S’Abonner
Login
Données personnelles et recherche clinique

·

·

,
LegalPlanet > CNIL | RGDP > Données personnelles et recherche clinique
Données personnelles et recherche clinique
, ,

Code de Conduite Européen pour les Prestataires de Recherche Clinique : Bonnes Pratiques à Suivre

Le code de conduite européen de la Fédération EUCROF (European Clinical Research Organisations Federation) a été approuvé par la CNIL en octobre 2024. Ce code s’adresse aux prestataires de services en recherche clinique (CRO – Clinical Research Organisations) qui agissent en tant que sous-traitants pour les promoteurs dans le cadre de la recherche clinique, notamment pour l’industrie pharmaceutique.

Qu’est-ce qu’un Code de Conduite ?

Un code de conduite est un instrument prévu par le RGPD qui aide les professionnels à se conformer aux exigences de protection des données. Il offre une base commune de bonnes pratiques et permet de démontrer la conformité avec le RGPD, tout en envoyant un signal positif aux clients et aux autres acteurs du secteur. Ce code engage les adhérents à se conformer à ses règles, et leur impose un contrôle par un organisme tiers.

Un Code Européen Adapté aux Prestataires en Recherche Clinique

Ce code de conduite, porté par EUCROF, est destiné à encadrer les pratiques des prestataires en recherche clinique qui, en tant que sous-traitants, traitent des données personnelles pour le compte des promoteurs. Il décrit les engagements à prendre par ces prestataires pour assurer la conformité au RGPD lors de l’exécution des contrats avec les promoteurs, qu’ils soient publics ou privés. Ces prestations incluent notamment la conception de protocoles, la sélection des centres investigateurs, la collecte des données, leur analyse, ainsi que les services d’archivage et de support technique.

Objectifs du Code de Conduite

Le code a pour but de renforcer la sécurité juridique des prestataires et de favoriser une conformité harmonisée au sein du secteur de la recherche clinique. Il permet de répondre de manière concrète et pragmatique aux défis rencontrés par les professionnels, tout en garantissant une protection efficace des données personnelles des participants aux recherches.

Contenu du Code de Conduite

Le code se divise en deux parties essentielles :

  1. Première partie :
    Elle expose les mesures juridiques, organisationnelles et techniques à mettre en œuvre pour assurer la conformité des prestataires aux exigences du RGPD. Cette partie inclut :
    • Un rappel des principes fondamentaux en matière de protection des données.
    • Des mesures concrètes à adopter pour garantir la sécurité des données personnelles.
    • Des procédures de révision et de mise à jour des obligations.
    • Les mécanismes de gouvernance, incluant des informations sur l’adhésion au code et les procédures de gestion des plaintes.
  2. Seconde partie :
    Elle propose une grille d’évaluation permettant aux CRO d’identifier les obligations qui leur sont applicables en fonction des types de services fournis aux promoteurs.

Il est à noter que ce code ne couvre pas les transferts de données en dehors de l’Union européenne, qui nécessitent un cadre juridique distinct.

Contrôle de la Bonne Application du Code de Conduite

La CNIL supervise l’approbation du code de conduite, mais la mise en œuvre effective du contrôle incombe à un organisme agréé. Cet organisme vérifie que les adhérents respectent le code par le biais d’audits réguliers. Ce processus de contrôle est supervisé par un comité de supervision interne qui, une fois agréé par la CNIL, assurera la conformité des pratiques des CRO.

L’approbation de ce code de conduite par la CNIL marque un tournant pour les prestataires en recherche clinique, leur permettant de démontrer leur conformité au RGPD tout en garantissant une protection stricte des données personnelles traitées.

Ce code représente un outil indispensable pour harmoniser les bonnes pratiques au sein du secteur et créer un climat de confiance entre les prestataires, les promoteurs et les participants aux recherches.

Approbation du code de conduite européen porté par la fédération EUCROF

Délibération n° 2024-064 du 12 septembre 2024 portant approbation du code de conduite européen porté par la fédération EUCROF (European Contract Research Organisation Federation) (Demande d’approbation n° 21000034)

La Commission nationale de l’informatique et des libertés,

Saisie par la fédération EUCROF d’une demande d’approbation de son projet de code de conduite destiné aux prestataires de services en recherche clinique,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« Règlement » ou « Règlement général sur la protection des données » ou « RGPD »), notamment son article 40 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu l’avis 12/2024 du Comité européen de la protection des données relatif au code de conduite européen porté par l’EUCROF au titre des articles 63 et 64 du RGPD, adopté le 18 juin 2024 ;

Après avoir entendu le rapport de Madame Marie Zins, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

L’article 40.5 du RGPD prévoit que les associations et autres organismes représentatifs d’un secteur d’activité qui ont l’intention d’élaborer un code de conduite soumettent leur projet à l’autorité de contrôle compétente en vertu de l’article 55 du RGPD. L’autorité de contrôle rend un avis sur la question de savoir si le projet de code respecte le Règlement et approuve ce projet de code si elle estime qu’il offre des garanties appropriées suffisantes.

L’article 40.7 du RGPD prévoit que lorsque le projet concerne des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle saisie soumet le projet, avant approbation, au Comité européen de la protection des données (CEPD), conformément au mécanisme de « contrôle de la cohérence ».

Le 18 mars 2021, la CNIL a été saisie par la fédération EUCROF d’une demande d’approbation portant sur un projet de code de conduite transnational et ce conformément aux dispositions de l’article 40.5 du RGPD.

Le 5 février 2024, la CNIL a soumis ce projet de code à l’avis du CEPD, qui a adopté un avis favorable relatif à ce projet le 18 juin 2024.

Le code de conduite répond aux exigences prévues par l’article 40.2 du RGPD : il démontre la représentativité du porteur du code de conduite, précise le champ d’application matériel et le champ d’application géographique de celui-ci et identifie la CNIL comme autorité de contrôle compétente conformément aux dispositions de l’article 40.5 du RGPD. Enfin, il détaille les modalités de consultation des professionnels du secteur et développe une procédure de contrôle de la bonne application du code de conduite par les adhérents.

Le code de conduite précise les modalités d’application du RGPD et prend en compte les besoins des professionnels du secteur de la recherche clinique sous contrat conformément aux dispositions de son article 40.1. Par ailleurs, il illustre et apporte des exemples concrets permettant l’application effective du RGPD par les adhérents. Enfin, il comprend de manière claire et précise l’obligation pour les professionnels adhérents de se conformer aux exigences du code de conduite qui est juridiquement contraignant.

Le code de conduite comprend un mécanisme permettant à l’organisme de contrôle de mettre en œuvre ses missions de contrôle de la bonne application du code de conduite par les professionnels adhérents, conformément aux dispositions de l’article 40.4 du RGPD. L’organisme de contrôle désigné par le code de conduite fera l’objet d’un agrément par la CNIL conformément aux dispositions de l’article 41.1 du RGPD.

Le code de conduite comprend une procédure permettant sa mise à jour selon les évolutions juridiques et techniques conformément aux dispositions de l’article 40.2 du RGPD.

Conformément aux dispositions de l’article 40.1 du RGPD, le code de conduite contribue à sa bonne application, compte tenu de la spécificité du secteur concerné.

Décide :

De l’approbation du code de conduite européen pour les prestataires de services en recherche clinique porté par l’association EUCROF (European Contract Research Organisation Federation) et annexé à la présente délibération.

En cas de modification du code, la CNIL, après en avoir été informée par le porteur du code, décidera si une nouvelle procédure d’approbation est nécessaire conformément aux dispositions de l’article 40.2 du RGPD.

Cette décision sera publiée sur le site Légifrance.

La présidente,

M.-L. Denis

  • Bienvenue, je suis votre assistant juridique
Réflexion en cours .... ...
Chat Icon