Contact
Nous contacter

Portails de transparence : quelle utilisation par les professionnels de santé ?

  • Publié le: 28 avril 2025

Les portails de transparence s’imposent progressivement comme une référence incontournable pour les professionnels de santé, face à la multiplication des traitements de données sensibles. Comment ces outils garantissent-ils le respect du RGPD, et quels bénéfices concrets offrent-ils aux établissements et aux patients ? Plongée dans un dispositif stratégique au cœur des enjeux de conformité et de confiance en santé.

I. Présentation du dispositif 

1. Le portail de transparence et les entrepôts de données de santé (EDS)

Qu’est-ce qu’un entrepôt de données de santé? Selon la CNIL, les entrepôts de données de santé (EDS) sont des bases de données conçues pour être conservées sur le long terme, dans le but d’être réutilisées principalement pour le pilotage des activités (gestion, contrôle, administration) ainsi que pour des projets de recherche, d’étude ou d’évaluation dans le domaine de la santé1.

Leur nombre n’a cessé de croitre, comme le démontre la cartographie publiée par le Laboratoire d’innovation numérique de la CNIL (LINC) relatif aux EDS présents sur le territoire français2. En effet, depuis 2017, ce sont près de 100 EDS qui ont été mis en œuvre ou sont en cours de constitution, portés par 88 acteurs différents. Parmi ceux-ci, 40 relèvent du secteur public (centres hospitaliers, instituts de recherche), 26 du secteur privé à but non lucratif (centres de lutte contre le cancer, associations), et 22 du secteur privé lucratif (cliniques, entreprises). Certains de ces acteurs gèrent plusieurs entrepôts ou se regroupent pour en administrer un collectivement.

Devant la montée en puissance des traitements de données sensibles, la CNIL a insisté sur l’importance pour les acteurs de santé de bien maîtriser le cadre juridique applicable à ces données de santé.

2. Qu’est-ce qu’un portail de transparence de santé ?

En raison de la croissance du nombre d’EDS, la mise en place d’un « portail de transparence » devient une composante indispensable, même si cette initiative répond également à d’autres domaines. Selon la CNIL3, il s’agit d’un espace dédié sur le site internet d’un responsable de traitement et/ou de ses partenaires, ou un site en ligne dédié, qui centralise et diffuse l’ensemble des informations relatives aux traitements de données de santé mis en œuvre, ainsi qu’aux projets de réutilisation présents ou à venir desdites données. Autrement dit, cet outil assure l’information continue des personnes concernées et garanti la transparence des utilisations faites des données. 

Plusieurs portails de transparences existent. Des hôpitaux comme le CHU de Bordeaux4 ou le CHU de Nice5 ont déjà adopté ce dispositif, donnant ainsi accès à des informations concises, compréhensibles et aisément accessibles, en des termes clairs et simples, aux patients et professionnels de santé.

II. L’objectif : assurer le respect des obligations d’information et de transparence

1. Le rôle du portail de transparence: garantir la conformité aux obligations du RGPD

La logique du portail de transparence est de répondre directement aux obligations posées par les articles 12 (transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée), 13 (informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée) et 14 (informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée) du RGPD, en particulier lorsqu’il s’agit de traitements de données sensibles telles que les données de santé6.

Le référentiel de la CNIL sur les entrepôts de données de santé7 et la check-list de conformité8 à ce même référentiel précisent les situations dans lesquelles un tel portail de transparence est requis.

2. Dans quelles situations, le fonctionnement d’un entrepôt de données de santé nécessite t-il la mise en place d’un portail de transparence?

La check-list EDS exige – afin de se conformer au référentiel EDS – qu’un portail de transparence soit mis en place dans les cas suivants : 

  • La mise en place d’un portail de transparence est obligatoire lorsque l’établissement réutilise des données de patients admis avant la création de l’entrepôt et qu’il n’est plus possible de les informer individuellement — par exemple en raison de l’ancienneté des données, de leur volume, ou de l’impossibilité matérielle à les contacter (référentiel EDS pt 8.2.3.4). Dans ce genre de cas, le responsable de traitement peut invoquer une exception à l’obligation d’information individuelle, à condition de rendre l’information publiquement disponible (Art 14(5)(b) RGPD et Check-list CNIL p11, pt 8.2.3.6). Le portail de transparence devient alors un des principaux supports d’information : il doit figurer clairement sur le site web de l’établissement, dans une rubrique dédiée, accessible depuis la page d’accueil et présenter les traitements mis en œuvre, ainsi que les projets de réutilisation des données (Référentiel EDS pt 8.2.3.6, Check-list CNIL p11, pt 8.2.3.6). Il s’agit d’une exigence explicite du référentiel EDS, confirmée par la check-list de conformité de la CNIL, qui en font un élément central de la transparence lorsque l’information individuelle n’est pas envisageable.
  • Lorsqu’un entrepôt de données de santé est mis en place, les personnes concernées doivent être informées de chaque réutilisation de leurs données à des fins de recherche, d’étude ou d’évaluation (Référentiel EDS pt 8.4). Cette obligation s’applique sauf si cette information est matériellement impossible ou exigerait des efforts disproportionnés, conformément à l’article 14(5)(b) du RGPD. Pour répondre à cette exigence, la check-list de conformité prévoit que le responsable de traitement mette en place un portail de transparence sur son site internet. Il doit informer les personnes concernées des projets de recherche réutilisant leurs données (Check list CNIL pt 8.4). Par ailleurs, les notes d’information remises aux patients doivent renvoyer vers ce même portail. La check-list précise également que l’information sur chaque réutilisation peut s’effectuer via ce portail (Check-list CNIL pt 8.4), ce qui en fait un outil majeur pour garantir le respect des obligations de transparence tout au long de la vie de l’entrepôt.

3. Quelles sont les informations qui doivent figurer dans un portail de transparence?

Le portail de transparence comporte au moins les éléments suivants :

Information à fournir(Obligations RGPD)Article 13 (Cas : Collecte directe auprès de la personne)Article 14 (Cas : Collecte indirecte)Commentaires
Identité et coordonnées du responsable du traitementCommun aux deux articles
Coordonnées du délégué à la protection des données (DPO)Si applicable
Finalités du traitement et base légaleObligatoire pour tout traitement
Intérêts légitimes poursuivis (Art. 6(1)(f))Si cette base est utilisée
Destinataires ou catégories de destinataires des donnéesSi existants
Transfert vers un pays tiers ou organisation internationale + garantiesEt moyens d’obtenir une copie des données
Durée de conservation ou critères utilisésNécessaire dans les deux cas
Droits RGPD (accès, rectification, effacement, opposition, portabilité…)Tous les droits doivent être précisés
Droit de retirer son consentement (si applicable)Si le traitement repose sur l’article 6(1)(a) ou 9(2)(a) du RGPD
Droit d’introduire une réclamation auprès d’une autorité de contrôlePar exemple la CNIL
Prise de décision automatisée, y compris profilage (logique, conséquences)Si existant
Caractère obligatoire ou non de la fourniture des données et conséquences d’un refusSpécifique à l’article 13
Catégories de données concernéesSpécifique à l’article 14, mais demeure possible dans le cadre de l’article 13
Source des données (et si issues de sources accessibles au public)Spécifique à l’article 14

III. Le recours aux portails de transparence : un outil incontournable dans le domaine de la santé

1. Comment renforcer sa conformité avec la mise en œuvre d’un portail de transparence ?

La mise en œuvre d’un portail de transparence, initialement mis en avant dans le cadre des EDS, est aujourd’hui recommandée par la CNIL dans des contextes beaucoup plus larges. Dans sa fiche pratique relative aux demandes d’autorisation dans le domaine de la santé, y compris hors recherche9, la CNIL souligne que certains traitements de données sensibles – en particulier lorsqu’ils concernent un grand nombre de personnes ou s’inscrivent dans la durée – doivent faire l’objet d’une information adaptée.

À ce titre, la CNIL recommande explicitement la mise en place d’un portail de transparence, permettant de centraliser les informations relatives au traitement mis en œuvre et aux réutilisations futures des données. Elle précise que ce portail peut venir en complément, ou en substitution, de l’information individuelle lorsque celle-ci est difficilement réalisable, notamment dans les cas prévus à l’article 14(5)(b) du RGPD.

Ainsi, le recours à un portail de transparence ne se limite pas au seul usage des EDS, mais correspond à un utilisation plus large dans le domaine de la santé, dès lors que les données peuvent être réutilisées, que le traitement s’étale sur plusieurs années, ou qu’il s’applique à une population importante ou difficile à identifier individuellement. Le portail de transparence s’impose progressivement comme un outil de conformité transverse, adapté aux spécificités du secteur de la santé, que l’on retrouve également dans le référentiel relatif à l’accès précoce et le référentiel relatif à l’accès compassionnel aux médicaments, tous deux publiés par la CNIL en 2022.

2. Portail de transparence : un outil transverse dans le domaine de la santé

Dans le référentiel sur l’accès précoce10, la CNIL prévoit expressément que, lorsqu’une réutilisation des données personnelles est envisagée à des fins de recherche ou d’étude, les patients doivent en être informés via une note d’information remise lors de la collecte des données, à condition qu’elle renvoie vers un portail de transparence. Ce dispositif est présenté comme une mesure de transparence complémentaire, qui peut éviter d’avoir à renouveler systématiquement une information individuelle à chaque nouveau traitement de données.

La même logique se retrouve dans le référentiel sur l’accès compassionnel11, dans lequel la CNIL a réaffirmé que les patients peuvent être informés des traitements ultérieurs soit individuellement, soit à travers un portail de transparence mentionné dès la première note d’information. 

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé IT / Data et protection des données, nous sommes à votre disposition pour vous accompagner dans tous vos projets. Que vous soyez une startup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguer sereinement dans le paysage complexe de la réglementation et de la conformité des données santé. N’hésitez pas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique.

Sources :

  1. https://www.cnil.fr/fr/la-cnil-adopte-un-referentiel-sur-les-entrepots-de-donnees-de-sante – La CNIL adopte un référentiel sur les entrepôts de données de santé ↩︎
  2. https://www.cnil.fr/fr/explorez-la-cartographie-des-entrepots-de-donnees-de-sante-en-france#:~:text=Qu’est%2Dce%20qu’,le%20domaine%20de%20la%20sant%C3%A9 – LINC CNIL – Explorez la cartographie des entrepôts de données de santé en France ↩︎
  3. https://www.cnil.fr/fr/demande-dautorisation-dans-le-domaine-de-la-sante-hors-recherche-les-informations-fournir-et-les – Demande d’autorisation dans le domaine de la santé (hors recherche) : les informations à fournir et les critères d’octroi ↩︎
  4. https://www.chu-bordeaux.fr/Professionnels-recherche/Recherche-clinique-et-Innovation/Participer-%C3%A0-une-recherche-clinique/Portail-de-transparence/ – CHU de Bordeaux, Portail de transparence ↩︎
  5. https://www.chu-nice.fr/recherche/patients/portail-de-transparence – CHU de Nice, Portail de transparence, Protection et traitement de vos données personnelles dans le cadre de nos projets de recherche ↩︎
  6. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – Règlement général sur la protection des données, Articles 9, 12, 13 et 14 ↩︎
  7. https://www.cnil.fr/fr/la-cnil-adopte-un-referentiel-sur-les-entrepots-de-donnees-de-sante – La CNIL adopte un référentiel sur les entrepôts de données de santé ↩︎
  8. https://www.cnil.fr/sites/cnil/files/atoms/files/check-list_de_conformite_referentiel-donnes-sante.pdf – Check-list de conformité au référentiel EDS ↩︎
  9. https://www.cnil.fr/fr/demande-dautorisation-dans-le-domaine-de-la-sante-hors-recherche-les-informations-fournir-et-les – Demande d’autorisation dans le domaine de la santé (hors recherche) : les informations à fournir et les critères d’octroi ↩︎
  10. https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046542586 – Délibération n° 2022-107 du 22 septembre 2022 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre par le laboratoire titulaire des droits d’exploitation d’un médicament bénéficiant d’une autorisation d’accès précoce ↩︎
  11. https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046542576 – Délibération n° 2022-106 du 22 septembre 2022 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre par le laboratoire titulaire des droits d’exploitation d’un médicament bénéficiant d’une autorisation d’accès compassionnel ↩︎

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille +33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36

Nous contacter

Catégories

Partager

Articles associés

Tous nos articles sur les données de santé