5 millions d’euros, c’est l’amende record infligée par la Commission nationale de l’informatique et des libertés (CNIL) pour protéger les droits des patients concernant leurs données. Cette sanction prononcée à l’encontre d’IQVIA, multinationale américaine spécialisée dans le traitement des données de santé, concerne plusieurs manquements liés à ses entrepôts de données de santé. Des bases de données alimentées par des données issues de 14 000 pharmacies d’officine et de médecins et utilisées pour réaliser des études pour son propre compte ou pour le compte de laboratoires pharmaceutiques.

Après enquête, La CNIL a considéré que la société n’avait « pas respecté les termes des autorisations délivrées, s’agissant notamment de l’information des personnes, de l’exercice de leurs droits et de la sécurité des données ». En 2021, déjà, une enquête de Cash Investigation (France 2) avait montré l’absence quasi systématique des dispositifs d’information des personnes pourtant exigés par la réglementation. Ces révélations avaient conduit la CNIL à diligenter des contrôles qui dessinent, cinq ans plus tard, un tableau encore plus alarmant :

• une information défaillante de bout en bout pour les patients ;
• des études réalisées en dehors du champ autorisé par la CNIL ;
• une faiblesse dans l’anonymisation des données qui pouvait exposer l’identité des personnes ;
• une impossibilité pour les patients à faire valoir leur droit d’opposition à ce que leurs données soit recueillies et utilisées.

Cette affaire dépasse largement le seul cas d’IQVIA. Elle illustre les tensions croissantes autour de la gouvernance des données de santé dans un contexte où celles-ci sont présentées comme un levier majeur pour la recherche, l’innovation, l’intelligence artificielle ou encore le pilotage des politiques publiques. Ces objectifs peuvent être légitimes. Mais ils ne sauraient justifier un affaiblissement des garanties offertes aux personnes concernées qui acceptent implicitement que leurs soient utilisées au nom du bien commun.

Pour les usagers, la sanction de la CNIL constitue donc un signal salutaire qui rappelle que l’autorité indépendante pose un regard exigeant sur ce qu’il advient de leurs données et envoie aussi un avertissement ferme à ceux qui les utilisent. Elle confirme que l’anonymisation revendiquée, les promesses de sécurité ou les bénéfices attendus pour la recherche ne sauraient dispenser du respect strict des obligations prévues par le RGPD et la réglementation applicable aux données de santé.

C’est précisément le sens de notre récente note consacrée à la défense d’une évaluation éthique et scientifique du partage des données. Nous y rappelons qu’aucune stratégie de valorisation des données ne pourra être durable sans garanties robustes, sans contrôle effectif et sans confiance des usagers.

Au moment où le règlement européen de l’Espace Européen des Données de Santé va accélérer le partage de données pour la recherche, cette décision réaffirme la place centrale que l’autorité de protection des données doit continuer à occuper. La confiance des citoyens n’est pas une ressource inépuisable. Elle se construit par la transparence, le respect des droits et la démonstration concrète que l’intérêt public prime sur les logiques mercantiles.