Le Code de conduite des CRO : quelles obligations en matière de protection des données pour les Contract Research Organizations (CRO) ?

Avec l’approbation récente du Code de conduite EUCROF par la CNIL, les Contract Research Organizations (CRO) doivent désormais s’adapter à un nouveau cadre exigeant en matière de protection des données personnelles. Entre conformité RGPD, enjeux stratégiques et obligations pratiques, quelles opportunités ce référentiel offre-t-il aux acteurs de la recherche clinique ? Découvrez comment tirer pleinement profit de cette évolution majeure.

I. Présentation du Code

1. Le Code de Conduite EUCROF : un cadre européen validé par la CNIL pour la recherche clinique

L’article 40 du RGPD¹ prévoit l’élaboration de codes de conduite afin d’établir des socles communs de bonnes pratiques en matière de protection des données personnelles dans des secteurs spécifiques. A ce titre, les associations et organismes représentant des catégories de responsables de traitement ou sous-traitants peuvent élaborer de tels codes (Art 40.2). Une fois finalisés, ils sont ensuite soumis à l’autorité compétente, qui décide ou non de les approuver (Art 40.5).

Parmi ces codes, figure celui porté par la fédération EUCROF (European Contract Research Organisation Federation)². Il s’applique aux prestataires de services en recherche clinique (les CROs – Clinical Research Organisations agissant en qualité de sous-traitants pour le compte de promoteurs (qui sont responsables de traitement de la recherche). 

Ce Code a récemment fait l’objet d’une approbation de la CNIL par une délibération du 12 septembre 2024³, ce qui le rend applicable aux organismes en France.

Le principe du code est qu’il s’impose aux organismes qui décident d’y adhérer. Toutefois, avant d’en bénéficier, ces derniers doivent déposer auprès de l’entité compétente, à savoir le comité de supervision interne à la fédération EUCROF (COSUP), une demande accompagnée d’un dossier de conformité. Ces documents permettront, à toute CRO intéressée, de démontrer son respect à l’égard des exigences du Code de conduite. Une fois adhérente, la CRO pourra déclarer que les services qu’elle fournit, lorsqu’ils relèvent du champ du Code⁴, sont bien conformes au Code EUCROF. Cette conformité est officiellement reconnue par une marque de conformité que la CRO adhérant au Code EUCROF pourra afficher après approbation du COSUP (sous forme de badge ou autre signe distinctif). 

2. Structure et obligations du Code EUCROF : un cadre pour la conformité des CROs

Le Code de conduite EUCROF se structure en deux parties distinctes et comporte un total de 216 exigences. Parmi celles-ci, 91 sont spécifiques au Code, 113 correspondent aux exigences de la norme ISO27001⁵ et 12 correspondent à celles la norme ISO27701⁶.

La première partie du Code présente les mesures juridiques, organisationnelles et techniques visant à assurer la conformité au RGPD des traitements effectués par les CROs. Quant à la seconde partie, elle propose des exemples ainsi qu’une grille permettant aux CROs de vérifier leurs obligations en fonction des services qu’elles fournissent aux promoteurs. 

Enfin, il convient de noter que le Code de conduite n’encadre pas les transferts de données hors UE effectués par les CROs.

II. Quels enjeux pour les CROs à la suite de l’approbation du code EUCROF?

Les enjeux pour les CROs, dans le cadre de leur adhésion au Code de conduite EUCROF, sont multiples et concernent à la fois la conformité au RGPD, la standardisation des pratiques et la gestion des risques liés au traitement des données personnelles en recherche clinique.

Les CROs jouent un rôle important dans la recherche clinique, en tant que sous-traitants impliqués dans le traitement des données. Toutefois, l’absence d’une harmonisation dans l’application du RGPD avait conduit à des divergences dans la mise en œuvre des mesures de protection des données. Le Code EUCROF répond à cette problématique en apportant un cadre reconnu qui garantit une meilleure conformité.

1. Le Code harmonise les pratiques de gestion des risques des CROs

L’un des principaux défis pour les CROs réside dans l’évaluation des risques liés au traitement des données. L’article 32 du RGPD oblige les sous-traitants à mettre en place des mesures de sécurité, mais en pratique, en l’absence de référence commune, chaque CRO applique sa propre analyse des risques, ce qui conduit à des écarts entre organisations. En effet, selon la taille de l’entreprise, son périmètre d’intervention et les services qu’elle propose, l’appréciation des risques varie. Or, cette diversité d’approches complexifie la mise en conformité⁷. 

Le Code EUCROF permet d’harmoniser ces pratiques en définissant un cadre de référence, approuvé par la CNIL, constituant un outil majeur pour les micro, petites et moyennes CROs, qui ne disposent pas toujours des ressources nécessaires pour mener leur propre analyse approfondie du RGPD.

2. Le Code simplifie les relations entre CROs et promoteurs

Un autre enjeu majeur concerne la relation entre les CROs et les promoteurs de recherche clinique. L’article 28 du RGPD oblige ces derniers à ne collaborer qu’avec des sous-traitants capables de garantir un niveau de protection suffisant des données personnelles. En l’absence de normes sectorielles précises, chaque promoteur (responsable de traitement) applique alors ses propres critères d’évaluation de la conformité des CROs (sous-traitant), ce qui entraîne une multiplicité d’évaluations hétérogènes. Par conséquent, cette situation a pu empêcher les CROs de standardiser leurs processus internes et les contraint à répondre à des exigences propres à chaque client promoteur.⁸ 

L’adhésion au Code EUCROF est ainsi une solution qui permet aux CROs de se prévaloir d’une reconnaissance officielle de leur conformité par les autorités compétentes, réduisant ainsi la charge liée aux évaluations répétitives et renforçant ainsi leur attractivité et leurs relations avec les promoteurs.

3. Le Code est un avantage en cas de contrôle par les autorités

L’adhésion au Code représente également un avantage stratégique en cas de contrôle par une autorité de protection des données (CNIL en France). Bien que chaque CRO soit responsable de sa propre conformité au RGPD, le fait d’adhérer au Code peut être pris en compte positivement lors de l’évaluation d’éventuelles sanctions par les autorités compétentes. En effet, conformément à l’article 83(2)(j) du RGPD, l’adhésion à un code de conduite peut être un facteur atténuant en cas de manquement. À l’inverse, les CROs qui ne s’inscrivent pas dans une démarche de conformité encadrée par un tel référentiel reconnu pourraient être plus vulnérables aux sanctions.⁹

4. Le Code est un levier de structuration pour le secteur de la recherche clinique

Enfin, le Code EUCROF constitue un outil structurant pour l’ensemble du secteur de la recherche clinique. En définissant des mécanismes opérationnels standardisés, il facilite la mise en conformité des CROs tout en tenant compte des spécificités de leur activité. Son adoption progressive contribuera à renforcer la gestion des données personnelles et améliorer leur niveau de protection dans le domaine de la recherche clinique.

Les CROs impliquées dans la gestion de données de santé doivent impérativement maîtriser la conformité spécifique des données de santé pour éviter des risques juridiques majeurs.

Pour adhérer au Code de conduite EUCROF, les Contract Research Organizations (CROs) doivent respecter un ensemble d’exigences, au nombre de 216, qui recouvrent à la fois celles du Code et celles des normes ISO 27001 et 27701.

III. Obligations concrètes et bonnes pratiques pour les CROs 

Ainsi, les principales obligations peuvent être résumées comme suit : 

1. Désignation d’un délégué à la protection des données (DPO) – Section 4.1 du Code

Chaque CRO désigne un DPO dans le cas où l’une des exigences de l’article 37 du RGPD est remplie. C’est le cas ici, puisque : « les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 (données de santé) ». 

Si aucun DPO n’est nommé, la CRO doit documenter sa décision et décrire les mesures alternatives mises en place.

Par ailleurs, le DPO doit être choisi en fonction de ses qualifications et de sa capacité à exécuter les tâches spécifiées par le RGPD. Il doit aussi disposer de moyens suffisants pour accomplir ses tâches. Le DPO doit rendre compte directement à la direction générale de la CRO. Enfin, ses coordonnées doivent figurer dans les registres de traitement, et doivent être mises à disposition des personnes concernées, des promoteurs et des autorités de contrôle.

En savoir plus sur nos services de DPO externalisé

2. Sécurité des traitements – Section 4.2

La section 4.2 du Code impose aux CROs de garantir un niveau de sécurité des données personnelles conforme à l’article 32 du RGPD. Pour cela, elles doivent mettre en place un Système de Management de la Sécurité de l’Information (SMSI) et appliquer les mesures suivantes : 

• Mettre en œuvre une méthodologie d’analyse des risques afin d’évaluer les risques 
• Mettre en œuvre des politiques de sécurité 
• Mettre en œuvre des contrôles de sécurité pour réduire le risque identifié 
• Évaluer la performance de chaque contrôle mis en place 
• Assurer une action corrective et préventive afin d’améliorer la performance des mesures de sécurité.

3. Sélection et gestion des sous-traitants – Section 4.4

Les CROs sont tenues d’appliquer des obligations dans le choix, la gestion et l’audit des sous-traitants. L’objectif principal étant de garantir que les sous-traitants engagés respectent les mêmes exigences que celles imposées à la CRO. Ces exigences comprennent : 

• Définir des procédures pour la gestion des sous-traitants (approbation, gestion, suppression)  
• Sélectionner rigoureusement des sous-traitants sur des critères stricts, en évaluant leurs garanties de conformité 
• Prévoir des audits réguliers, effectués par des auditeurs qualifiés suivant et selon un plan défini 
• Assurer une surveillance continue des sous-traitants pour vérifier que les mesures de protection des données sont bien respectées
• Signaler au promoteur toute non-conformité importante ou non résolu.

4. Collaboration avec le promoteur – Section 4.5

La section 4.5 du Code met en lumière le rôle clé et la responsabilité de la CRO dans l’assistance au promoteur, l’aidant à respecter ses obligations en matière de protection des données. Cette collaboration se décline à travers plusieurs axes (telles que les conseils, l’analyse d’impact, la gestion des demandes des personnes, ainsi que les notifications en cas de violation de données), par exemple :

• Fourniture de conseils sur la protection des données : Informer immédiatement le promoteur si la CRO estime que celui-ci n’est pas conforme au RGPD.
• Analyse d’impact sur la protection des données : Aider le promoteur à réaliser une analyse d’impact sur la protection des données, si nécessaire.
• Demandes des personnes concernées : Faciliter les demandes des personnes concernées en coopération avec le promoteur.
• Violations de données à caractère personnel : Notifier toute violation de données au promoteur et fournir les informations nécessaires pour aider le promoteur à se conformer aux obligations après une violation.

5. Transferts internationaux de données – Section 4.6

Enfin, la section 4.6 du Code rappelle que l’adhésion au Code ne constitue pas, à elle seule, un mécanisme de transfert international de données au sens de l’article 46 du RGPD. 

Par conséquent, il appartient à chaque CRO d’informer clairement le promoteur que son adhésion au Code ne se substitue pas aux mécanismes de transferts existants dans le RGPD. Elle doit également s’assurer que tout transfert est effectué dans le respect des obligations du RGPD, en utilisant les outils appropriés pour garantir la protection des données.

Chaque organisation doit ainsi particulièrement surveiller le cadre légal des transferts de données hors UE afin d’assurer la protection conforme au RGPD.

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé IT / Data et protection des données, nous sommes à votre disposition pour vous accompagner dans tous vos projets. Que vous soyez une startup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguer sereinement dans le paysage complexe de la réglementation et de la conformité. N’hésitez pas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique.

Sources :

1. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – Règlement général sur la protection des données, Article 40 ↩︎
2. https://www.cnil.fr/sites/cnil/files/2024-10/2024codeeucrof-partie1_fr.pdf – Code de Conduite EUCROF ↩︎
3. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050248562 – CNIL, Délibération n° 2024-064 du 12 septembre 2024 portant approbation du code de conduite européen porté par la fédération EUCROF ↩︎
4. https://cro.eucrof.eu/eucrof-code-classes-services ↩︎
5. https://certification.afnor.org/numerique/certification-iso-27001 – Norme ISO 27001 sur la sécurité des systèmes d’information ↩︎
6. https://certification.afnor.org/numerique/iso-27701-protection-vie-privee – Norme ISO 27701 sur la protection des la vie privée ↩︎
7. https://www.cnil.fr/sites/cnil/files/2024-10/2024codeeucrof-partie1_fr.pdf – Code de Conduite EUCROF, p11, pt1 ↩︎
8. https://www.cnil.fr/sites/cnil/files/2024-10/2024codeeucrof-partie1_fr.pdf – Code de Conduite EUCROF, p11, pt2 ↩︎
9. https://www.cnil.fr/sites/cnil/files/2024-10/2024codeeucrof-partie1_fr.pdf – Code de Conduite EUCROF, p12, pt3 ↩︎