Comment nos données de santé sont transmises par les pharmaciens à une entreprise américaine

par Alexandre Horn   publié le 27 juillet 2021 

Près de la moitié des officines françaises transmettent des informations personnelles (pathologies, traitement suivis…), en partie anonymisées, à la société IQVia. Il est maintenant possible de s’y opposer et d’exiger la suppression de celles déjà stockées.

Plus de 9 000 des 21 000 pharmacies françaises transfèrent leurs données à IQVia. (Franck Chapolard/Collectif DR)

Question posée par Daniel le 29 juin 2021

Bonjour,

Vous nous interrogez sur la collecte de données personnelles de santé réalisée par près de la moitié des pharmacies françaises pour l’entreprise IQVia, société américaine dont le cœur de métier est le stockage et la vente de ce type d’informations. L’affaire a surtout été médiatisée par une émission de Cash Investigation diffusée en mai. D’après les chiffres de l’entreprise, corroborés par la Fédération des syndicats pharmaceutiques, plus de 9 000 des 21 000 établissements de l’Hexagone utilisent ainsi le logiciel de traitement de données LRX, qui permet ce transfert. Dans un cadre légal strict, mais pas totalement respecté.

Les informations des patients récoltées sont les suivantes : votre numéro de sécurité sociale, votre année de naissance, votre prénom ainsi que votre sexe, et surtout les données dites de délivrance qui sont «constituées de données de santé relatives aux dispensations de produits de santé [vous] concernant avec le contenu de ces dispensations», comme l’explique la délibération de la Commission nationale de l’informatique et des libertés (Cnil) sur le sujet.

Très concrètement, cela inclut les informations de votre ordonnance, qui permettent donc de connaître les pathologies dont vous pourriez être atteint et si vous suivez votre traitement. Des données sur votre médecin et votre pharmacie sont également récoltées, tout comme des paramètres géographiques. Tout est ensuite envoyé automatiquement par le logiciel LRX au moment de votre passage en pharmacie.

Pour chaque contrat avec IQVia, signé par un professionnel et englobant l’ensemble de ses patients, un pharmacien reçoit 6 euros par mois d’indemnité. Ces accords peuvent également inclure l’envoi d’informations commerciales non personnelles à IQVia, dans le cadre de Pharmastat, une base de données qui concerne environ 14 000 des 21 000 pharmacies françaises – donc plus que LRX. Les officines obtiennent en échange une précieuse analyse de leurs données commerciales et de leurs stocks. Reste que les 6 euros ne sont pas directement liés au transfert des données personnelles, et sont versés au pharmacien, qu’il choisisse l’option Pharmastat, LRX ou les deux.

Le président de la Fédération des syndicats pharmaceutiques, Philippe Besset, partenaire du projet, explique : «Le principe général, avec cette collecte de données, c’est qu’elles ont un intérêt d’usage et pour la santé publique.» Tout en regrettant un manque de retour sur ces informations de la part d’IQVia.

Pas de vente des données brutes

Quel usage réel est cependant fait de ces données de santé par IQVia ? En France, l’utilisation d’informations médicales est strictement encadrée. Comme le rappelle la Cnil à CheckNews, le gendarme du numérique ne peut autoriser un tel «entrepôt de données» que s’il «présente une finalité d’intérêt public». Tout en précisant qu’il «considère que la poursuite d’un intérêt public est conciliable avec la poursuite d’un intérêt commercial».

Dans sa demande d’autorisation à la commission, IQVia a indiqué que LRX «vise à éclairer les acteurs privés comme publics sur le bon usage des médicaments, l’identification des interactions médicamenteuses, la prise en charge des patients, l’observance des traitements». Quand l’organisme a délivré son accord, il a donc «considéré que ces objectifs présentent un intérêt public et a donc autorisé le traitement, dans des conditions très strictes», estime l’entreprise.

Le directeur d’IQVia France, Jean-Marc Aubert, précise d’ailleurs à CheckNews que l’entreprise ne peut pas vendre les données dites brutes, mais seulement des études réalisées à l’aide de celles-ci.«On le fait essentiellement pour l’industrie de la santé et pour les autorités, qu’elles soient françaises ou européennes. […] Ce serait dans des conditions très particulières si on le faisait pour des compagnies d’assurances, pour des fondations à but de prévention par exemple. Ce qui n’est pas arrivé pour l’instant.»

Devoir d’information

Le numéro de sécurité sociale, soit la donnée qui permettrait le plus facilement de remonter jusqu’à un patient, est par ailleurs pseudonymisé, avant d’être transmis à IQVia. C’est-à-dire qu’il est haché, via un traitement informatique qui permet de calculer une empreinte pour le remplacer, et chiffré plusieurs fois, rendant illisible la donnée originelle pour qui ne dispose pas de la clé de chiffrement. En l’occurrence, seuls deux «tiers de confiance», externes à IQVia, disposent de ces clés.

Concrètement, les informations auxquelles accède l’entreprise ne sont que des parcours de santé dont les numéros de sécurité sociale ont été remplacés par des pseudos. Mais IQVia dispose de l’âge, du sexe et du département. «La pseudonymisation évite qu’un plus grand nombre de personnes ait accès a des données identifiantes, reconnaît Suzanne Vergnolle, docteure en droit. Ça réduit le risque de mésusage de ces données, mais ces dernières restent à caractère personnel.» La Cnil, sur son site, prévient même qu’«en pratique, il est bien souvent possible de retrouver l’identité [des individus] grâce à des données tierces».

IQVia est autorisé à récolter ces informations, et ce, sans le consentement explicite des patients, précisément parce que les données sont pseudonymisées. En revanche, avertir la personne concernée de cette collecte est obligatoire et devrait être systématique. Et c’est là que le bât blesse.

Selon le contrat qui les lie à IQVia, les pharmaciens sont responsables de cette obligation d’information. A minima, une affichette doit en principe être visible dans les officines. «Je trouve que c’est un montage juridique assez sournois, constate Suzanne Vergnolle. Lors de la collecte de données, l’interface est le pharmacien. C’est similaire à Doctolib, où le responsable du traitement est censé être le médecin, alors que l’information est centralisée derrière. Ça permet à l’entreprise de se protéger.» Or cette obligation d’information, comme le montre l’enquête réalisée par Cash Investigation, était très loin d’être généralisée : à la fin de l’année dernière, aucune des centaines de pharmacies sélectionnées par les journalistes de l’émission n’avait mis d’affiche.

Ce devoir d’information est pourtant essentiel, puisque c’est lui qui doit permettre au patient, conformément à la loi, de s’y opposer. Pour les pharmacies, Philippe Besset le concède : «On a été mis en défaut sur les affiches prévenant de cette extraction de données, et c’est vrai qu’elles n’étaient pas souvent là. Mais je doute de leur efficacité, personne ne regarde les affiches dans les pharmacies.» Ce dernier explique également que depuis mai, des campagnes de sensibilisation ont été réalisées auprès des adhérents de la fédération. IQVia, de son côté, explique à CheckNews avoir mis en place des programmes similaires.

Opposition à la collecte possible

Mais derrière ce défaut d’information, dont il est difficile de savoir s’il a vraiment été résolu, se cache un autre problème majeur : avant janvier, il n’était pas possible techniquement, pour un pharmacien, d’empêcher la collecte de données d’un patient qui le demandait, comme l’explique Philippe Besset. Interrogé par CheckNews sur le sujet, Jean-Marc Aubert se justifie : «On a testé ce droit d’opposition dès début 2020 chez deux ou trois pharmaciens, et ça fonctionnait. On avait plus qu’à le généraliser, mais nous avons choisi d’attendre la fin de la pandémie de Covid-19 pour lancer l’opération.»

C’est finalement à la suite des sollicitations de Cash Investigation que le système est mis en place début 2021. «On a fait une généralisation de l’information, comme le système d’opposition fonctionnait. Parce que le problème, c’était de le faire savoir à tous les pharmaciens, leur expliquer», persiste pourtant Jean-Marc Aubert auprès de CheckNews. Une version des faits différente de celle que Philippe Besset: «Si IQVia parle d’un défaut d’information, ça inclut aussi un défaut d’information des représentants de notre fédération. Je n’ai été informé de rien du tout avant d’être interrogé par Cash fin 2020. Ça a été très utile, cette émission, parce que ça m’a fait réagir. Je me suis renseigné sur l’option d’opt out [droit d’opposition, ndlr], et étant moi-même pharmacien, je me suis rendu compte en octobre que je ne pouvais pas le faire. C’est là qu’on a demandé à IQVia de le mettre en place rapidement.»

Comment un tel manquement a-t-il pu passer sous les radars de la Cnil et des autorités ? Suzanne Vergnolle pointe un défaut de contrôle de l’application du règlement général sur la protection des données (RGPD) : «La Cnil est censée faire des contrôles, mais elle n’a pas assez de ressources et de spécialistes en technologies. Plus largement, les risques de sanction restent assez faibles pour les entreprises. En 2019 en France, pour seulement 300 contrôles, il y a eu 2 avertissements, 42 mises en demeure et 7 sanctions pécuniaires.»

Le système de refus pour le patient, mis en place tardivement, est maintenant effectif : il suffit désormais de se rendre dans une pharmacie qui travaille avec IQVia (ce qui est donc, en principe, signalé par une affiche) et de demander au pharmacien de faire opposition à la collecte de vos données par LRX. D’après les informations transmises à CheckNews par l’entreprise et confirmées par la Cnil, les données déjà stockées doivent alors être supprimées sous un mois, et les futures transmissions arrêtées. Selon les chiffres communiqués par IQVia, 600 personnes ont réalisé cette opération depuis le début de l’année.

Quand IQVia s’approprie les données de santé anglaises

—  Le NHS, la sécurité sociale britannique, dispose de plus d’une centaine de bases de données de santé : liste de patients admis, diagnostics, traitements… Tout y est. «Des données qui sauvent des vies», comme le répètent les officiels britanniques. Mais une enquête du quotidien Financial Times, réalisée sur les cinq dernières années, montre que le partage avec le secteur privé n’est pas sans risque. La discrète entreprise américaine IQVia a été la plus grosse bénéficiaire de ces bases de données du NHS, avec 502 transferts entre avril 2020 et mai 2021. Le cœur de métier du courtier en données est l’agrégation de ces différentes bases pour ensuite les fournir aux entreprises pharmaceutiques, médicales, ainsi qu’à des organismes du National Health Service. Problème : l’accès de la sécurité sociale britannique à ses propres données fournies à IQVia se retrouve finalement restreint. Dans certains cas, l’organisme est même obligé de demander l’autorisation à l’entreprise pour diffuser ses données.