Par un communiqué en date du 28 mai, la CNIL annonce avoir « sanctionné [la société IQVIA] d’une amende de 5 millions d’euros, notamment pour non-respect des garanties visant à limiter les risques pour les personnes dans le cadre de la gestion d’entrepôts de données de santé » [1]. Nous avons fait partie des associations et syndicats [2] à avoir signalé à la CNIL les pratiques illégales de cette société en 2021 suite à une émission de « Cash Investigation » [3] et nous nous félicitons de cette décision de la CNIL.
La CNIL a considéré les manquements d’IQVIA comme particulièrement graves en raison de la nature sensible des données traitées (données de santé), du nombre très important de personnes concernées (plusieurs dizaines de millions), de la durée des pratiques constatées et du non-respect de droit fondamentaux définis par le RPGD (droit d’opposition et d’information). Aucune authentification multifacteurs n’était par ailleurs mise en œuvre.
5 ans après la révélation de violations d’ampleur de données personnelles sensibles, nous nous interrogeons sur les mesures prises par les instances publiques pour prévenir ces mises en danger des données de santé. Sans parler des vols de données (cf. les vols récents de données de santé chez les logiciels médicaux Weda et Cegedim), quels moyens ont été mis pour le contrôle ? pour la formation des professionnel.les de santé à l’information des patient.es ? pour la communication directe vers les patient.es notamment sur leur droit d’opposition ?
C’est donc une victoire aujourd’hui, mais la bataille pour la protection des données personnelles notamment sensibles continue !
L’association Nothing2Hide
Le Syndicat de la Médecine Générale
L’association InterHop
La Ligue des Droits de l’Homme