MR-001 et MR-003 : la CNIL muscle son cadre pour la recherche en santé et impose le MFA en 2027
Le 26 mai 2026, la CNIL publie une refonte majeure des deux référentiels qui encadrent les recherches en santé en France. Les méthodologies de référence MR-001 et MR-003 sortent du strict formalisme déclaratif et imposent désormais une posture de sécurité opérationnelle — avec, en point d'orgue, l'authentification multifacteur obligatoire pour tous les systèmes de recherche au 1er janvier 2027.
Ce qui s'est passé
La CNIL a actualisé les deux référentiels qui régissent la quasi-totalité des recherches impliquant des données de santé en France : la MR-001 (recherches avec consentement) et la MR-003 (recherches sans consentement requis). Cette refonte, conduite après une concertation publique annoncée dans son programme de travail 2025, étend leur champ d'application à de nouvelles réalités du secteur : études internationales, dématérialisation de l'information aux participants, contrôle qualité à distance, accès aux données d'identification.
Les MR-001 et MR-003 sont désormais accompagnées de deux annexes structurantes : une annexe « sécurité » qui consolide l'ensemble des mesures techniques et organisationnelles attendues, et une annexe « contrôle qualité » qui clarifie les obligations de vérification de l'exhaustivité et de l'exactitude des données. La CNIL met également à disposition un questionnaire interactif pour aider les acteurs à identifier les démarches adéquates, ainsi que des grilles de conformité (check-lists) pour chaque MR. Les documents existent en français et en anglais pour répondre aux besoins des essais multicentriques internationaux.
Côté chiffres, la CNIL rappelle qu'elle a traité 539 demandes d'autorisation en santé en 2025, dont 406 dans le domaine de la recherche. Ce volume justifie à lui seul la rationalisation du cadre.
Pourquoi c'est important
La mise à jour intervient dans un contexte où les données sensibles au sens du RGPD — et tout particulièrement les données de santé — sont devenues une cible privilégiée des attaquants. Le constat de la CNIL est sans appel : 547 notifications de violations dans le secteur de la santé en 2024, contre seulement 16 en 2018. La multiplication par 34 en six ans rend obsolète l'approche déclarative qui prévalait jusqu'ici.
Cette refonte s'inscrit aussi dans le mouvement européen plus large de durcissement du cadre applicable à la recherche scientifique. L'EDPB a publié en mai 2026 ses lignes directrices sur la recherche scientifique et le RGPD, posant six critères de qualification, validant le consentement large et reconnaissant la certification Europrivacy. Les MR françaises s'articulent désormais explicitement avec ces lignes directrices européennes, dont elles citent les références.
Pour les responsables de traitement, l'enjeu opérationnel est triple : les structures qui produisent des recherches en santé doivent revoir leur stratégie RGPD santé en intégrant les nouvelles exigences ; les sous-traitants (CRO, plateformes SaaS, hébergeurs HDS) doivent aligner leurs engagements contractuels ; les DPO doivent mettre à jour leurs registres et la documentation des traitements concernés.
Ce que ça change pour les organisations
Pour les recherches initiées à compter du 23 mai 2026 et placées sous le régime de la déclaration de conformité, l'ensemble des mesures de l'annexe sécurité s'applique immédiatement. Pour les recherches en cours à cette date, la CNIL accorde un délai d'un an — soit jusqu'en mai 2027 — pour bâtir et exécuter un plan d'action de mise en conformité.
Trois exigences techniques structurantes méritent une attention immédiate. D'abord, l'authentification multifacteur : à compter du 1er janvier 2027, tout accès aux systèmes d'information, services et outils utilisés dans le cadre d'une recherche en santé devra être protégé par MFA. C'est une exigence dont la portée dépasse largement les seuls outils statistiques : intranet, espaces collaboratifs, plateformes e-CRF, outils de monitoring à distance sont tous concernés. La décision néerlandaise sur Bevolkingsonderzoek, où l'autorité a sanctionné l'absence de MFA avant même l'incident ransomware, donne déjà la mesure des attentes du régulateur sur ce point.
Ensuite, la pseudonymisation par code non signifiant : la CNIL formalise les modalités attendues de génération et d'utilisation du code participant, condition technique pour pouvoir s'inscrire dans le régime allégé de la MR. Les organisations qui utilisent encore des codes dérivés d'identifiants directs (nom + date de naissance hashés, par exemple) devront migrer vers des générateurs aléatoires gérés de manière séparée.
Enfin, l'information dématérialisée des participants : la CNIL encadre désormais explicitement les modalités d'information par voie électronique, ce qui valide les pratiques de e-consent largement déployées depuis 2020 — mais en impose un standard de preuve plus exigeant. Les outils utilisés doivent permettre de tracer ce que la personne a effectivement vu et accepté, à quelle date, et dans quelle version du document.
Pour les structures qui dépendent d'un éditeur ou d'un prestataire technique, la question est désormais celle du choix d'un logiciel RGPD adapté aux données de santé, capable d'embarquer nativement ces exigences sans bricolage.
Ce que Leto pense de cette décision
La refonte des MR-001 et MR-003 acte un changement de doctrine que l'on voit s'installer chez tous les régulateurs européens : on ne se contente plus de cocher des cases dans un référentiel, on attend une posture de sécurité démontrable. Pour les DPO, ce n'est pas une bonne ou une mauvaise nouvelle — c'est un signal net qu'il faut revoir, dès le second semestre 2026, le plan d'action sécurité de toute organisation engagée dans la recherche en santé. Attendre janvier 2027 pour déployer le MFA, c'est s'exposer à la fois à un risque opérationnel et à un risque réglementaire.
Sources :
CNIL — Recherche en santé : la CNIL met à jour et élargit le champ des méthodologies de référence 001 et 003 (26 mai 2026)
