Données de santé, pharmacies et IQVIA : qui doit informer les clients ?

L'équipe de Cash Investigation s'est intéressée aux "data brokers", les courtiers en données, dans un nouvel épisode intitulé "Nos données personnelles valent de l'or". Elle s'est notamment penchée sur les données de santé, une catégorie de données personnelles particulièrement sensibles à laquelle s'applique une réglementation très stricte.

IQVIA, spécialiste des données de santé
L'émission s'est concentrée sur la société américaine IQVIA. Sur son site Internet, elle se présente comme une entreprise spécialisée dans "la fourniture d'informations, de technologies innovantes et de services d'étude de recherche sous contrat utilisant la donnée de la science pour aider les acteurs de la santé à trouver les meilleures solutions pour les patients".

Elle est née de la fusion entre deux sociétés américaines : Quintiles, spécialisée dans les études cliniques, et IMS Health, qui propose des études, du conseil et des services pour l'industrie pharmaceutique. IQVIA compte aujourd'hui 55 000 employés et est présent dans plus de 100 pays, dont la France où son siège se situe à Courbevoie, dans les Hauts-de-Seine. Il présente un chiffre d'affaires annuel de près de 10 milliards de dollars.

Une autorisation accordée par la Cnil
La filiale française de cette société a été autorisée dans une délibération rendue le 12 septembre 2018 par la Commission nationale de l'informatique et des libertés (Cnil) à créer un entrepôt de données avec les données récoltées par les pharmacies. Cette base de données, baptisée "LRX" contient le numéro de sécurité sociale (NIR), l'année de naissance, le prénom et le sexe, les données dites de délivrance relative aux dispensations de produits de santé.

La récolte de données repose sur le réseau Pharmastat d'IQVIA, grâce auquel les informations de vente sont télétransmises par la pharmacie via un module intégré à son logiciel de gestion de l'officine. Elles sont réceptionnées par "un tiers de confiance" qui les anonymisent puis les envoient à IQIVIA, d'après le site de la société américaine. Ce service est implanté dans près de la moitié des pharmacies en France, d'après Cash Investigation.

En échange, les pharmaciens reçoivent six euros par mois et une étude de marché ciblée sur leur officine pour piloter leurs activités commerciales.

Un manque d'information imputable aux pharmaciens
D'après la délibération de la Cnil, les pharmaciens sont chargés "contractuellement" d'informer leurs clients du traitement des données les concernant grâce à "la remise d'une notice d'information". Cette information doit être complétée par "un document affiché au sein de la pharmacie ou diffusé sur son site web". Les clients doivent également avoir la possibilité d'exercer leurs droits d'accès, de rectification et d'opposition, prévus par la Règlement sur la protection des données (RGPD).

Sur les 200 pharmacies visitées par les journalistes, aucune n'affichait de pancarte informant de cette collecte des données. Nous ne savons pas s'ils ont vérifié les sites web des pharmacies concernées. Précision importante, ce n'est pas à IQVIA d'informer les clients mais bien à chaque pharmacie de le faire.

Concernant la protection des données, la société américaine affirme que les informations récoltées via son réseau Pharmastat sont anonymisées. Une affirmation remise en doute par Cash Investigation, qui affirme (sans en apporter une preuve quelconque) que l'entreprise n'a pas vraiment intérêt à le faire pour pouvoir revendre les données ensuite.

Les données doivent être pseudonymisées
A ce sujet, la Cnil rappelle dans un communiqué en réaction à l'émission que les données doivent être "pseudonymisées" au sens du RGPD, c'est-à-dire que les données ne peuvent plus être attribuées à une personne sans avoir besoin de recourir à des informations supplémentaires. En pratique, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom...) d’un jeu de données par des données indirectement identifiantes (alias, numéro dans un classement...).

Ainsi, "le numéro de sécurité sociale (NIR), qui permet de chainer les données contenues dans l’entrepôt, c’est-à-dire de faire le lien entre plusieurs dispensations de médicaments dans des officines différentes, ne peut être transmis 'en clair' à la société IQVIA". La société n'est pas non plus autorisée à procéder à "des rapprochements, interconnexions, mises en relation, appariements avec tout fichier de données directement ou indirectement identifiantes". 

Comment sont utilisées les données ?
Concernant la finalité du traitement de données, la Cnil explique que les données contenues dans la base "LRX" ne peuvent être utilisées que pour permettre de mener des "études non interventionnelles visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications". Elles peuvent ainsi permettre "d'éclairer les acteurs privés comme publics sur le bon usage des médicaments, l'identification des interactions médicamenteuses, la prise en charge des patients, l'observance des traitements". 

Par conséquent, ces données ne peuvent pas être "utilisées pour promouvoir commercialement des produits de santé, notamment en direction des professionnels de santé" ni "à des fins d'exclusion de garanties des contrats d'assurance et de modification de cotisations ou primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque", détaille la Cnil.

Il est interdit de vendre les données de santé
D'après Cash Investigation, les données récoltées dans les pharmacies seraient vendues à des entreprises pharmaceutiques. Or, en France, cette activité est strictement interdite par l'article L. 1111-8 du Code de la santé publique : "tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit". Cette infraction est punie de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Pour avoir des précisions, L'Usine Digitale a envoyé un email à IQVIA à ce sujet. Voici sa réponse : "Conformément à la législation en vigueur, IQVIA ne vend aucune donnée de santé issues des pharmacies. Les données issues des pharmacies qui sont transmises à ses clients sont des données de marché, qui ne contiennent aucune information concernant les patients. En conformité avec l’autorisation délivrée à IQVIA par la Cnil le 12 juillet 2018, IQVIA utilise des données de santé anonymes uniquement dans le cadre de la réalisation d’études visant à l’amélioration des parcours de soins et des traitements".

Bien qu'aucune plainte n'ait été déposée, la Commission annonce qu'elle diligentera des contrôles pour vérifier le strict respect de ces obligations. Une annonce saluée par le secrétaire d'Etat chargé de la Transition numérique et des Communications électroniques dans un tweet. 

Sélectionné pour vous

La plateforme de signature électronique de Dropbox touchée par une cyberattaque

Noyb porte plainte contre OpenAI pour mauvais traitement des données personnelles

Vers un Health Data Hub européen pour favoriser la réutilisation des données de santé