Refus RGPD d’IQVIA

Vous vous souve­nez d’IQVIA ? Envi­ron une phar­ma­cie sur deux en France leur envoi toutes vos données. Oui, sans vous le dire.

C’est légal, validé par la CNIL, sous condi­tion d’une infor­ma­tion préa­lable et d’une capa­cité d’exer­cer un refus. Cette obli­ga­tion d’in­for­ma­tion préa­lable n’est malheu­reu­se­ment pas respec­tée et notre capa­cité à exer­cer un refus n’existe donc pas.

Je me suis fendu d’une requête RGPD pour obte­nir des infor­ma­tions sur mes données et l’ori­gine de leur collecte. IQVIA, illé­ga­le­ment, m’a pour l’ins­tant refusé tout accès.

Ça va partir en dossier à la CNIL.

Il y a proba­ble­ment plus de chances que ça mène quelque part si je ne suis pas le seul à faire cette démarche.

Ce sont sont des données parti­cu­liè­re­ment sensibles. Je vous invite donc vrai­ment à réali­ser vous aussi une demande d’ac­cès, insis­ter expli­ci­te­ment après la réponse stan­dar­di­sée que vous obtien­drez, et poser vous aussi ensuite un dossier à la CNIL.


Ces données sont anony­mi­sées, pourquoi ça pose problème ?

Ça pose problème parce que ces données ne sont juste­ment pas anony­mi­sées mais pseu­do­ny­mi­sées. On n’y accole pas votre nom ou votre numéro de sécu­rité sociale mais on vous y indi­vi­dua­lise quand même via un iden­ti­fiant unique.

La réiden­ti­fi­ca­tion de ce genre de données est bien plus facile qu’on ne le croit, surtout pour une entité qui s’en donne vrai­ment les moyens. Là ce sont toutes nos données de santé qui sont à risque, c’est loin d’être anodin.

La CNIL le dit d’ailleurs assez expli­ci­te­ment dans sa déli­bé­ra­tion : Il ne s’agit que d’une mesure de sécu­rité mais ça conti­nue à être des données person­nelles, avec les risques asso­ciés.

Comment est-ce que ça fonc­tionne ?

Pour faire simple ça se passe en trois étapes :

  1. La phar­ma­cie envoie vos données a un premier tiers de confiance, avec votre numéro de sécu­rité sociale et quelques autres infor­ma­tions. Ce premier tiers de confiance utilise une formule pour trans­for­mer ces infor­ma­tions en un iden­ti­fiant inter­mé­diaire. Cet iden­ti­fiant ne corres­pond à rien mais vous aurez toujours le même.
  2. Cet iden­ti­fiant inter­mé­diaire est ensuite envoyé à un second tiers de confiance, qui calcule un autre iden­ti­fiant à partir du premier. Ce sera votre pseu­do­nyme dans la base IQVIA.
  3. Ensuite, vos données sont envoyées à IQVIA, sans vos iden­ti­fiants réels mais atta­chés à votre pseu­do­nyme.

Pourquoi dis-tu que la réiden­ti­fi­ca­tion est facile ?

Il y a trois procé­dés clas­siques pour réiden­ti­fier ce genre de données.

Le premier est le plus simple : On utilise le même circuit qu’IQVIA. À partir de vos iden­ti­fiants réels, on va calcu­ler votre iden­ti­fiant inter­mé­diaire avec la formule du premier tiers de confiance, puis avec cet iden­ti­fiant inter­mé­diaire on va calcu­ler votre pseu­do­nyme chez le second tiers de confiance. Une fois qu’on connait votre pseu­do­nyme on peut récu­pé­rer toutes vos données chez IQVIA, à votre nom.
C’est possible avec l’aide volon­taire ou invo­lon­taire des diffé­rents tiers de confiance : Requête judi­ciaire, intru­sion suite à une faille de sécu­rité, espion­nage d’un État, malveillance interne, erreur idiote de confi­gu­ra­tion ou de mani­pu­la­tion de la part du pres­ta­taire, etc.

Les deux autres procé­dés utilisent la statis­tique. Si on connait quelque chose d’as­sez unique, on peut réiden­ti­fier quelqu’un. Vous avez acheté hier à la fois un anti-aller­gique et un une prépa­ra­tion ophtal­mique dans une phar­ma­cie de Vannes ? Vous êtes proba­ble­ment le seul. Vous allez régu­liè­re­ment à une phar­ma­cie de quar­tier dans le 11ème à Paris et vous avez fait des achats à la phar­ma­cie de l’hô­pi­tal de votre lieu de vacances suite à une alerte cardiaque ? Vous êtes proba­ble­ment le seul. On ne sait pas où mais on connait votre marque de pilule contra­cep­tive, le fait que vous en avez changé il y a 2 mois, que vous avez le rhume des foins et que vous avez eu un trai­te­ment pour une mala­die spéci­fique le mois dernier. Là aussi, vous serez proba­ble­ment unique.
Si on connaît ces infor­ma­tions sur vous, on peut faire trou­ver le seul pseu­do­nyme qui corres­pond dans la base IQVIA, et réupé­rer le reste des données atta­chées.
À l’in­verse, si on repère des données inté­res­santes dans la base IQVIA, on peut croi­ser plusieurs infor­ma­tions de ce type pour tenter de retrou­ver qui est la personne concer­née, avec succès.

Pourquoi dis-tu que l’obli­ga­tion d’in­for­ma­tion n’est pas respec­tée ?

IQVIA travaille avec près d’une phar­ma­cie sur deux en France. Statis­tique­ment, si vous avez utilisé au moins une fois trois ou quatre phar­ma­cie au total ces dernières années, vos données sont concer­nées. En avez-vous été informé ?

J’ai du passer dans plus d’une dizaine de phar­ma­cies diffé­rentes en quelques années, sans aucune infor­ma­tion. J’ai demandé via un sondage twit­ter, avec des connais­sances plutôt très portées sur le respect des données person­nelles, qui y font atten­tion. Je n’ai plus les chiffres exacts mais sur plus d’une centaine de personnes, une seule avait indiqué avoir reçu une infor­ma­tion (et poten­tiel­le­ment c’était après le repor­tage de Cash Inves­ti­ga­tion).

Les repor­ters de Cash Inves­ti­ga­tion ont eux fait une vraie recherche et étaient arri­vés au même résul­tat : Aucune infor­ma­tion.

IQVIA indique que le refus se demande via les phar­ma­cies parte­naires. Pourquoi insis­ter auprès d’IQVIA ?

Quelles phar­ma­cies parte­naires ? Vu qu’elles ne respectent pas leur obli­ga­tion d’in­for­ma­tion, je ne peux pas y exer­cer mon droit de refus. IQVIA a expli­ci­te­ment refusé de me commu­niquer les phar­ma­cies parte­naires pour que je puisse y agir moi-même malgré tout.

Je me retrouve sans moyen d’ac­tion pour faire respec­ter mes droits.

Au delà du refus, j’ai léga­le­ment un droit d’ac­cès. J’ai­me­rais au mini­mum savoir quelles données ont été trans­fé­rées jusque là, et par qui.

Sauf à connaître l’exacte liste des phar­ma­cies par lesquelles je suis passé ces dernières années, mon seul canal d’ac­cès est bien IQVIA. Ce sont aussi eux qui sont respon­sable de trai­te­ment sur cette base de données, et la CNIL a rappelé expli­ci­te­ment que la pseu­do­ny­mi­sa­tion (néces­saire pour des raisons de sécu­rité) ne les déga­geait en rien de leurs autres obli­ga­tions.

Que peut faire IQVIA vu que les données sont pseu­do­ny­mi­sées ?

Ils peuvent opérer le premier moyen de réiden­ti­fi­ca­tion décrit plus haut. J’ai expli­ci­te­ment donné mon accord pour qu’ils contactent les tiers de confiance en mon nom (je n’ai pas la possi­bi­lité de le faire moi-même).

À défaut, sans que cela ne réponde à toutes leurs obli­ga­tions ni à toutes mes demandes, ils pour­raient au moins me four­nir la liste des phar­ma­cies parte­naires avec les moyens de contact pour que j’opère moi-même des demandes d’ac­cès indi­vi­duelles auprès de ces offi­cines.

Ils ne m’ont même pas donné une seule adresse pour opérer un refus. C’est dire la mauvaise volonté.

Mais n’ont-ils pas eu la vali­da­tion de la CNIL ?

Ce qu’ils font relève de la recherche, avec un inté­rêt légi­time, et ils mettent en oeuvre les moyens de sécu­ri­sa­tion adap­tés pour cela, dont la pseu­do­ny­mi­sa­tion.

La CNIL a donc légi­ti­me­ment validé l’ac­ti­vité. Rien à dire là dessus.

Dans sa déli­bé­ra­tion la CNIL rappelle toute­fois que ces données restent des données person­nelles et que la pseu­do­ny­mi­sa­tion ne retire en rien les obli­ga­tions d’IQVIA liées à la gestion de ces données person­nelles.

Bref, ils ont le droit de faire ce qu’ils font, à condi­tion d’in­for­mer les usagers (obli­ga­tion qu’ils n’ont pas respecté) et à condi­tion de respec­ter l’en­semble de leurs autres obli­ga­tions liées à la gestion des données récol­tées (et ils viennent de m’op­po­ser un refus).

Ils ne peuvent pas se cacher derrière l’au­to­ri­sa­tion de la CNIL en ne la respec­tant qu’à moitié.

Ok, que puis-je faire pour aider ?

  • Faire une requête d’ac­cès à vos données auprès du DPO d’IQVIA, insis­ter, noter leur refus par écrit, dépo­ser un dossier de récla­ma­tion à la CNIL (sans avoir d’in­for­ma­tion sur leur prio­ri­sa­tion, le nombre joue forcé­ment : La CNIL s’était même défen­due d’être inter­ve­nue en disant n’avoir reçu aucune plainte)
  • Joindre votre jour­na­liste préféré pour qu’on conti­nue à donner de la publi­cité au problème, et faire en sorte que la CNIL, IQVIA, nos poli­tiques ou les auto­ri­tés réagissent.
  • Joindre votre député préféré pour lui parler du problème et obte­nir son action.
  • Diffu­ser l’in­for­ma­tion et/ou le repor­tage de Cash Inves­ti­ga­tion.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *