CNIL : refonte des MR-001 et MR-003
La CNIL a animé un webinaire mardi 2 juin 2026 pour présenter les nouvelles versions des méthodologies de référence MR-001 et MR-003, publiées au Journal officiel le 23 mai 2026 et applicables depuis le 24 mai 2026.
Vous n’avez pas vu passer l’information, ou vous n’avez pas réussi à vous inscrire à temps ?
On vous propose un résumé complet de cette évolution dans le secteur de la recherche en santé !
Objectifs de la CNIL dans le cadre de la refonte :
Cette refonte répond à un double objectif. Tout d’abord, adapter le cadre des recherches en santé aux pratiques actuelles, mais aussi clarifier des points qui, dans les versions précédentes, suscitaient des difficultés d’interprétation ou de mise en œuvre.
La CNIL a indiqué avoir poursuivi cinq lignes directrices dans cette réforme :
1 – Recentrage sur les seules exigences « informatique et libertés »,
2 – Clarification des notions,
3 – Simplification rédactionnelle,
4 & 5 – Harmonisation et mutualisation des règles communes à travers la création des annexes « sécurité » (délib. 2026-049) et « contrôle qualité » (délib. 2026-052).
Quelles nouveautés ?
- Élargissement du périmètre : les nouvelles versions couvrent désormais explicitement les différentes catégories de recherches (essais cliniques de médicaments, études de performance, etc) ou encore les recherches menées à l’étranger par un responsable de traitement établi en France ou dans l’Union européenne, ainsi que certaines situations de responsabilité conjointe.
- 4 missions peuvent être menées dans le cadre d’une recherche : la mission d’information, la mission de suivi des participants, les missions administratives (gestion des déplacements, des remboursements, etc) et la mission de contrôle qualité. Cette logique par mission remplace une approche auparavant plus figée, fondée sur des catégories d’acteurs parfois insuffisamment définies.
- Architecture plus lisible des données traitées, désormais réparties en trois grandes catégories : données administratives, identifiants et données de la recherche. Cette distinction emporte des conséquences sur la gestion des accès. Le principe posé est qu’un même destinataire ne doit pas, sauf exceptions prévues, accéder à la fois aux données administratives et aux données de la recherche ; il ne doit pas non plus accéder simultanément aux données administratives et au numéro d’inclusion. Cela conduit à un recours renforcé à des codes non signifiants, distincts selon les missions. Les MR clarifient aussi les possibilités de cumul d’activités pour certains acteurs, sous réserve d’un cloisonnement organisationnel et technique effectif.
- Encadrement renforcé de la sous-traitance, en particulier la chaîne de sous-traitance ultérieure, avec un accent mis sur les audits préalables, la formalisation contractuelle et l’application directe des exigences de sécurité aux sous-traitants.
- Transferts hors Union européenne : outre les cas déjà admis, les nouvelles MR permettent désormais, dans un cadre défini, le transfert de certaines données administratives, sous réserve du respect des outils de transfert prévus par le RGPD et des principes de nécessité et de minimisation. Les transferts vers le pays d’origine du participant à la recherche sont également envisagés.
- Modalités de l’information : l’information des personnes peut désormais, sous conditions, être remise de manière dématérialisée ; un différé d’information est envisagé en cas d’urgence vitale lorsque le protocole le prévoit ; et certaines règles sont assouplies, notamment pour l’information des titulaires de l’autorité parentale dans des situations délimitées.
- Création de deux annexes transversales.
- L’annexe « sécurité » fixe un socle commun de mesures techniques et organisationnelles incluant l’authentification multifacteurs (MFA) selon un calendrier progressif, et s’applique à l’ensemble des recherches entrant dans son champ. Elle envisage aussi les mesures de sécurité à mettre en place pour l’information dématérialisée et la mise en place des codes non signifiants. Ces mesures constituent l’état de l’art aujourd’hui des mesures de sécurité minimales.
- L’annexe « contrôle qualité » encadre de façon explicite le contrôle qualité sur site et à distance, tout en excluant certaines pratiques telles que l’accès direct non encadré au dossier médical.
Quelques précisions utiles :
– Si vous avez déjà déclaré votre conformité à une MR, pas besoin de le faire à nouveau ;
– Tout promoteur hors UE et hors France doit bien respecter ces MR pour ce qui concerne les participants résidant en France ;
– En complément de ces nouvelles MR et de ses annexes, la CNIL met à disposition sur son site internet des versions annotées des MR, des grilles de conformité et publiera prochainement des fiches pratiques et un formulaire interactif destiné à guider les acteurs dans leurs formalités.
Enfin, le calendrier :
Les MR sont applicables depuis le 24 mai dernier.
Plusieurs situations doivent toutefois être distinguées :
- Recherches non commencées : les nouvelles MR et les annexes « sécurité » et « contrôle qualité » s’appliquent pleinement. Cela vise les recherches encore en conception, en cours d’instruction, ou déjà autorisées sur le plan réglementaire mais pour lesquelles le traitement de données des participants n’a pas encore débuté.
- Recherches déjà commencées sans modification substantielle : il n’y a pas de nouvelle formalité à accomplir du seul fait de l’entrée en vigueur des nouvelle MR. Les déclarations de conformité antérieures restent valables. En revanche, la CNIL invite à prendre connaissance des annexes « sécurité » et « contrôle qualité » afin d’identifier et corriger progressivement les écarts éventuels car elles reflètent désormais l’état de l’art.
- Recherches déjà commencées avec modification substantielle : il faut raisonner au cas par cas. Si la modification envisagée est conforme aux nouvelles MR et que le reste de la recherche l’est également, le traitement peut en principe continuer à relever du cadre MR. En revanche, si la recherche ou la modification sort du périmètre des nouvelles MR, une demande d’autorisation peut être nécessaire.
Point de vigilance important : le fait qu’une recherche ait « commencé » ne s’apprécie pas uniquement au regard de son avancement réglementaire ou logistique. Dans le webinaire, la CNIL semble raisonner surtout au regard du traitement de données à caractère personnel concernant les participants. Ainsi, l’ouverture d’un centre, à elle seule, ne signifie pas nécessairement que la recherche a commencé au sens de ces nouvelles MR.
En pratique :
Pour les projets en cours, l’enjeu n’est donc pas de refaire systématiquement toutes les démarches mais d’identifier si le projet est déjà en cours, s’il évolue de manière substantielle et s’il reste ou non conforme au nouveau cadre.
Sous réserve, bien entendu, des précisions qui seront apportées par le formulaire interactif annoncé par la CNIL, lequel doit justement aider les acteurs à déterminer les formalités applicables selon leur situation.
Source CNIL: https://www.cnil.fr/fr/evenement/webinaire-mise-jour-des-mr-001-et-mr-003-ce-qui-change-en-2026
Des questions sur votre situation ? Les consultants Phénix Privacy sont là pour vous aider à y voir plus clair ✨
