Recherche clinique : la CNIL approuve le code de conduite européen de la Fédération EUCROF
Ce code s’adresse aux prestataires de services en recherche clinique (CRO en anglais pour Clinical Research Organisations) qui interviennent en tant que sous-traitants pour le compte de promoteurs. Il apporte une dimension opérationnelle aux exigences du RGPD.
Qu’est-ce qu’un code de conduite ?
Un code de conduite est un outil prévu par le règlement général sur la protection des données (RGPD) qui permet de répondre aux besoins opérationnels de professionnels dans leur mise en conformité. Il permet notamment de construire un socle commun de bonnes pratiques, de contribuer à démontrer sa conformité au RGPD et d’envoyer un signal positif aux clients et aux professionnels du secteur d’activité concerné.
Le RGPD prévoit qu’un code de conduite s’impose à ceux qui y adhèrent. En effet, il oblige les adhérents à se conformer aux règles écrites dans le code et à accepter qu’un organisme tiers contrôle sa bonne application (à l’exception des codes de conduite concernant des organismes publics).
Afin d’accompagner les professionnels dans leur démarche, la CNIL propose de nombreuses fiches pratiques pour comprendre comment élaborer puis soumettre un projet de code, qu’il soit national ou européen.
► En savoir plus : le code de conduite.
Un code de conduite européen et opérationnel pour les prestataires en recherche clinique
Il s’agit du troisième code européen, et le deuxième approuvé par la CNIL, après le code CISPE (dans le domaine de l’informatique en nuage) adopté en 2021. Ce nouveau code a été porté par la fédération EUCROF (European Clinical Research Organisations Federation), qui a pris l’initiative de l’élaborer pour répondre aux enjeux identifiés par le secteur en matière de protection des données.
Il a pour objectif de décrire de manière opérationnelle les engagements pris par les sociétés privées qui fournissent, sur une base contractuelle, des services dans le domaine de la recherche en santé, notamment pour l’industrie pharmaceutique, en tant que sous-traitants (au sens de l’article 28 du RGPD) dans le cadre de l’exécution du contrat qui les lie au promoteur (personne physique ou morale qui est responsable d'une recherche clinique, en assure la gestion, vérifie que son financement est prévu et qui détermine les finalités et les moyens des traitements nécessaires à celle-ci). Parmi les services proposés par les CRO (prestataires de services en recherche clinique) qui peuvent être couverts par le code, figurent notamment la conception du protocole ou du cahier d’observations, la sélection et la contractualisation avec les centres investigateurs, la collecte et l’hébergement des données, leur analyse et la production de rapports, ou encore des services d’archivage ou de support technique.
Vecteur de sécurité juridique, le code de conduite permet de créer un climat de confiance.
Cet outil, accessible, de dimension européenne et destiné aux prestataires de services en recherche clinique, permettra une diffusion harmonisée de bonnes pratiques auprès de nombreux acteurs. Les travaux menés par le groupe de travail ont permis de consolider, dans ce code, des réponses pragmatiques et concrètes, adaptées aux enjeux des professionnels du secteur.
C’est pourquoi, consciente de l’implication nécessaire pour mener à bien un tel projet, je tenais à saluer l’investissement de la fédération EUCROF dans cette démarche, qui démontre son engagement et celui de ses adhérents à apporter plus de sécurité juridique à leurs activités impliquant des données personnelles.
Marie Laure DENIS, présidente de la CNIL
Que contient ce code de conduite ?
Ce code se divise en deux parties. La première partie détaille un large éventail de mesures juridiques, organisationnelles et techniques visant à assurer la conformité RGPD des traitements de données opérés par les CRO :
- le champ d’application ;
- un rappel des grands principes en matière de protection des données applicables aux futurs adhérents ;
- les mesures concrètes à mettre en œuvre par les CRO (ainsi que les procédures de révision et de mise à jour de ces obligations) ;
- les mécanismes de gouvernance mis en place pour assurer l’effectivité du code, et notamment la description des types d’adhésion au code ou encore les procédures de gestion des plaintes.
La seconde partie offre une grille permettant d’identifier les obligations qui sont applicables à une CRO en fonction des différents types de services qu’elle fournit au promoteur.
Ce code de conduite n’a pas pour objet d’encadrer les transferts de données hors Union européenne.
Comment est contrôlée la bonne application de ce code de conduite ?
L’effectivité du code de conduite tel que conçu par le RGPD est assurée par l’intervention d’un organisme qui est chargé de vérifier la bonne application du code par les adhérents. Pour proposer cette prestation, cet organisme doit être agréé par l’autorité de contrôle compétente. Ses pouvoirs ne se confondent pas avec les missions de contrôle de la CNIL.
Le code de conduite porté par la fédération EUCROF prévoit ainsi la mise en place d’un comité de supervision interne. Le code sera opérationnel dès que ce comité aura été agréé par la CNIL.
Attention
L’approbation d’un code de conduite et l’agrément de sa structure de supervision par la CNIL ne préjugent pas de l’application qui en sera faite par les adhérents. C’est au comité de supervision de garantir la conformité de l’adhérent au contenu du code et ce par le biais d’audits réguliers.