Recherche en santé : la CNIL met à jour deux méthodologies de référence et renforce son accompagnement des acteurs de la recherche

Publication de la CNIL du 26 mai 2026

Les méthodologies de référence (« MR ») constituent l’un des principaux outils de conformité pour les traitements de données personnelles mis en œuvre dans le cadre des recherches en santé. Les organismes qui respectent l’ensemble des conditions prévues par ces référentiels peuvent se limiter à une déclaration de conformité auprès de la CNIL plutôt qu’engager une procédure d’autorisation plus lourde.

La CNIL vient d’adopter une refonte importante des MR-001 (recherche avec recueil du consentement du participant à la recherche) et MR-003 (recherche sans recueil du consentement), qui n’avaient pas connu de révision d’ampleur depuis 2018. Au-delà d’une réorganisation rédactionnelle destinée à améliorer leur lisibilité, cette mise à jour introduit plusieurs évolutions substantielles destinées à tenir compte des transformations récentes de la recherche clinique et des pratiques numériques. L’autorité accompagne par ailleurs cette réforme d’un ensemble d’outils pratiques destinés à faciliter la mise en conformité des acteurs du secteur.

Adaptation des méthodologies aux nouvelles pratiques de recherche

La première évolution notable concerne le champ d’application des référentiels. En particulier, la nouvelle MR001 couvre désormais explicitement les investigations cliniques sur les dispositifs médicaux ainsi que les études de performances relatives aux dispositifs médicaux de diagnostic in vitro. Elles prennent également en compte les recherches menées partiellement ou exclusivement à l’étranger par des responsables de traitement établis en France.

Les conditions de licéité sont précisées : la base légale appropriée est la mission d’intérêt public pour les promoteurs investis d’une mission de recherche par un texte (CHU, organismes de recherche) et l’intérêt légitime pour les promoteurs privés.

Les règles relatives aux catégories de données traitées ont également été enrichies. Les MR prévoient désormais la possibilité de traiter certaines informations supplémentaires lorsque celles-ci sont nécessaires à la recherche, telles que l’orientation sexuelle, l’origine géographique ou encore certaines données relatives aux revenus du foyer. Elles encadrent également la recherche du statut vital des participants par consultation du fichier des personnes décédées de l’INSEE, notamment dans les recherches de suivi à long terme.

La CNIL a également clarifié les règles applicables aux destinataires des données. Les nouvelles versions distinguent plus précisément les différents acteurs intervenant dans une recherche et les données auxquelles ils peuvent accéder selon leurs missions. Des dispositions spécifiques sont ainsi introduites pour les activités de suivi, d’information des participants, les missions administratives ou encore le contrôle qualité. Dans certains cas limitativement prévus, un même acteur pourra cumuler plusieurs de ces fonctions.

Les modalités d’information des personnes concernées évoluent elles aussi afin de tenir compte de la dématérialisation croissante des recherches. Les MR autorisent désormais expressément la fourniture de l’information RGPD par voie électronique. Elles prévoient également plusieurs assouplissements pratiques, notamment la possibilité d’une information différée en cas d’inclusion dans un contexte d’urgence ou encore certaines dérogations concernant l’information des titulaires de l’autorité parentale.

Autre évolution significative : l’encadrement des transferts internationaux est assoupli sur certains points. Les données administratives des participants pourront désormais être transférées hors de l’Union européenne dans des situations précisément définies, notamment vers un pays bénéficiant d’une décision d’adéquation ou lorsqu’une recherche est conduite dans un pays tiers par un responsable de traitement établi en France.

Enfin, la CNIL renforce les exigences relatives à la sous-traitance. Les nouvelles MR intègrent notamment une référence aux codes de conduite comme mécanisme de démonstration de conformité, imposent la réalisation d’audits des sous-traitants et précisent les obligations documentaires applicables aux chaînes de sous-traitance.

Deux nouvelles annexes consacrées à la sécurité et au contrôle qualité

L’une des principales nouveautés de cette réforme réside dans la création de deux annexes transversales, auxquelles renvoient désormais directement les MR-001 et MR-003.

La première est consacrée à la sécurité. L’objectif est de regrouper au sein d’un document unique, en tenant compte de l’état de l’art, les mesures de sécurité considérées par la CNIL comme les plus pertinentes pour les recherches en santé.

Cette annexe comprend trente exigences générales couvrant notamment l’analyse des risques, la minimisation des données, le chiffrement, la gestion des accès, la journalisation, la documentation ou encore la sensibilisation des utilisateurs. Parmi les mesures les plus structurantes figure l’obligation de recourir à l’authentification multifacteur pour l’accès aux données de recherche, avec une obligation d’authentification multifacteur applicable au 1?? janvier 2027 pour les outils accessibles via le web et au 1?? janvier 2028 pour les autres.

L’annexe introduit également des règles spécifiques pour trois situations courantes dans les recherches modernes : l’information dématérialisée des participants, la publication et la réanalyse des résultats de recherche, ainsi que l’utilisation de codes non signifiants permettant d’identifier les participants sans recourir directement à leurs données d’identité.

La seconde annexe porte sur le contrôle qualité (« monitoring »), c’est-à-dire les opérations destinées à vérifier l’exhaustivité et l’exactitude des données collectées en les comparant aux documents sources, comme le dossier médical du participant.

L’intérêt principal du document est d’intégrer les pratiques de contrôle qualité à distance qui se sont largement développées depuis la crise sanitaire. L’annexe reprend ainsi des recommandations existantes de la CNIL, en fixant des exigences communes applicables aux contrôles réalisés sur site ou à distance (minimisation des données, habilitations, information des personnes, mesures de sécurité) ainsi que des garanties complémentaires spécifiques aux dispositifs de contrôle à distance, qu’ils reposent sur des outils de visioconférence ou sur des plateformes sécurisées dédiées.

Nouveaux outils pratiques pour faciliter la mise en conformité

Au-delà de la mise à jour des référentiels eux-mêmes, la CNIL a manifestement cherché à améliorer leur appropriation par les professionnels.

L’autorité met ainsi à disposition des versions annotées des MR-001 et MR-003 intégrant des exemples pratiques, des points de vigilance, des renvois vers les lignes directrices du CEPD ou vers les réglementations sectorielles applicables. Ces documents ont pour objectif de faciliter la compréhension de la portée concrète des exigences et de répondre à de nombreuses questions opérationnelles susceptibles de se poser lors de la mise en œuvre d’une recherche.

La CNIL publie également des grilles de conformité fonctionnant comme des check-lists. Ces outils ont vocation à aider les équipes projet, les DPO et les promoteurs à vérifier de manière structurée le respect de l’ensemble des conditions prévues par les référentiels.

Enfin, l’autorité annonce un questionnaire interactif permettant d’identifier les formalités applicables selon la nature de la recherche envisagée et le référentiel susceptible de s’appliquer.

* * *

Les nouvelles MR et leurs annexes sont entrées en vigueur le 23 mai 2026. Les responsables de traitement ayant déjà déclaré leur conformité à une version antérieure n’ont pas à renouveler cette démarche, sous réserve que les recherches lancées – ou substantiellement modifiées – à compter de cette date respectent la nouvelle version. Pour les recherches en cours, les mesures de l’annexe sécurité doivent être déployées dès que possible et au plus tard en mai 2027, l’authentification multifacteur obéissant à un calendrier propre (1?? janvier 2027 pour les outils accessibles via le web, 1?? janvier 2028 pour les autres). Dans tous les cas, la documentation interne (registre des traitements, AIPD) doit être mise à jour et les formalités requises accomplies auprès du comité d’éthique et de l’autorité sanitaire compétents.