Blog Données personnelles
CRO : la CNIL approuve le code de conduite européen de la Fédération EUCROF
Conformément à l’article 40 du Règlement Général sur la Protection des Données (« RGPD »), des codes de conduite peuvent être élaborés compte tenu de la spécificité de certains secteurs et s’imposent à ceux qui y adhèrent.
Cet outil permet de prendre en compte les exigences du RGPD mais peut également ajouter des préconisations supplémentaires selon le secteur concerné. C’est ici le cas avec le code de conduite européen de la Fédération EUCROF qu’a approuvé la CNIL [1] et qui s’impose donc aux adhérents de la Fédération, c’est-à-dire les associations nationales de Clinical Research Organisations (CROs) ainsi que les CROs individuelles.
La mise en place de ce code dédié aux CROs se justifie par deux raisons principales :
- elles participent aux traitements de données personnelles à chaque stade de la recherche (de la conception à l’archivage) et,
- elles jouent un rôle central entre les différents acteurs impliqués (promoteurs, sites investigateurs, autorités de contrôle).
L’objectif de ce code est de définir concrètement les obligations de mise en conformité de ces CROs qui sont des prestataires dans le cadre de recherches cliniques et qui agissent en tant que sous-traitant pour le compte du promoteur [2] , responsable de traitement de la recherche.
Parmi ces exigences, 91 sont spécifiques au présent code, 113 correspondent à des exigences de la norme ISO 27001 et 12 aux exigences d’ISO 27701. Une partie des exigences est donc d’ores et déjà connue des CROs.
Une première partie du code aborde le cadre général applicable aux données à caractère personnel au sens du RGPD. Parmi les exigences se trouvent : un rappel de l’encadrement contractuel devant être mis en place entre la CRO et le promoteur, un renforcement des obligations de confidentialité et une clarification des rôles et obligations de chaque partie.
La deuxième partie du code met en application ces principes aux CROs en donnant des exemples de mise en œuvre concrets.
Par exemple, le code exige le respect des règles suivantes :
- au titre de la minimisation des données, une CRO qui conçoit des protocoles et des CRF doit prévoir une formation spéciale de ses employés sur la minimisation des données ;
- en cas de traitement en dehors du protocole de recherche, les données doivent être anonymisées et les CROs doivent à ce titre appliquer les méthodes d’anonymisation fondées sur les recommandations du Comité européen de la protection des données, des autorités nationales de contrôle de la protection des données et celles régissant le domaine de la recherche clinique.
A la suite de l’approbation de la CNIL, le code est donc désormais opérationnel.
Le comité de supervision interne à l’EUCROF (« COSUP [3] ») est en charge de s’assurer de la conformité des adhérents au contenu du code. Des lignes directrices élaborées par le COSUP indiqueront les sanctions applicables en fonction du manquement constaté au code de conduite.
[1] Il s’agit du second code de conduite approuvé par la CNIL après le CISPE dans le domaine du cloud : lien code
[2] Un promoteur est une personne physique ou morale qui est responsable d’une recherche clinique, en assure la gestion et qui vérifie que son financement est prévu.
[3] Le COSUP est composé de 12 membres ayant un minimum de 10 ans d’expérience dans le domaine de la recherche, protection des données, systèmes d’information sur la santé, protection des droits des patients ou dans les processus d’audit, d’inspection, de certification. Parmi ses attributions, le COSUP examine et évalue les demandes et les dossiers de conformité soumis par les CROs désireuses d’adhérer au code et missionne et contrôle les plaintes concernant les infractions au code par les CROs adhérentes et prend les mesures appropriées le cas échéant.