Recevez chaque jour toute l'actualité du numérique

x

Des organisations saisissent la Cnil sur les pratiques d'IQVIA en matière de données de santé

Des associations des libertés numériques et de la défense des libertés fondamentales, des associations de patients ainsi que des syndicats de médecins ont déposé un signalement auprès de la Cnil pour obtenir des précisions sur l'activité d'IQVIA. La filiale française de cette entreprise américaine récolte les données personnelles des clients de pharmacies pour mener des études.
Twitter Facebook Linkedin Flipboard Email
×

Des organisations saisissent la Cnil sur les pratiques d'IQVIA en matière de données de santé
Des organisations saisissent la Cnil sur les pratiques d'IQVIA en matière de données de santé © Cnil/Facebook

Huit organisations et associations ont transmis un signalement à la Commission nationale de l'informatique et des libertés (Cnil) à propos de la société américaine IQVIA dont l'activité a été dénoncée par les équipes de Cash Investigation dans l'émission "Nos données personnelles valent de l'or".

La Fédération SUD Santé Sociaux, l’association AIDES, l’association Nothing2Hide, l’association Actions Traitement, la Ligue des Droits de l’Homme, le Syndicat de la Médecine Générale, l'Union Française pour une Médecine Libre et l'association InterHop souhaitent solliciter l'autorité française pour qu'elle éclaircisse certains points qui leur semblent problématiques.

Exploiter les données des pharmacies
Pour rappel, la filiale française d'IQVIA a été autorisée dans une délibération de la Cnil à créer un entrepôt de données avec les informations récoltées par les pharmacies sur leurs clients. Cette base de données, baptisée "LRX", contient le numéro de sécurité sociale, l'année de naissance, le prénom, le sexe ainsi que les données dites de délivrance c'est-à-dire celles relatives à la distribution de produits de santé.

Cette récolte de données repose sur le réseau Pharmastat d'IQVIA à travers lequel ces données personnelles sont télétransmises par la pharmacie via un module intégré à son logiciel de gestion de l'officine. Ce dispositif serait utilisé dans près de la moitié des pharmacies françaises, d'après Cash Investigation.

Sollicitée par L'Usine Digitale, la filiale française de la société avait affirmé que les données transférées n'étaient pas vendues. "IQVIA utilise des données de santé anonymes uniquement dans le cadre de la réalisation d’études visant à l’amélioration des parcours de soins et des traitements", expliquait-t-elle. A noter que les données ne sont pas anonymisées mais pseudonymisées, d'après la délibération de la Cnil. A ce titre, ce sont toujours de données personnelles au sens du RGPD car l’opération de pseudonymisation est réversible, contrairement à l’anonymisation.

Une société américaine qui traite des données françaises
La première inquiétude soulevée par les requérants est la nationalité américaine d'IQVIA. Ainsi, l'entrepôt de données de santé est "soumis au droit américain, lequel n'assurerait pas un niveau de protection suffisant au regard du RGPD", indique InterHop sur son site internet citant l'arrêt Schrems qui a invalidé le Privacy Shield. Cet accord facilitant les flux de données entre l'Europe et les Etats-Unis en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen.

Par conséquent, les organisations souhaitent connaître les cas où IQVIA intervient en tant que "responsable de traitement" ou "sous-traitant" ou encore "co-responsable" avec les pharmacies du réseau Pharmastat, qu’un contrôle soit réalisé en ce qui concerne les informations délivrées aux patients, que le principe du recueil de consentement dans le cadre des finalités commerciales Pharmastat soit rappelé, contrôlé et effectif et que l’effectivité des droits d’opposition des patients par le biais du code barre à scanner soit contrôlée et vérifiée.

Elles souhaitent également que le principe de portabilité des données recueillies par les logiciels de gestion d’Officine LGO fournis par IQVIA soit effectif et respecté et que le traitement des données de santé notamment dans le cadre de l’entrepôt LRX par une société soumise au droit américain donne lieu à une nouvelle analyse des risques en présence.

Ces problématiques sont arrivées jusqu'au sommet de l'Etat puisque le Sénat a été amené à échanger sur ce sujet. Interrogé par la sénatrice centriste Christine Herzog, le secrétaire d'État en charge de l'enfance et des familles Adrien Taquet cité par Public Sénat affirme que "l’entreprise n’a jamais accès à l’identité du patient. Ces données permettent de mener des études d’intérêt public, qui visent par exemple la bonne utilisation du médicament". Il soutient que les données ne sont jamais vendues.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.