Recherche en santé : la CNIL met à jour ses méthodologies de référence (MR) pour s’adapter à la pratique et rehausse le niveau d'exigence

La Commission nationale de l'informatique et des libertés (CNIL) a adopté les nouvelles versions très attendues de ses méthodologies de référence MR-001 et MR-003, publiées au Journal officiel le 23 mai 2026 et entrées en vigueur le 24 mai 2026, accompagnées de la publication de deux nouvelles annexes relatives à la qualité et à la sécurité des traitements de données à caractère personnel mis en œuvre dans le cadre des recherches en santé. Cette révision ne se limite pas à une modernisation rédactionnelle ; au vu des évolutions relevées dans le texte, la CNIL renforce le niveau d’exigence organisationnel et technique attaché au recours au régime déclaratif et répond enfin aux évolutions des pratiques de plus en plus numérisées. La CNIL justifie ainsi cette réforme non seulement par une multiplication des notifications de violations de données en santé, mais aussi par la numérisation des pratiques de recherche clinique et l'évolution du cadre légal et réglementaire.

Les MR – un régime de déclaration simplifiée

En matière de recherche en santé, les méthodologies de référence (MR) de la CNIL sont un instrument central de conformité qui édicte l’ensemble des règles de protection des données personnelles applicables aux recherches en santé. Elles permettent de bénéficier d’un régime de déclaration simplifiée : lorsqu’un traitement satisfait à l’ensemble des exigences de la méthodologie de référence applicable, le responsable de traitement peut ainsi recourir au régime de la déclaration de conformité. À défaut, dès lors qu’une seule des dispositions de la MR applicable n’est pas respectée, une demande d’autorisation est requise, ce qui engendre un long processus auprès de la CNIL.

Un périmètre plus explicitement précisé

La CNIL précise désormais de façon explicite que les MR-001 et MR-003 s’appliquent bien aux promoteurs établis à l’étranger, dès lors que tout ou partie des personnes concernées par le traitement résident en France. Ce point qui avait pu soulever des interrogations par le passé est donc désormais clarifié.

Une précision supplémentaire bienvenue est également incluse dans les MR-001 et MR-003 sur la confirmation de l’application de ces dernières aux recherches mises en œuvre par un promoteur établi en France mais pour lesquelles les personnes concernées ne résident pas en France.

Les textes mis à jour des MR-001 et MR-003 prennent désormais également en compte la responsabilité conjointe de traitement et rappellent la nécessité pour chaque promoteur, en cas de responsabilité conjointe, de respecter ses obligations au titre du RGPD et que chacun réalise son propre engagement de conformité à la MR concernée auprès de la CNIL.

Des données plus larges, mais un accès davantage compartimenté

Les méthodologies de référence révisées complètent la liste des données pouvant être traitées. Outre les données déjà admises, les MR incluent désormais la possibilité de collecter le lieu de naissance des patients, leur origine géographique, leur pays, région ou département de résidence, leur orientation sexuelle, ainsi que le statut vital et la date de décès dans les conditions prévues par les textes. De manière intéressante, la CNIL inclut également la possibilité de collecter la date de naissance complète du patient parmi les données administratives. Seule la collecte du mois et de l’année de naissance du patient était jusqu’à présent autorisée, ce qui pouvait soulever des difficultés, notamment dans le remboursement des frais liés à la recherche par des prestataires soumis à des obligations règlementaires bancaires de vérification de l’identité du patient imposant la collecte complète de la date de naissance. Il est désormais possible de collecter cette donnée complète pour les prestataires exerçant une mission administrative ayant pour finalité la prise en charge ou le remboursement de frais de transport, d’hébergement ou de restauration des personnes.

Si cette extension de la liste des données collectées répond à l’évolution des protocoles et des pratiques, elle implique une vigilance renforcée quant au respect des principes de nécessité, de minimisation et de justification scientifique de chaque catégorie de données traitée.

En parallèle, la CNIL clarifie les règles relatives aux destinataires et au cumul des missions. Lorsque les mêmes structures ou les mêmes personnes interviennent à plusieurs titres, par exemple pour le suivi des participants, l'information des personnes et certaines tâches administratives, les textes exigent une séparation physique et organisationnelle des missions, un cloisonnement des bases de données ou applications et une gestion des habilitations strictement limitée au besoin d'en connaître. Pour les industriels de santé, cette exigence nécessite de réaliser un réexamen des schémas d’accès entre équipes cliniques, affaires réglementaires, pharmacovigilance, fonctions support et prestataires, afin d’identifier de possibles fragilités de cloisonnement jusqu’alors peu visibles et de les mettre en conformité.

Une information des personnes assouplie dans ses modalités mais encadrée de nouvelles exigences techniques

Les nouvelles méthodologies de référence consacrent expressément la possibilité de remettre l'information par voie dématérialisée, intégrant ainsi les pratiques du secteur qui avaient déjà largement évolué en ce sens. Si le principe demeure celui d'une information préalable, la CNIL introduit également la possibilité d'une information différée en cas d'urgence validée.

La CNIL précise également les destinataires de cette information et indique, pour les recherches impliquant la personne humaine (RIPH) de catégories 2 et 3, que l'information d'un seul parent est admise.

L’assouplissement des modalités d’information ne doit toutefois pas être compris comme une réduction du niveau de preuve attendu : le responsable de traitement doit rester en mesure de démontrer une information effective, intelligible et sécurisée, ce qui pourrait impliquer des modifications techniques sur les systèmes informatiques utilisés.

Une base légale confirmée

La CNIL confirme de manière très claire les bases légales applicables qui lui semblent le plus appropriées :

• Article 6.1.e du RGPD : lorsque le promoteur s’est vu confié une mission de recherche par un texte (par exemple, un organisme de recherche), la base légale est l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le promoteur.
• Article 6.1.f du RGPD : lorsque le promoteur est un organisme privé (par exemple un laboratoire pharmaceutique, un fabricant de dispositifs médicaux, etc.), la base légale applicable est l’intérêt légitime poursuivi par le promoteur.

S’agissant de l’exception au titre de l’article 9 pour le traitement des données sensibles, la CNIL indique que l’exception la plus appropriée est la recherche scientifique au titre de l’article 9.2.j. du RGPD.

Deux annexes opposables renforçant les exigences opérationnelles

La mise à jour des MR-001 et MR-003 se distingue également par l’introduction de deux annexes communes aux MR-001 et MR-003 : l’une relative à la sécurité, l’autre au contrôle de la qualité. Ces annexes ont une portée pratique immédiate et le respect de leurs dispositions est obligatoire pour être conformes aux MR-001 et MR-003.

L'annexe relative à la sécurité couvre notamment la pseudonymisation au moyen de codes non signifiants, l'envoi dématérialisé des notes d'information et certaines modalités de partage des données pour la relecture ou la publication des résultats. La CNIL souligne que le secteur de la santé a enregistré 547 notifications de violations de données en 2024, contre 16 en 2018, ce qui explique le relèvement du niveau d'exigence attendu. Un calendrier de mise en conformité doit être anticipé : l’authentification multifacteur, très encouragée par la CNIL, pour l’accès aux données de recherche sera exigée dès le 1er janvier 2027 pour les outils accessibles par internet, puis à compter du 1er janvier 2028 pour les autres systèmes utilisés dans le cadre de la recherche.

L'annexe relative au contrôle de la qualité présente également une portée pratique importante. La CNIL y reprend et formalise les exigences applicables à cette activité, devenue plus fréquente à distance, tout en maintenant des limites claires sur l'accès aux documents sources. Pour les recherches en cours à la date d'entrée en vigueur des MR mises à jour, la mise en œuvre d'un contrôle de la qualité à distance ne nécessite pas de demande d'autorisation à condition que le reste de la recherche soit conforme à la méthodologie de référence applicable dans sa version 2026.

Sous-traitance et transferts

Les nouvelles versions des MR-001 et MR-003 renforcent enfin les exigences applicables aux sous-traitants, qu'ils soient directs ou ultérieurs. La CNIL exige qu'ils présentent des garanties suffisantes, prévoit l'application de l'annexe relative à la sécurité, impose des audits préalables, y compris des centres investigateurs, tout en acceptant que ces audits puissent s'appuyer sur des audits antérieurs ; elle précise aussi que l'adhésion à un code de conduite pourra faciliter la démonstration des garanties attendues. Le sous-traitant direct doit en outre tenir à jour les informations relatives aux sous-traitants ultérieurs.

En matière de transferts hors de l'Union européenne, les textes maintiennent les principes de nécessité et de minimisation et admettent le transfert des données administratives dans les cas prévus, notamment en présence d'une décision d'adéquation ou, pour les recherches menées à l'étranger, dans une logique de renvoi vers le pays d'origine, sous réserve du respect du chapitre V du Règlement général sur la protection des données (RGPD). Là encore, les acteurs de la recherche devront s'assurer de la cohérence entre leurs flux réels de données, leurs clauses contractuelles et leur documentation de conformité.

Entrée en application des MR-001 et MR-003 mises à jour

Les MR mises à jour sont applicables depuis le 24 mai 2026. La CNIL indique que les déclarations de conformité effectuées sous l’empire des versions antérieures demeurent valables, quand bien même des modifications substantielles seraient effectuées pour se conformer au contenu des MR mises à jour. Il n’est donc pas nécessaire dans ces hypothèses de réaliser une nouvelle déclaration de conformité auprès de la CNIL.

L’absence de nouvelle déclaration de conformité n’exonère pas d’un réexamen substantiel de la documentation de conformité (mention d’information, analyse d’impact, registre des traitements, etc.) lorsque l’organisation ou les mesures de sécurité ne satisfont pas au niveau d’exigence désormais attendu.

Prochaines étapes

À la lumière de ces évolutions, les acteurs de la recherche en santé doivent sans délai engager une revue de leurs dispositifs de conformité afin d’identifier les éventuels écarts avec les nouvelles exigences des MR-001 et MR-003. Cette démarche doit notamment porter sur la gestion des habilitations, les relations avec les sous-traitants, les flux de données internationaux ainsi que les mesures de sécurité, en particulier en vue des échéances relatives à l’authentification multifacteur. Les versions annotées des méthodologies publiées par la CNIL, disponibles en français et en anglais, constituent à cet égard un outil précieux pour accompagner cette mise en conformité : enrichies d’exemples pratiques, de points de vigilance et d’éclairages opérationnels, elles permettent aux organisations de mieux appréhender la portée concrète des nouvelles obligations et de prioriser les actions à mettre en œuvre. Les checklists mises à disposition par la CNIL avec les nouvelles exigences des MR-001 et MR-003 sont également très utiles pour documenter la conformité du traitement.

Notre équipe se tient à votre disposition pour vous aider à identifier les éléments mis à jour, leur implication sur vos traitements et les étapes nécessaires pour se mettre en conformité.

 

Rédigé par Joséphine Pour, Julie Schwartz, et Gauthier Zimmer.