Les sanctions CNIL à l’encontre de CEGEDIM et du GERS, en 2024, et d’IQVIA, la semaine dernière, en témoignent.
Ladite Commission en fait d’ailleurs les frais.
1️⃣ La délibération contre IQVIA s’ouvre ainsi :
« Les développements de la délibération comportant des données à caractère personnel ou des secrets protégés par la loi sont remplacés par le signe […], [X], [Y], [Z] et [Z+]«
2️⃣ La CNIL rappelle ensuite que la réidentification peut intervenir par corrélation, par croisement de données (§75).
3️⃣ Le §85 en est la parfaite illustration.
La CNIL, pour justifier du caractère personnel des données remontées par le LGC des médecins vers IQVIA, s’appuie sur une précédente sanction.
👉 Une sanction publiée.
La société Z dans la délibération IQVIA est donc le responsable de traitement concerné par la délibération XXXX-XXX (oui, j’ai l’indélicatesse de vous laisser chercher).
Réidentification par croisement.
A partir de données publiques.
Temps nécessaire? 30 secondes.
L’anonymisation est un exercice difficile.
Même pour l’autorité chargée d’en contrôler la qualité.
Sources:
- 🇫🇷 Délibération SAN-2026-008 du 26 mai 2026 concernant la société IQVIA Operations France
- 🇪🇺 Avis 05/2014 sur les Techniques d’anonymisation, G29, 2014
