la journalisation et le lieu d'hébergement (hébergeur agréé données de santé si nécessaire), formalisez un contrat de sous-traitance conforme à l'article 28 du RGPD et intégrez ces points dans vos audits. Déléguer l'outil à un prestataire ne transfère pas votre responsabilité de responsable de traitement.

Pour aller plus loin

Service

Construire sa cellule de crise

Organiser et outiller une cellule où la donnée est maîtrisée, pas subie.

FAQ

Déclaration CNIL sous 72h

Ce qu'une organisation doit faire en cas de fuite de données.

Article

Cyberattaque : pas qu'un sujet IT

Le webinaire avec Alfa-Safety et Nantes@Hack.

Service signature

Exercice de crise

Tester en conditions réelles vos accès, vos outils et vos réflexes.

Article connexe

IA générative en cellule

Quand la technologie devient un risque autant qu'un outil.

Référence

Culture du risque

Ancrer durablement les bons réflexes, jusque dans la donnée.

À propos de l'auteur

Benoît Labalette

Consultant sénior en gestion de crise et culture du risque

Fort d'une expérience variée, de l'Antarctique à l'Angleterre en passant par des missions humanitaires d'urgence chez Médecins Sans Frontières Suisse (Ukraine, Tchad, Soudan), Benoît a étudié à IRIS Sup' avec un mémoire M2 sur la coordination des acteurs de la crise, fondé sur deux exercices ORSEC. Il a rejoint SCOPIC pour lancer Twist : du diagnostic à l'exercice en passant par la mise en place de cellule de crise, jusqu'au RETEX et au rétablissement. Il porte une vision pratique et pragmatique sur les accompagnements qu'il vous propose.

Voir la fiche complète →

Vos outils de crise sont-ils prêts à passer l'épreuve d'un contrôle ?

Un dispositif de crise efficace est aussi un dispositif conforme. Twist accompagne dirigeants, élus et collectivités pour concevoir et tester des outils de crise qui protègent les données autant qu'ils protègent l'organisation.

Échanger avec un consultant