Vous vous souvenez d’IQVIA ? Environ une pharmacie sur deux en France leur envoi toutes vos données. Oui, sans vous le dire.
C’est légal, validé par la CNIL, sous condition d’une information préalable et d’une capacité d’exercer un refus. Cette obligation d’information préalable n’est malheureusement pas respectée et notre capacité à exercer un refus n’existe donc pas.
Je me suis fendu d’une requête RGPD pour obtenir des informations sur mes données et l’origine de leur collecte. IQVIA, illégalement, m’a pour l’instant refusé tout accès.
Ça va partir en dossier à la CNIL.
Il y a probablement plus de chances que ça mène quelque part si je ne suis pas le seul à faire cette démarche.
Ce sont sont des données particulièrement sensibles. Je vous invite donc vraiment à réaliser vous aussi une demande d’accès, insister explicitement après la réponse standardisée que vous obtiendrez, et poser vous aussi ensuite un dossier à la CNIL.
Ces données sont anonymisées, pourquoi ça pose problème ?
Ça pose problème parce que ces données ne sont justement pas anonymisées mais pseudonymisées. On n’y accole pas votre nom ou votre numéro de sécurité sociale mais on vous y individualise quand même via un identifiant unique.
La réidentification de ce genre de données est bien plus facile qu’on ne le croit, surtout pour une entité qui s’en donne vraiment les moyens. Là ce sont toutes nos données de santé qui sont à risque, c’est loin d’être anodin.
La CNIL le dit d’ailleurs assez explicitement dans sa délibération : Il ne s’agit que d’une mesure de sécurité mais ça continue à être des données personnelles, avec les risques associés.
Comment est-ce que ça fonctionne ?
Pour faire simple ça se passe en trois étapes :
- La pharmacie envoie vos données a un premier tiers de confiance, avec votre numéro de sécurité sociale et quelques autres informations. Ce premier tiers de confiance utilise une formule pour transformer ces informations en un identifiant intermédiaire. Cet identifiant ne correspond à rien mais vous aurez toujours le même.
- Cet identifiant intermédiaire est ensuite envoyé à un second tiers de confiance, qui calcule un autre identifiant à partir du premier. Ce sera votre pseudonyme dans la base IQVIA.
- Ensuite, vos données sont envoyées à IQVIA, sans vos identifiants réels mais attachés à votre pseudonyme.
Pourquoi dis-tu que la réidentification est facile ?
Il y a trois procédés classiques pour réidentifier ce genre de données.
Le premier est le plus simple : On utilise le même circuit qu’IQVIA. À partir de vos identifiants réels, on va calculer votre identifiant intermédiaire avec la formule du premier tiers de confiance, puis avec cet identifiant intermédiaire on va calculer votre pseudonyme chez le second tiers de confiance. Une fois qu’on connait votre pseudonyme on peut récupérer toutes vos données chez IQVIA, à votre nom.
C’est possible avec l’aide volontaire ou involontaire des différents tiers de confiance : Requête judiciaire, intrusion suite à une faille de sécurité, espionnage d’un État, malveillance interne, erreur idiote de configuration ou de manipulation de la part du prestataire, etc.
Les deux autres procédés utilisent la statistique. Si on connait quelque chose d’assez unique, on peut réidentifier quelqu’un. Vous avez acheté hier à la fois un anti-allergique et un une préparation ophtalmique dans une pharmacie de Vannes ? Vous êtes probablement le seul. Vous allez régulièrement à une pharmacie de quartier dans le 11ème à Paris et vous avez fait des achats à la pharmacie de l’hôpital de votre lieu de vacances suite à une alerte cardiaque ? Vous êtes probablement le seul. On ne sait pas où mais on connait votre marque de pilule contraceptive, le fait que vous en avez changé il y a 2 mois, que vous avez le rhume des foins et que vous avez eu un traitement pour une maladie spécifique le mois dernier. Là aussi, vous serez probablement unique.
Si on connaît ces informations sur vous, on peut faire trouver le seul pseudonyme qui correspond dans la base IQVIA, et réupérer le reste des données attachées.
À l’inverse, si on repère des données intéressantes dans la base IQVIA, on peut croiser plusieurs informations de ce type pour tenter de retrouver qui est la personne concernée, avec succès.
Pourquoi dis-tu que l’obligation d’information n’est pas respectée ?
IQVIA travaille avec près d’une pharmacie sur deux en France. Statistiquement, si vous avez utilisé au moins une fois trois ou quatre pharmacie au total ces dernières années, vos données sont concernées. En avez-vous été informé ?
J’ai du passer dans plus d’une dizaine de pharmacies différentes en quelques années, sans aucune information. J’ai demandé via un sondage twitter, avec des connaissances plutôt très portées sur le respect des données personnelles, qui y font attention. Je n’ai plus les chiffres exacts mais sur plus d’une centaine de personnes, une seule avait indiqué avoir reçu une information (et potentiellement c’était après le reportage de Cash Investigation).
Les reporters de Cash Investigation ont eux fait une vraie recherche et étaient arrivés au même résultat : Aucune information.
IQVIA indique que le refus se demande via les pharmacies partenaires. Pourquoi insister auprès d’IQVIA ?
Quelles pharmacies partenaires ? Vu qu’elles ne respectent pas leur obligation d’information, je ne peux pas y exercer mon droit de refus. IQVIA a explicitement refusé de me communiquer les pharmacies partenaires pour que je puisse y agir moi-même malgré tout.
Je me retrouve sans moyen d’action pour faire respecter mes droits.
Au delà du refus, j’ai légalement un droit d’accès. J’aimerais au minimum savoir quelles données ont été transférées jusque là, et par qui.
Sauf à connaître l’exacte liste des pharmacies par lesquelles je suis passé ces dernières années, mon seul canal d’accès est bien IQVIA. Ce sont aussi eux qui sont responsable de traitement sur cette base de données, et la CNIL a rappelé explicitement que la pseudonymisation (nécessaire pour des raisons de sécurité) ne les dégageait en rien de leurs autres obligations.
Que peut faire IQVIA vu que les données sont pseudonymisées ?
Ils peuvent opérer le premier moyen de réidentification décrit plus haut. J’ai explicitement donné mon accord pour qu’ils contactent les tiers de confiance en mon nom (je n’ai pas la possibilité de le faire moi-même).
À défaut, sans que cela ne réponde à toutes leurs obligations ni à toutes mes demandes, ils pourraient au moins me fournir la liste des pharmacies partenaires avec les moyens de contact pour que j’opère moi-même des demandes d’accès individuelles auprès de ces officines.
Ils ne m’ont même pas donné une seule adresse pour opérer un refus. C’est dire la mauvaise volonté.
Mais n’ont-ils pas eu la validation de la CNIL ?
Ce qu’ils font relève de la recherche, avec un intérêt légitime, et ils mettent en oeuvre les moyens de sécurisation adaptés pour cela, dont la pseudonymisation.
La CNIL a donc légitimement validé l’activité. Rien à dire là dessus.
Dans sa délibération la CNIL rappelle toutefois que ces données restent des données personnelles et que la pseudonymisation ne retire en rien les obligations d’IQVIA liées à la gestion de ces données personnelles.
Bref, ils ont le droit de faire ce qu’ils font, à condition d’informer les usagers (obligation qu’ils n’ont pas respecté) et à condition de respecter l’ensemble de leurs autres obligations liées à la gestion des données récoltées (et ils viennent de m’opposer un refus).
Ils ne peuvent pas se cacher derrière l’autorisation de la CNIL en ne la respectant qu’à moitié.
Ok, que puis-je faire pour aider ?
- Faire une requête d’accès à vos données auprès du DPO d’IQVIA, insister, noter leur refus par écrit, déposer un dossier de réclamation à la CNIL (sans avoir d’information sur leur priorisation, le nombre joue forcément : La CNIL s’était même défendue d’être intervenue en disant n’avoir reçu aucune plainte)
- Joindre votre journaliste préféré pour qu’on continue à donner de la publicité au problème, et faire en sorte que la CNIL, IQVIA, nos politiques ou les autorités réagissent.
- Joindre votre député préféré pour lui parler du problème et obtenir son action.
- Diffuser l’information et/ou le reportage de Cash Investigation.
Laisser un commentaire