Recherche en santé : la CNIL met à jour et élargit le champ des méthodologies de référence 001 et 003

Les MR-001 et MR-003 évoluent : études à l’étranger, information dématérialisée, contrôle qualité à distance, accès aux données d’identification, etc. La CNIL accompagne les acteurs et simplifie les démarches, tout en renforçant la protection des données personnelles.

Ces dernières années, le secteur de la recherche en santé a connu des évolutions majeures : dématérialisation et décentralisation croissante des recherches, aspects sociaux et environnementaux au cœur des nouvelles méthodes, renforcement des exigences de test sur les produits de santé avant leur mise sur le marché, etc.

Pour répondre aux besoins exprimés par les acteurs de ce secteur dans le cadre de la concertation qu’elle a menée et afin de tenir compte des risques en matière de protection des données personnelles, la CNIL met à jour les méthodologies de référence MR-001 et MR-003 , conformément à son programme de travail présenté en mai 2025. Ces MR sont complétées par une annexe relative aux mesures de sécurité des recherches en santé et une autre relative au contrôle qualité.

Ces nouvelles MR sont disponibles en français et en anglais.

La CNIL met également à disposition des acteurs un questionnaire interactif afin de les aider à identifier les démarches adéquates.

Rappel

Les traitements de données de santé dans le cadre de recherche sont soumis à un régime de formalités préalables. Ces formalités correspondent, par principe, à une déclaration de conformité au référentiel applicable et, par exception, à une demande d’autorisation. Ainsi, en 2025, la CNIL a traité 539 demandes d’autorisations en santé, dont 406 dans le domaine de la recherche.

À qui s’adressent les MR-001, les MR-003 et les documents associés ?

Ces MR et leurs deux annexes sont destinées à l’ensemble des acteurs publics ou privés qui souhaitent mettre en œuvre une recherche impliquant la personne humaine, un essai clinique de médicament, une investigation clinique sur un dispositif médical ou une étude des performances d’un dispositif médical de diagnostic in vitro concernant des personnes résidant en France et/ou à l’étranger.

Ces documents sont destinés au délégué à la protection des données (DPO), au responsable de la sécurité des systèmes d’information (RSSI), aux chefs de projet ainsi qu’à toute personne qui intervient dans une recherche.

Sont également disponibles :

les MR-001 et MR-003 annotées contenant des exemples, des renvois vers les ressources utiles (lignes directrices du CEPD, site web de la CNIL, règlementations sectorielles applicables, etc.) et des recommandations de bonnes pratiques ;
des grilles de conformité (liste de vérification) à la MR-001 et 003 afin d’aider les équipes chargées de la mise en œuvre d’une recherche.

Quelles sont les principales modifications apportées aux MR-001 et 003 en 2026 ?

Les MR-001 et MR-003 ont fait peau neuve : leur structure a été actualisée et des modifications de fond et de forme ont été réalisées. Le tableau récapitulatif des modifications réalisées sur les MR-001 et MR-003 adoptées en 2018 peut être téléchargé ci-dessous.

Les modifications de forme visent à présenter de manière plus claire et intelligible les conditions à respecter.

Les modifications de fond viennent apporter des précisions ou compléter les MR adoptées en 2018. En particulier, les parties suivantes sont concernées :

champ d’application ;
catégories de données personnelles ;
destinataires ;
information ;
sécurité ;
transferts en dehors de l’Union européenne ;
sous-traitant.

Pourquoi ces référentiels sont-ils complétés par des annexes ?

Les MR-001 et MR-003 répondent à deux impératifs communs :

garantir la sécurité des données collectées et traitées par la mise en place de mesures techniques et organisationnelles adaptées ;
vérifier l’exhaustivité et l’exactitude des données collectées par la réalisation d’un contrôle qualité.

Il est donc pertinent de rationaliser les exigences au sein de documents uniques : les annexes « sécurité » et « contrôle qualité ».

L’annexe « sécurité » en quelques mots

Cette annexe constitue un ensemble de mesures de sécurité composé :

de mesures générales correspondant aux précautions élémentaires décrites dans le guide de sécurité de la CNIL. Ces précautions ont été ajustées et enrichies, compte tenu de la sensibilité des données traitées dans le cadre de recherche en santé ;
de mesures spécifiques applicables à la génération et aux modalités d’utilisation d’un code non signifiant pour l’identification des participants à la recherche, l’information par voie dématérialisée ainsi que le partage des données pour la revue et la publication des résultats.

Ces mesures tiennent compte de l’état de l’art en matière de sécurité des systèmes d’information et visent à limiter les risques de violation de données dans un secteur particulièrement concerné (547 notifications dans le secteur de la santé en 2024 contre 16 en 2018).

L’ensemble des mesures décrites dans cette annexe devront être mises en œuvre pour les recherches initiées à compter du 23 mai 2026, dès lors que le responsable souhaite s’inscrire dans le cadre d’une déclaration de conformité. Pour les recherches en cours à cette date, les responsables de traitement sont invités à définir un plan d’actions visant la mise en œuvre de ces mesures dès que possible et au plus tard dans un délai d’un an (mai 2027).

Attention

L’authentification multifacteur pour l’accès aux systèmes d’information, services et outils utilisés dans le cadre de la recherche sera requise à compter du 1er janvier 2027 pour ceux accessibles via le web et à compter du 1er janvier 2028 pour les autres.

L’annexe « contrôle qualité » en quelques mots

Le contrôle qualité (ou monitoring) consiste à vérifier l’exhaustivité et l’exactitude des données d’une recherche en santé, par comparaison entre les données de la recherche et celles issues de documents « sources » (par exemple le dossier médical). Initialement réalisé sur site, il est de plus en plus fréquemment réalisé à distance.

L’annexe contrôle qualité constitue une reprise des recommandations de la CNIL. Ce document est composé :

des exigences générales applicables à tout contrôle qualité quelle que soit sa modalité de réalisation (sur site ou à distance) ainsi que des exigences spécifiques concernant le contrôle qualité à distance ;
des recommandations de bonnes pratiques pour guider les acteurs ;
d’une grille de conformité (liste de vérification) pour accompagner les acteurs.

Les exigences décrites dans cette annexe devront être mises en œuvre pour les recherches initiées à compter du 23 mai 2026, en fonction du type de contrôle qualité réalisé. Pour les recherches en cours à cette date, la mise en œuvre d’un contrôle qualité à distance ne nécessitera pas de réaliser une demande d’autorisation auprès de la CNIL dès lors que le reste de la recherche est conforme aux dispositions de la MR applicable dans sa version 2026.

Comment déterminer les formalités à réaliser en fonction de votre situation ?

La formalité à réaliser dépend de deux éléments :

si la recherche a commencé ou non ;
si le traitement de données personnelles associé à la recherche est conforme à la MR applicable.

À savoir :

Les acteurs qui ont réalisé une déclaration de conformité à une précédente version de la MR applicable ne sont pas tenus de réaliser une nouvelle déclaration de conformité à la version de 2026. Les recherches ou les modifications substantielles d’une recherche en cours qui sont mises en œuvre à compter du 23 mai 2026 et conformes à la nouvelle MR peuvent être lancées sans nouvelle déclaration.

Les responsables de traitement sont toutefois tenus de mettre à jour leur documentation interne (registre des traitements, AIPD) et de procéder aux formalités requises auprès du comité d’éthique et/ou de l’autorité sanitaire compétents.