Autorisé par la Cnil depuis le 12 juillet 2018 à constituer un entrepôt de données (baptisé LRX) portant sur des données personnelles de santé de millions de Français, Iqvia doit se préparer à des contrôles. L'institution n'a pas décidé du jour au lendemain de vérifier si le géant américain de l'exploitation des données de santé respecte bien en France ses nombreux engagements. Mais un reportage de Cash Investigation diffusé ce jeudi 20 mai 2021 sur France 2 « Nos données personnelles valent de l'or ! » l'a semble-t-il poussé à agir. Et à ouvrir le parapluie ? « Le fonctionnement de l’entrepôt de données de la société Iqvia autorisé en 2018 a été mis en cause dans l’émission Cash Investigation qui sera diffusée le 20 mai prochain. La Cnil précise qu’à ce jour, elle n’a pas reçu de plainte relative au fonctionnement de cet entrepôt mais annonce, au regard des éléments portés à la connaissance du public, qu’elle diligentera des contrôles », a indiqué la commission.
L'exploitation des données personnelles de santé en France est très encadrée. Ainsi, la loi française via le Code de la santé publique (art.L.1460-1) prévoit que les données de santé destinées au secteur public, à la sécurité sociale ou aux professionnels de santé ne peuvent être réutilisées que pour des projets d'intérêt public (recherches pour développer de nouveaux médicaments, évaluation médico-économique des consommations, analyse de parcours de soins...). De plus, elles doivent être « pseudonymisées » pour rendre la ré-identification des personnes la plus difficile possible.
Les pharmaciens impliqués dans le rouage du business model d'Iqvia
Dans le cadre de l'autorisation accordée à Iqvia pour bâtir LRX, une batterie de garanties ont été exigées par la Cnil. Parmi lesquelles le respect d'une finalité circonscrite impliquant de n'utiliser en aucun cas les données de santé pour promouvoir commercialement des produits de santé, assurer une information individuelle des personnes et leur droit d'opposition. Ou encore ne procéder à aucun rapprochement, interconnexion, mise en relation et appariement avec tout fichier de données directement ou indirectement identifiantes ou toute information susceptible de révéler l'identité d'une personne et/ou son état de santé.
Or, des questions se posent sur la capacité d'Iqvia a bien avoir respecté tous ses engagements auprès de la Cnil au regard de l'enquête menée par Cash Investigation. Détenteur de données de santé personnelles sensibles (prescriptions, dossiers médicaux, données de recherche...) aux Etats-Unis, le data broker américain (10 Md$ de revenus) Iqvia s'appuie sur un modèle économique basé notamment sur la récupération des prescriptions médicales auprès des pharmaciens en échange de la fourniture de logiciels métiers. Certains d'entre eux ont poursuivi le groupe en justice pour l'exploitation de leurs données sans autorisation, avec à la clé 10 M$ d'indemnités versées en justice. En France, un schéma similaire a-t-il été mis en place ? L'échange des données de ventes de médicaments sur prescription ou parapharmacie contre rétribution financière mensuelle et l'envoi d'un reporting d'activité semble en tout cas bel est bien réel. Sur la base des informations achetées, Iqvia réaliserait des données d'études dont les tarifs oscilleraient de 20 000 à 500 000 euros auprès d'acteurs pharmaceutiques. Dans ce cas, peut-on encore parler de garantie de « l'intérêt public » ? La Cnil devrait se pencher sur la question.
Le Health Data Hub, un tremplin business pour Iqvia
Iqvia doit également assurer l'information individuelle des personnes et leur droit d'opposition. Or, l'enquête de Cash Investigation montre que sur 200 pharmacies visitées en France, aucune n'avait mis en place une affichette réglementaire explicitant l'exploitation des données de leurs clients par Iqvia et la possibilité de s'y opposer. Suite à cette enquête, la société a inclus dans le logiciel métier des pharmacies ayant passé un accord avec elle (1 sur 2 en France a priori) un dispositif permettant de bloquer la remontée des données patients, au cas par cas. Passé d'Iqvia à la tête du Health Data Hub avant de revenir chez le data broker au poste de président, Jean-Marc Aubert est-il au coeur d'un éventuel conflit d'intérêt ? La question est posée par notre confrère, alors que ce dernier le réfute en bloc sur la base des déclarations faites auprès de la commission de déontologie et de la Haute Autorité de Santé dont il a obtenu tous les feux verts.
La mise sur pied du Health Data Hub, poussée au plus haut niveau de l'Etat par Emmanuel Macron, constituerait par ailleurs une opportunité clé pour Iqvia pour accéder facilement - au même titre que d'autres opérateurs - à des dossiers et données de santé encore plus confidentiels issus des hôpitaux, cliniques, cabinets médicaux, laboratoires d'analyse... Sur ce sujet, la question de l'anonymisation des données est centrale. « On travaille depuis 60 ans sur l'anonymisation des données et on a eu 0 incident depuis », assure Jean-Marc Aubert. Mais ne pas avoir eu d'incident déclaré ne veut pas dire pour autant que l'anonymisation de ces données est assurée à 100%. Une fois encore, la Cnil devra se pencher sur la question pour éclaircir la situation.
Les pratiques de Doctissimo, ColdCRM et des géants du web aussi épinglées
Dans le cadre de son reportage, Cash Investigation s'intéresse à d'autres exemples d'entreprises françaises dont le traitement en termes de gestion des données personnelles interpelle. C'est le cas notamment pour Doctissimo (groupe Unify) dont l'application Ma grossesse et ses tests en ligne débouchent sur l'envoi d'informations personnelles sans demande de consentement explicite et éclairé de l'utilisateur jusqu'à plusieurs dizaines de tiers. Ou encore de ColdCRM, lancé par le Français Raphaël Azot, sur lequel on peut retrouver via quelques euros des numéros de téléphone de personnalités et ministres allant de Gérald Darmanin à Jean-Luc Mélenchon en passant par de très hauts gradés de la police qui n'ont jamais donné leur accord pour y figurer. Les pratiques des géants du web en matière de traitement des données personnelles ne sont bien entendu pas éludées par Cash Investigation qui a tenté de récupérer auprès de 40 grandes plateformes (dont Google, Facebook, Apple...) leurs données. Avec au final une bien maigre récolte au bout de 4 mois : 13 ont envoyé des fichiers, 11 ont prétendu n'avoir aucune donnée personnelle et 16 n'ont pas répondu dont Facebook et Google. Ce dernier, ayant pourtant déjà été condamné à 50 M€ d'amende pour violation du RGPD, semble faire la sourde oreille à ce type de requête pourtant très légitime.
Interrogé sur ces multiples dérives, le secrétaire d'Etat au numérique Cédric O a réagi : « Je pense que le RGPD est un bon texte, qu'il est globalement respecté par les entreprises du net mais qu'il y a encore quelques trous dans la raquette ». Des trous peut-être, des gouffres certainement.