Effet cliquet

Votée ce mardi 26 mai au Sénat, la loi Ripost déposée par Laurent Nuñez entend pousser l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques jusqu’à la fin de l’année 2030 mais aussi en l’étendant à tous les bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation. Le texte doit encore repasser devant l’Assemblée nationale.

À peine la prolongation de l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques validée jusqu’en 2027 par le Conseil constitutionnel, le Sénat vient de voter sa prolongation jusqu’en décembre 2030.

C’est par le texte que Laurent Nuñez a déposé en mars dernier, et connu sous le nom de Loi Ripost, que cette prolongation arrive. En janvier, les députés avaient voté une loi encadrant les JO de 2030 (proposée par la sénatrice Isabelle Florennes, Modem) prolongeant jusqu’au 31 décembre 2027 l’expérimentation de « vidéoprotection algorithmique » (VSA) prévue à l’origine à l’occasion des JO de 2024.

Prolongement jusqu’à fin 2030 sans tarder

Saisi par des députés de gauche, le Conseil constitutionnel avait émis en mars dernier des réserves sur le texte mais pas sur les dispositions concernant la VSA, considérant que « les dispositions contestées se bornent à reconduire, pour une durée limitée, l’expérimentation prévue par l’article 10 de la loi du 19 mai 2023 » et que « ces dispositions n’affectent, par elles-mêmes, ni le droit à un recours juridictionnel effectif, ni le droit au respect de la vie privée, ni la liberté d’aller et de venir ».

À l’époque, certains députés s’étaient étonnés de cette date de report qui ne correspond pas à l’année des prochains JO se passant en France. La ministre des Sports, Marina Ferrari, avait alors affirmé que « la prolongation de cette expérimentation [jusqu’à la fin 2027] permettra de mieux l’évaluer pour décider s’il convient de déployer l’outil en 2030 ».

• Aux JO de Paris, la vidéosurveillance algorithmique n’a servi à (presque) rien
• Faute de résultats, l’expérimentation de la vidéosurveillance algorithmique est prolongée

Finalement, le gouvernement n’a pas attendu cette expérimentation de l’expérimentation pour proposer un prolongement jusqu’à la fin 2030. Pendant les débats, Isabelle Florennes a salué « la prolongation de l’expérimentation de la vidéoprotection algorithmique, sur laquelle [elle avait] déposé une proposition de loi. Là encore, le Sénat peut s’appuyer sur ses propres travaux, en l’occurrence le rapport d’information de Mmes Françoise Dumont et Marie-Pierre de La Gontrie –  c’est une force ».

Extension aux bâtiments ou lieux ouverts au public et aux voies publiques

Mais le nouveau texte étend encore la portée de l’expérimentation à de nouveaux lieux. La précédente loi prévoyait l’utilisation de la VSA dans les lieux de manifestations sportives, récréatives ou culturelles et dans les gares et transports en commun. Ici, sont aussi inclus, les « bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation, qui, par leur nature, sont de façon permanente ou en raison de circonstances exceptionnelles particulièrement exposés à ces risques et dont la liste est définie par arrêté du ministre chargé de l’intérieur, et à leurs abords ».

Les sénateurs de gauche ont essayé de s’y opposer. « On touche aux libertés individuelles. Monsieur le ministre, vous avez reconnu que c’était illégal, alors interdisez-la [en parlant de la la surveillance algorithmique] ! » s’est ainsi exclamé le sénateur Guy Benarroche (Les Écologistes), « créer une société de surveillance généralisée pour plus de sécurité nous paraît toujours autant ubuesque et dangereux. Notre groupe votera donc contre ce texte et ses fausses solutions à de vrais problèmes ». La droite sénatoriale majoritaire ne les a pas suivis.

Comme l’expliquent nos confrères de Public Sénat, le texte de la loi Ripost doit encore passer en deuxième lecture à l’Assemblée nationale et il pourrait encore subir un parcours houleux. Il n’y est d’ailleurs pas encore à l’ordre du jour.

Effet cliquet

Votée ce mardi 26 mai au Sénat, la loi Ripost déposée par Laurent Nuñez entend pousser l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques jusqu’à la fin de l’année 2030 mais aussi en l’étendant à tous les bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation. Le texte doit encore repasser devant l’Assemblée nationale.

À peine la prolongation de l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques validée jusqu’en 2027 par le Conseil constitutionnel, le Sénat vient de voter sa prolongation jusqu’en décembre 2030.

C’est par le texte que Laurent Nuñez a déposé en mars dernier, et connu sous le nom de Loi Ripost, que cette prolongation arrive. En janvier, les députés avaient voté une loi encadrant les JO de 2030 (proposée par la sénatrice Isabelle Florennes, Modem) prolongeant jusqu’au 31 décembre 2027 l’expérimentation de « vidéoprotection algorithmique » (VSA) prévue à l’origine à l’occasion des JO de 2024.

Prolongement jusqu’à fin 2030 sans tarder

Saisi par des députés de gauche, le Conseil constitutionnel avait émis en mars dernier des réserves sur le texte mais pas sur les dispositions concernant la VSA, considérant que « les dispositions contestées se bornent à reconduire, pour une durée limitée, l’expérimentation prévue par l’article 10 de la loi du 19 mai 2023 » et que « ces dispositions n’affectent, par elles-mêmes, ni le droit à un recours juridictionnel effectif, ni le droit au respect de la vie privée, ni la liberté d’aller et de venir ».

À l’époque, certains députés s’étaient étonnés de cette date de report qui ne correspond pas à l’année des prochains JO se passant en France. La ministre des Sports, Marina Ferrari, avait alors affirmé que « la prolongation de cette expérimentation [jusqu’à la fin 2027] permettra de mieux l’évaluer pour décider s’il convient de déployer l’outil en 2030 ».

• Aux JO de Paris, la vidéosurveillance algorithmique n’a servi à (presque) rien
• Faute de résultats, l’expérimentation de la vidéosurveillance algorithmique est prolongée

Finalement, le gouvernement n’a pas attendu cette expérimentation de l’expérimentation pour proposer un prolongement jusqu’à la fin 2030. Pendant les débats, Isabelle Florennes a salué « la prolongation de l’expérimentation de la vidéoprotection algorithmique, sur laquelle [elle avait] déposé une proposition de loi. Là encore, le Sénat peut s’appuyer sur ses propres travaux, en l’occurrence le rapport d’information de Mmes Françoise Dumont et Marie-Pierre de La Gontrie –  c’est une force ».

Extension aux bâtiments ou lieux ouverts au public et aux voies publiques

Mais le nouveau texte étend encore la portée de l’expérimentation à de nouveaux lieux. La précédente loi prévoyait l’utilisation de la VSA dans les lieux de manifestations sportives, récréatives ou culturelles et dans les gares et transports en commun. Ici, sont aussi inclus, les « bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation, qui, par leur nature, sont de façon permanente ou en raison de circonstances exceptionnelles particulièrement exposés à ces risques et dont la liste est définie par arrêté du ministre chargé de l’intérieur, et à leurs abords ».

Les sénateurs de gauche ont essayé de s’y opposer. « On touche aux libertés individuelles. Monsieur le ministre, vous avez reconnu que c’était illégal, alors interdisez-la [en parlant de la la surveillance algorithmique] ! » s’est ainsi exclamé le sénateur Guy Benarroche (Les Écologistes), « créer une société de surveillance généralisée pour plus de sécurité nous paraît toujours autant ubuesque et dangereux. Notre groupe votera donc contre ce texte et ses fausses solutions à de vrais problèmes ». La droite sénatoriale majoritaire ne les a pas suivis.

Comme l’expliquent nos confrères de Public Sénat, le texte de la loi Ripost doit encore passer en deuxième lecture à l’Assemblée nationale et il pourrait encore subir un parcours houleux. Il n’y est d’ailleurs pas encore à l’ordre du jour.

Cinq ans plus tard

Cash Investigation révélait il y a cinq ans qu’IQVIA récupérait les données des clients de plus de 14 000 pharmacies sans qu’ils en soient toujours informés. La CNIL a décidé d’une amende de 5 millions d’euros suite à des contrôles, à cause de ces manquements mais aussi en raison de lacunes dans l’exercice des droits des clients et dans la sécurité des données.

En 2021, Cash Investigation s’intéressait à la question des données personnelles récoltées par IQVIA via de nombreuses pharmacies, sans que l’information ou le droit d’opposition des clients soit mis en œuvre. La CNIL avait autorisé en 2018 cette entreprise à constituer un entrepôt de données de santé, LRX, à des fins de recherche, d’étude et d’évaluation, alimenté par des données collectées auprès d’environ 14 000 pharmacies. Elle s’en expliquait à l’époque et promettait de mener des contrôles. Cinq ans après, l’autorité de protection des données arrive enfin à ses conclusions et a infligé 5 millions d’euros d’amende à IQVIA, explique son communiqué.

Les contrôles de la CNIL n’ont pas seulement visé le seul entrepôt de données de santé LRX mais aussi l’entrepôt EMR que la CNIL a autorisé en février 2021 (quelques mois donc avant la sortie de l’enquête de Cash Investigation). Celui-ci est alimenté par des données collectées auprès de 2 000 à 3 000 médecins, selon la délibération de la CNIL (environ 2 000 selon les déclarations de l’entreprise lors du contrôle de la CNIL, 3 000 selon une de ses plaquettes de pub consultée par l’autorité).

Le problème que pointait Cash Investigation concernant LRX, après constat dans 200 officines, était que les pharmaciens n’informaient pas leurs clients comme la loi les y oblige. Ceux-ci ne pouvaient donc s’opposer à la collecte et au traitement de leurs données.

Le rapporteur de la CNIL a fait le même constat auprès de quatre pharmacies parisiennes participant au panel LRX : « aucune d’entre elles ne délivrait ces informations ». Et il a estimé « qu’un manquement à l’article 14 du RGPD est constitué et qu’il est imputable à la société IQVIA en sa qualité de responsable de traitement ». La formation restreinte de la CNIL a validé qu’en tant que responsable du traitement, il appartient à IQVIA « de s’assurer du respect des obligations qui lui sont imposées par le RGPD, parmi lesquelles celle d’informer les personnes dont les données figurent au sein de l’entrepôt des traitements mis en œuvre, en application de l’article 14 du RGPD ».

La pseudonymisation n’évite pas les obligations face au RGPD

Pendant les investigations de la CNIL, IQVIA a soutenu, selon la délibération de l’autorité, que « les données des entrepôts LRX et EMR sont anonymes et que, dès lors, les obligations du RGPD et de la loi Informatique et Libertés sont inapplicables et les autorisations délivrées par la CNIL sont, de fait, devenues sans objet ». En effet, elle a considéré que, « compte tenu de la pseudonymisation des données figurant dans les entrepôts LRX et EMR, les moyens qui devraient être mis en œuvre par IQVIA pour réidentifier les personnes concernées seraient soit déraisonnables, soit illicites, et en conclut que les données en cause doivent être considérées comme n’étant pas, de son point de vue, des données à caractère personnel ».

L’autorité a considéré que cette pseudonymisation mise en place par IQVIA ne permet pas l’anonymisation des données. D’abord, elle pointe l’utilisation d’un identifiant unique. « S’agissant de l’entrepôt LRX, chaque client de pharmacie se voit ainsi attribuer un identifiant qui lui est propre, et qui est le même quelle que soit l’officine partenaire dans laquelle il se rend. Ce code, associé aux données de dispensation des produits, permet de regrouper l’ensemble des achats réalisés par un même client dans n’importe quelle pharmacie partenaire d’IQVIA », explique l’autorité. « S’agissant de l’entrepôt EMR, chaque patient dispose également d’un identifiant qui lui est propre pour un médecin donné. S’il n’est pas possible de corréler les données provenant de différents médecins pour un même patient, la société peut néanmoins suivre, à l’aide de ce code, le parcours de chaque patient au sein d’un même cabinet », ajoute-t-elle.

Elle explique aussi que les données incluent la localisation, « permettant de situer les patients par zones géographiques composées de regroupements de neuf pharmacies et de cinq médecins de la même spécialité ».

«Le fait que chaque patient dispose d’un code d’identification unique, auquel sont rattachées de nombreuses données telles que son âge, son sexe, l’ensemble des prescriptions dont il bénéficie ou encore sa situation géographique, afin de permettre à la société de suivre son parcours de soin dans le temps, a pour conséquence que celle-ci peut aisément isoler chaque individu et que les traitements en cause ne résistent pas au risque d’individualisation », estime l’autorité.

Celle-ci a aussi observé qu’IQVIA n’avait jamais contesté faire du traitement de données personnelles avant l’arrêt dit « SRB » rendu le 4 septembre 2025 par la Cour de justice de l’Union européenne. D’ailleurs l’entreprise avait sollicité (et obtenu) des autorisations de mise en œuvre un traitement automatisé de données à caractère personnel pour ces deux entrepôts.

Des études non autorisées sur ces données et un logiciel qui transmettait des données sans consentement

Mais l’autorité est allée un peu plus loin et en a profité pour vérifier que l’entreprise respectait bien ses obligations incluses dans les autorisations délivrées pour les deux entrepôts. Le rapporteur s’est aperçu qu’IQVIA avait réalisé des études sur ces données figurant dans l’entrepôt LRX pour son propre compte alors qu’elle n’en avait pas l’autorisation.

Lors de ses investigations, le rapporteur de la CNIL a aussi découvert qu’IQVIA avait fait développer par une autre entreprise un logiciel de gestion d’officine et que les modules d’extraction de données mis en place dans ce logiciel transmettaient «systématiquement au premier tiers de confiance [l’entreprise sous-traitante] les données des patients, et ce même pour les officines ne participant pas au panel LRX », ce qui constitue un manquement à l’article 25 du RGPD.

Si la CNIL a prononcé une amende de 5 millions d’euros pour l’ensemble de ces manquements, le rapporteur a considéré qu’« au regard des derniers éléments apportés par la société » une injonction « n’était plus nécessaire s’agissant des manquements relatifs à la sécurité et à la confidentialité des données » et l’autorité l’a suivi sans qu’on sache en détail les mesures qui ont été prises.

Mais concernant le reste, la CNIL a observé «que la société n’a, depuis l’engagement de la procédure, apporté aucun élément qui permettrait de considérer qu’elle a adopté ou même initié des mesures permettant d’assurer sa mise en conformité ». Ainsi elle a assorti sa décision d’une injonction et d’une astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois suivant la notification de la délibération.

Comme à chaque délibération de la CNIL, IQVIA peut faire un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Suite à la publication de notre article, IQVIA nous fait savoir qu’elle se réserve le droit de faire appel. « IQVIA s’engage à utiliser les données de manière responsable. Nous appliquons des standards élevés de protection au sein de nos systèmes et de nos processus. Toutes les données de santé utilisées pour nos études statistiques sont pseudonymisées via des tiers de confiance et des processus de chiffrement robustes. Ainsi, elles ne contiennent pas l’identité des personnes afin de respecter leur anonymat », affirme l’entreprise. Elle assure avoir coopéré avec la CNIL et que « les mesures de sécurité identifiées ont été mises en place et nous restons engagés à renforcer en continu notre dispositif de sécurité et de gouvernance ».

Cinq ans plus tard

Cash Investigation révélait il y a cinq ans qu’IQVIA récupérait les données des clients de plus de 14 000 pharmacies sans qu’ils en soient toujours informés. La CNIL a décidé d’une amende de 5 millions d’euros suite à des contrôles, à cause de ces manquements mais aussi en raison de lacunes dans l’exercice des droits des clients et dans la sécurité des données.

En 2021, Cash Investigation s’intéressait à la question des données personnelles récoltées par IQVIA via de nombreuses pharmacies, sans que l’information ou le droit d’opposition des clients soit mis en œuvre. La CNIL avait autorisé en 2018 cette entreprise à constituer un entrepôt de données de santé, LRX, à des fins de recherche, d’étude et d’évaluation, alimenté par des données collectées auprès d’environ 14 000 pharmacies. Elle s’en expliquait à l’époque et promettait de mener des contrôles. Cinq ans après, l’autorité de protection des données arrive enfin à ses conclusions et a infligé 5 millions d’euros d’amende à IQVIA, explique son communiqué.

Les contrôles de la CNIL n’ont pas seulement visé le seul entrepôt de données de santé LRX mais aussi l’entrepôt EMR que la CNIL a autorisé en février 2021 (quelques mois donc avant la sortie de l’enquête de Cash Investigation). Celui-ci est alimenté par des données collectées auprès de 2 000 à 3 000 médecins, selon la délibération de la CNIL (environ 2 000 selon les déclarations de l’entreprise lors du contrôle de la CNIL, 3 000 selon une de ses plaquettes de pub consultée par l’autorité).

Le problème que pointait Cash Investigation concernant LRX, après constat dans 200 officines, était que les pharmaciens n’informaient pas leurs clients comme la loi les y oblige. Ceux-ci ne pouvaient donc s’opposer à la collecte et au traitement de leurs données.

Le rapporteur de la CNIL a fait le même constat auprès de quatre pharmacies parisiennes participant au panel LRX : « aucune d’entre elles ne délivrait ces informations ». Et il a estimé « qu’un manquement à l’article 14 du RGPD est constitué et qu’il est imputable à la société IQVIA en sa qualité de responsable de traitement ». La formation restreinte de la CNIL a validé qu’en tant que responsable du traitement, il appartient à IQVIA « de s’assurer du respect des obligations qui lui sont imposées par le RGPD, parmi lesquelles celle d’informer les personnes dont les données figurent au sein de l’entrepôt des traitements mis en œuvre, en application de l’article 14 du RGPD ».

La pseudonymisation n’évite pas les obligations face au RGPD

Pendant les investigations de la CNIL, IQVIA a soutenu, selon la délibération de l’autorité, que « les données des entrepôts LRX et EMR sont anonymes et que, dès lors, les obligations du RGPD et de la loi Informatique et Libertés sont inapplicables et les autorisations délivrées par la CNIL sont, de fait, devenues sans objet ». En effet, elle a considéré que, « compte tenu de la pseudonymisation des données figurant dans les entrepôts LRX et EMR, les moyens qui devraient être mis en œuvre par IQVIA pour réidentifier les personnes concernées seraient soit déraisonnables, soit illicites, et en conclut que les données en cause doivent être considérées comme n’étant pas, de son point de vue, des données à caractère personnel ».

L’autorité a considéré que cette pseudonymisation mise en place par IQVIA ne permet pas l’anonymisation des données. D’abord, elle pointe l’utilisation d’un identifiant unique. « S’agissant de l’entrepôt LRX, chaque client de pharmacie se voit ainsi attribuer un identifiant qui lui est propre, et qui est le même quelle que soit l’officine partenaire dans laquelle il se rend. Ce code, associé aux données de dispensation des produits, permet de regrouper l’ensemble des achats réalisés par un même client dans n’importe quelle pharmacie partenaire d’IQVIA », explique l’autorité. « S’agissant de l’entrepôt EMR, chaque patient dispose également d’un identifiant qui lui est propre pour un médecin donné. S’il n’est pas possible de corréler les données provenant de différents médecins pour un même patient, la société peut néanmoins suivre, à l’aide de ce code, le parcours de chaque patient au sein d’un même cabinet », ajoute-t-elle.

Elle explique aussi que les données incluent la localisation, « permettant de situer les patients par zones géographiques composées de regroupements de neuf pharmacies et de cinq médecins de la même spécialité ».

«Le fait que chaque patient dispose d’un code d’identification unique, auquel sont rattachées de nombreuses données telles que son âge, son sexe, l’ensemble des prescriptions dont il bénéficie ou encore sa situation géographique, afin de permettre à la société de suivre son parcours de soin dans le temps, a pour conséquence que celle-ci peut aisément isoler chaque individu et que les traitements en cause ne résistent pas au risque d’individualisation », estime l’autorité.

Celle-ci a aussi observé qu’IQVIA n’avait jamais contesté faire du traitement de données personnelles avant l’arrêt dit « SRB » rendu le 4 septembre 2025 par la Cour de justice de l’Union européenne. D’ailleurs l’entreprise avait sollicité (et obtenu) des autorisations de mise en œuvre un traitement automatisé de données à caractère personnel pour ces deux entrepôts.

Des études non autorisées sur ces données et un logiciel qui transmettait des données sans consentement

Mais l’autorité est allée un peu plus loin et en a profité pour vérifier que l’entreprise respectait bien ses obligations incluses dans les autorisations délivrées pour les deux entrepôts. Le rapporteur s’est aperçu qu’IQVIA avait réalisé des études sur ces données figurant dans l’entrepôt LRX pour son propre compte alors qu’elle n’en avait pas l’autorisation.

Lors de ses investigations, le rapporteur de la CNIL a aussi découvert qu’IQVIA avait fait développer par une autre entreprise un logiciel de gestion d’officine et que les modules d’extraction de données mis en place dans ce logiciel transmettaient «systématiquement au premier tiers de confiance [l’entreprise sous-traitante] les données des patients, et ce même pour les officines ne participant pas au panel LRX », ce qui constitue un manquement à l’article 25 du RGPD.

Si la CNIL a prononcé une amende de 5 millions d’euros pour l’ensemble de ces manquements, le rapporteur a considéré qu’« au regard des derniers éléments apportés par la société » une injonction « n’était plus nécessaire s’agissant des manquements relatifs à la sécurité et à la confidentialité des données » et l’autorité l’a suivi sans qu’on sache en détail les mesures qui ont été prises.

Mais concernant le reste, la CNIL a observé «que la société n’a, depuis l’engagement de la procédure, apporté aucun élément qui permettrait de considérer qu’elle a adopté ou même initié des mesures permettant d’assurer sa mise en conformité ». Ainsi elle a assorti sa décision d’une injonction et d’une astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois suivant la notification de la délibération.

Comme à chaque délibération de la CNIL, IQVIA peut faire un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Suite à la publication de notre article, IQVIA nous fait savoir qu’elle se réserve le droit de faire appel. « IQVIA s’engage à utiliser les données de manière responsable. Nous appliquons des standards élevés de protection au sein de nos systèmes et de nos processus. Toutes les données de santé utilisées pour nos études statistiques sont pseudonymisées via des tiers de confiance et des processus de chiffrement robustes. Ainsi, elles ne contiennent pas l’identité des personnes afin de respecter leur anonymat », affirme l’entreprise. Elle assure avoir coopéré avec la CNIL et que « les mesures de sécurité identifiées ont été mises en place et nous restons engagés à renforcer en continu notre dispositif de sécurité et de gouvernance ».