Un nouveau modèle de convention unique à l’heure du RGPD
Article rédigé le 24 avril 2022 par Me Adriane Louyer
Le ministère de la santé vient de mettre à jour le modèle de la convention unique qui doit être signé entre tout promoteur et l’établissement dans lequel se déroule la recherche réalisant une RIPH1 ou RIPH2 à finalité commerciale, et le cas échéant la structure tierce, en y intégrant des clauses sur les traitements des données à caractère personnel. Si le choix de la prise en compte du RGPD est une avancées à souligner, le choix d’imposer un modèle précis de clauses restreint considérablement l’adaptation de ces clauses aux spécificités des traitements de données à caractère personnel mis en œuvre et pourra être particulièrement contraignant des points de vue opérationnel.
La première version du modèle de convention unique datait de 2016, soit avant l’entrée en vigueur du Règlement général sur la protection des données, et ne comprenait qu’une clause très succincte sur le traitement des données à caractère personnel. Le nouveau modèle de convention unique ajoute désormais un article 11 bis dédié spécifiquement aux traitements de données à caractère personnel intervenant dans le cadre de cette convention unique et intègre une annexe 3 à la convention unique dédiée à l’encadrement des traitements dans le cadre de la recherche. L’enjeu de ce changement réside dans le fait que des précisions sont apportées dans le nouveau modèle de la convention unique alors même qu’il est impossible de modifier la moindre clause de ce document. Après avoir noté les précisions bienvenues sur les traitements relatif aux relations contractuelles entre les parties (1), nous étudierons plus problématique sur les traitements réalisés dans le cadre de la recherche (2 et 3).
La prise en compte bienvenue des traitements autres que ceux de la recherche
A titre liminaire, il convient de rappeler que le responsable du traitement est défini par le RGPD comme l’organisme qui seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Le sous-traitant est quant à lui défini comme l’organisme qui traite des données à caractère personnel pour le compte du responsable de traitement.
Le nouvel article 11 bis apporte des précisions sur les trois types de traitement susceptibles d’être mis en œuvre dans le cadre des recherches interventionnelles sur la personne humaine dont deux concernent les traitements relatifs aux relations contractuelles entre les parties.
Le premier de ces traitements est le traitement des données à caractère personnel qui résulte de la gestion de la convention unique et les relations et contacts entre les parties. Pour ce traitement, la convention unique précise que le promoteur et l’établissement de recherche sont des responsables de traitement distincts. Cela signifie que chacune des parties est responsable de ses propres traitements qu’elle met en œuvre dans le cadre de la signature de la convention unique. Plus précisément, cette clause a pour objet d’informer les parties (signataires, représentants) ainsi que le personnel de l’autre partie du traitement de leurs données par les responsables de traitement. Elle correspond donc à la mention d’information des signataires sur le traitement de leurs données à caractère personnel. Bien qu’obligatoire, l’information des personnes parties à un contrat sur le traitement de leurs données n’est pas toujours réalisée, l’ajout de ces mentions d’information est donc une bonne pratique qu’il convient de relever.
Le deuxième traitement de données mentionné dans la convention unique concerne les traitements de données à caractère personnel relatifs à l’investigateur coordonnateur ou investigateur principal qui est une personne physique. Pour ces traitements, la clause prévue dans la convention unique précise que le promoteur est susceptible de réaliser des traitements de données à caractère personnel sur l’investigateur. Cet article prévoit que le promoteur devra remettre à l’investigateur les mentions d’information concernant la collecte directe de ses données à caractère personnel.
Les précisions apportées sur ces traitements par le ministère de la santé est une avancée qu’il convient de souligner et permet de souligner que la conformité des traitements mis en œuvre dans le cadre de la convention unique ne doit pas se limiter aux traitements de données à caractère personnel réalisé dans le cadre de la recherche.
Les apports plus limités sur l’encadrement des traitements réalisés dans le cadre de la recherche
Parallèlement à ces deux premiers traitements, l’encadrement des traitements pour la réalisation de la recherche nécessite une analyse plus détaillée. On rappellera que le modèle de convention unique ne peut être modifié, ce qui peut soulever différentes problématiques.
Sur la qualification des parties arrêtée dans la convention
Tout d’abord, le nouveau modèle de la convention unique stipule à son article 11 bis 3 que « dans le cadre de la réalisation de la recherche, l’entreprise agit en qualité de responsable de traitement au sens de l’article 4.7 du RGPD ». Ainsi, selon les dispositions de cette convention, l’établissement au sein duquel se déroule la recherche ou la structure tierce agissent en qualité de sous-traitant de données à caractère personnel pour le compte du promoteur. Le ministère de la santé précisait déjà dans sa FAQ sur la convention unique en date de 2018 que le promoteur d’une recherche à finalité commerciale impliquant la personne humaine avait la qualité de responsable de traitement des données à caractère personnel.
Cependant, il convient de préciser que ce choix de qualification ne devrait pas être systématique. En effet, dans ses lignes directrices sur la qualification de responsable de traitement et sous-traitant, le Comité européen à la protection des données qui regroupe l’ensemble des CNIL européennes, estime que selon les circonstances du traitement, l’investigateur et le promoteur pourraient être qualifiés de responsable conjoint du traitement. Plus précisément, le CEPD envisage dans l’un de ses exemples la possibilité qu’un chercheur et un promoteur « décident de lancer ensemble un essai clinique ayant la même finalité ». Dans une telle hypothèse ils « collaborent à la rédaction du protocole de l’étude (…) [et] peuvent être considérés comme des responsables conjoints du traitement pour cet essai clinique étant donné qu’ils déterminent et conviennent ensemble de la même finalité et des moyens essentiels du traitement ».
Or, le modèle de la convention unique fige dans le marbre une relation de sous-traitance de données à caractère personnel entre le promoteur et l’investigateur sans prendre en compte la possibilité d’une co-responsabilité du traitement. Pour les centres de recherche, cela signifie concrètement qu’ils devront procéder à une analyse pour s’assurer qu’ils correspondent bien à la qualification de sous-traitant de données à caractère personnel dans le cadre de la recherche. De plus l’investigateur ne devra pas aller au-delà de ses prérogatives en tant que sous-traitant de données à caractère personnel. En effet, si l’investigateur, par son implication dans le traitement détermine les moyens et les finalités du traitement, celui-ci risque de se voir requalifier par la CNIL de co-responsable de traitement et d’être en manquement sur son obligation de conformité puisque ce n’était pas un contrat de sous-traitance de données personnelles que ce dernier aurait dû signer mais un accord de co-responsabilité.
Sur l’absence possible d’option dans la convention unique
Là encore les stipulations de la convention unique ne laissent pas la possibilité aux parties de modifier ces clauses afin de les adapter aux circonstances particulières de réalisation du traitement.
S’agissant plus précisément du contenu des clauses de sous-traitance prévu dans l’annexe 3 de la convention unique, il convient tout d’abord de préciser que cette annexe reprend les clauses de sous-traitance de données à caractère personnel proposées par la CNIL dans son guide de sous-traitance. A la différence du guide de la CNIL proposant des options pour certaines clauses telles que la gestion de la sous-traitance, le droit d’information des personnes ou encore l’exercice des droits des personnes, dans cette annexe les parties n’auront pas la possibilité de choisir les clauses en fonction de leur mode d’organisation. Dès lors, l’imposition de ces clauses n’est pas sans poser un certain nombre de difficultés concrètes.
Par exemple, l’article 7 de cette annexe prévoit que ce sont les sous-traitants qui seront chargés de réaliser l’information sur le traitement et auprès de qui les personnes concernées devront exercer leur droit, ce qui ne correspond pas toujours à l’organisation des parties.
L’article 11 de cette annexe quant à lui liste de nombreuses mesures de sécurité que les parties devront mettre en œuvre, ou, si tel n’est pas le cas, être en mesure de justifier leur absence de mise en œuvre. Cependant il convient de préciser sur ce point que la Commission européenne dans ses clauses contractuelles types encadrant la sous-traitance de données à caractère personnel a rappelé que « les mesures techniques et organisationnelles doivent faire l’objet d’une description concrète, et non pas générique ». Or, cette convention unique et son annexe ne peuvent être modifiées, aussi les parties devront s’assurer que les mesures listées seront suffisantes pour garantir la sécurité du traitement envisagé. Si tel n’est pas le cas les parties devront s’interroger sur l’opportunité de produire un avenant pour compléter ces clauses.
De surcroit, l’article 4 de l’annexe 3 reprend l’obligation à la charge du sous-traitant d’informer le responsable du traitement lorsqu’il souhaite procéder à un transfert de données à caractère personnel en dehors de l’Union européenne. Cependant, afin d’encadrer la réalisation des transferts de données à caractère personnel vers un pays tiers, cette clause n’est pas suffisante. En effet, la seule information par le sous-traitant de l’existence du transfert ne permet pas d’assurer la conformité de ce transfert. Le responsable de traitement doit également s’assurer que ce transfert est fondé sur l’un des mécanismes prévus par le RGPD, tels qu’une décision d’adéquation ou une clause contractuelle type. Dès lors il aurait été préférable de prévoir en option la conclusion des clauses contractuelles types fixée par la commission européenne pour encadrer les transferts de données dans l’hypothèse où le transfert sera réalisé vers un pays non reconnu comme adéquat. L’absence d’intégration des clauses contractuelles types encadrant les transferts de données au sein de l’annexe 3 interroge également sur la possibilité pour les parties d’ajouter ces clauses en annexe. En effet, dans sa FAQ sur la convention unique, le ministère de la santé précise que seules les annexes référencées dans la convention unique peuvent être utilisées, or les clauses contractuelles types encadrants les transferts de données en dehors de l’Union européenne ne figurent pas en annexe de cette convention.
Enfin, l’article 15 de l’annexe de la convention mentionne la possibilité pour le responsable de traitement de prévoir des audits selon les modalités de réalisation des audits prévus dans la convention unique à son article 9.5. Toutefois, cette clauses prévue dans la convention unique concerne les audit et inspection sur la recherche qui fait l’objet de la convention unique et non les audits susceptibles d’être réalisés par les responsables de traitement sur leur sous-traitant.
Les implications économiques liées à la conformité restant à préciser
La gestion de la conformité au droit des données personnelles d’un traitement peut comprendre un certain nombre de coûts à la charge du responsable de traitement ou du sous-traitant. Toutefois, les implications économiques de la mise en conformité n’apparaissent pas expressément dans la matrice de calcul des coûts et surcoûts engagés pour la réalisation de la recherche à finalité commerciale (annexe 2.1 de la convention).
Les coûts susceptibles d’intervenir et qui peuvent poser questions sont les suivants :
- La prise en charge des mesures de sécurité supplémentaires que le promoteur pourra imposer aux sous-traitants de mettre en œuvre et qui pourront représenter un cout important pour ces organismes.
- La réalisation des audits en matière de protection des données à caractère personnel. En effet, cet audit doit être distinct de l’audit réalisé dans le cadre du contrôle et de l’assurance qualité par les attachés de recherche clinique du promoteur.
- La prise en charge des frais de gestion liée à l’exercice des droits des personnes concernées auprès des sous-traitants. Selon la taille des projets envisagé, le nombre de personnes impliquées cela peut conduire à une surcharge de travail pour les opérationnel ou des équipes en charge de la conformité au droit des données au sein des sous-traitants.
La question qui pourra se poser est celle de savoir si la matrice de calcul des coûts et surcoûts pourra s’appliquer dans la prise en charge de ces frais supplémentaires et non prévu par le promoteur.
En conséquence, les centres investigateurs devront se montrer particulièrement vigilants dans la négociation des conditions de prise en charge par les promoteurs et veiller aux coûts que peuvent engendrer la réalisation de certaines obligations en matière de protection des données personnelles qui seront à leur charge et anticiper l’ensemble de ces frais au sein de la convention unique.
Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.