Au détour d’un reportage sur les données personnelles, l’émission Cash Investigation a lâché une petite bombe la semaine dernière sur France 2. Elle a révélé que la moitié des pharmacies françaises étaient liées à la société Iqvia, le plus gros revendeur de données médicales au monde et présent dans 140 pays. La CNIL avait délivré une autorisation en 2018 à ce programme baptisé Pharmastat. Mais la teneur du reportage de Cash Investigation l’a décidé à diligenter une enquête.
Quel lien entre les pharmacies et Iqvia ?
En échange de l’utilisation gratuite d’un logiciel de suivi de leurs ventes, 14 000 officines transmettent les informations sur les achats de médicaments et de parapharmacie de leurs clients à Iqvia.
Ce sont des informations très intimes qui sont communiquées, pouvant révéler pêle-mêle un herpès, un cancer, le sida, une mauvaise haleine, de l’hypertension, ou encore une dépression et des ronflements la nuit.
Même si cela n’était pas autorisé par la CNIL, la question se pose également de savoir si chacun de nous a pu être pisté dans toutes les pharmacies partenaires sur le territoire dans lesquelles il est entré. Car, il est possible techniquement de le faire grâce à un identifiant unique lié à votre numéro de sécurité sociale repéré grâce à votre carte vitale.
A quoi servent ces données ?
Les données qui sont recueillies remontent des informations sur les ventes de produits par zone géographique, type de population ou type de pharmacie. Cela sert à la réalisation d’études sous forme d’analyses statistiques et de modèles analytiques ou prédictifs dans le domaine médical et pharmaceutique, comme le notifie le site d’Iqvia. La société assure que le tout ne profite qu’à des études d’intérêt public. C’était l’une des conditions imposées par la CNIL.
Mais l’expression reste floue. Il suffit à un acteur privé ou public de prétexter un projet de recherche pour y avoir accès. Ces données valent de l’or et ont pu être revendues très cher, comme l’a constaté Cash Investigation en se faisant passer pour un potentiel client.
Pourquoi ne suis-je pas informé de ce programme ?
La CNIL avait demandé à ce que les pharmaciens informent leurs clients individuellement. Mais cela ne passe visiblement que par la mise en place d’une notice d’information et la pose d’une affiche. Ils ne sont pas tenus, en revanche, de recueillir le consentement exprès de chacun.
Puis-je être identifié ?
Les données sont anonymisées par hachage cryptographique. Par ailleurs, ceux qui y ont accès recherchent des informations par groupe et profil de population.
« Seul le comportement général de groupes de patients est pertinent, et en aucun cas les comportements individuels », a précisé Iqvia dans un communiqué de presse.
Mais de nombreux chercheurs ont prouvé depuis longtemps que l’on pouvait facilement ré-identifier quelqu’un en croisant quelques critères basiques dans une base de données.
Or, si le nom et prénom ne sont pas indiqués dans les profils recueillis par Iqvia, le genre et l’âge le sont. L’anonymisation ne protège donc pas totalement dans le cas où ces données tomberaient entre de mauvaises mains.
Quelles précautions prendre pour se protéger ?
La CNIL, que nous avons contactée, recommande de « demander au pharmacien les informations concernant les traitements mis en œuvre dans la pharmacie, notamment quel logiciel est utilisé pour ce faire, et si les données sont transmises à des tiers à d’autres fins que la seule gestion de l’officine ».
Si c’est le cas, il est possible d’exercer son droit d’opposition.
« Si la personne s’oppose au traitement, ses données ne doivent plus alimenter l’entrepôt de données. L’ensemble des données déjà collectées devra également être supprimé », peut-on lire sur le site de la CNIL.
A découvrir aussi en vidéo :
La Commission va donc devoir plancher sur de nombreux éléments : les études réalisées à partir de la collecte de ces données étaient-elles réellement d’intérêt public ? Ont-elles pu servir à promouvoir des produits auprès de professionnels de la santé ? Le logiciel utilisé par les pharmaciens permettait-il réellement d’exercer son droit d’opposition et de supprimer les données ? Les pharmaciens ont-ils correctement informés leurs clients ?
Si des manquements étaient constatées, des sanctions comme des amendes pourraient être imputées pouvant aller jusqu’à 4% du chiffre d’affaires mondial d’Iqvia. Mais cela n’interviendrait qu’après une longue procédure de mises en demeure et de rappels. Il va falloir attendre un peu avant de connaître les suites de cette affaire.
Sources : CNIL, Iqvia, Cash Investigation
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.