Conformité 4 min 8 juin 2026

Amende CNIL de 5 M€ : la leçon IQVIA sur les données de santé

RGPD CNIL Données de santé Privacy AIPD

5 millions d'euros.

C'est le montant de l'amende infligée par la CNIL à IQVIA pour des manquements liés à la gestion de données de santé.

👉 Et derrière ce chiffre, il y a une leçon que toutes les organisations devraient retenir : lorsqu'il s'agit de données de santé, l'approximation n'existe pas.

5 M€

d'amende prononcée par la CNIL

pour des manquements liés à la gestion de données de santé, concernant plusieurs dizaines de millions de personnes

Source : CNIL — affaire IQVIA

Les données de santé font partie des données les plus sensibles protégées par le RGPD. La conformité n'y est jamais une simple formalité administrative.

🔍 Ce que cette affaire nous rappelle

La conformité n'est pas une formalité — c'est une question de confiance

Trop souvent, les organisations considèrent la conformité comme une formalité administrative. Pourtant, lorsqu'une entreprise traite des données sensibles, la question n'est pas seulement « Est-ce légal ? » mais aussi : « Les personnes concernées comprennent-elles réellement ce qui est fait avec leurs données ? »

« La confiance se construit sur la transparence — pas sur une mention juridique de plusieurs pages que personne ne lit. »

→La transparence ne se limite pas à une politique de confidentialité illisible
→Les personnes doivent comprendre simplement ce qui est fait de leurs données
→Dans la santé, le coût d'une erreur dépasse largement le montant d'une amende

📢1. Informer clairement les personnes

👉 Des informations simples, accessibles et compréhensibles.

Privilégier un langage clair plutôt que du jargon juridique
Rendre l'information facilement accessible
Expliquer la finalité réelle de chaque traitement

🗂️2. Documenter les traitements

👉 Cartographier précisément les données collectées.

Recenser les données collectées et leur finalité
Définir une durée de conservation pour chaque traitement
Tenir un registre des activités de traitement à jour

🛠️3. Appliquer le Privacy by Design

👉 La protection des données dès la conception du projet.

Intégrer la protection des données en amont, pas après coup
Minimiser les données collectées au strict nécessaire
Sécuriser par défaut (chiffrement, accès restreints)

📊4. Réaliser une AIPD lorsque nécessaire

👉 Pour les traitements à risque élevé, ce n'est pas une option.

Identifier les traitements à risque élevé
Évaluer l'impact sur les droits et libertés des personnes
Documenter les mesures de réduction du risque

🔁5. Auditer régulièrement son écosystème

👉 La conformité ne s'arrête pas aux frontières de l'entreprise.

Évaluer prestataires, sous-traitants et partenaires
Encadrer les transferts de données par contrat
Mettre en place des audits récurrents, pas ponctuels

💬 Mon avis

Les incidents les plus coûteux ne viennent pas toujours d'une attaque

La cybersécurité et la protection des données ont un point commun : les problèmes les plus coûteux ne viennent pas toujours d'une attaque sophistiquée. Ils viennent souvent d'un manque de gouvernance, de contrôle ou de transparence.

« Dans le domaine de la santé, le coût d'une erreur dépasse largement le montant d'une amende. C'est avant tout une question de confiance. »

→Une bonne gouvernance prévient plus d'incidents qu'un outil de plus
→Le contrôle régulier vaut mieux que la réaction dans l'urgence
→La transparence est un actif, pas une contrainte

🧠 Et vous ?

Avec les données sensibles, l'approximation n'existe pas.

✔ Informer clairement

✔ Documenter les traitements

✔ Privacy by Design

✔ AIPD pour les traitements à risque

✔ Auditer son écosystème

Commencez par une question simple : votre organisation réalise-t-elle des AIPD pour ses traitements sensibles ?

Selon vous, les sanctions financières sont-elles le meilleur levier pour améliorer la protection des données personnelles — ou la confiance se construit-elle ailleurs ?

Partager LinkedIn X / Twitter