Données de santé : la CNIL révise ses méthodologies de référence MR-001 et MR-003

22/6/26
👈 les autres actualités

Le 26 mai 2026, la CNIL a publié des versions actualisées de ses méthodologies de référence MR-001 et MR-003, les deux cadres qui structurent l'essentiel des traitements de données de santé dans la recherche en France. Derrière une mise à jour d'apparence technique se cache un changement de fond pour les promoteurs d'essais cliniques, les CRO et leurs DPO : redéfinition du statut des sites de recherche, clarification des bases juridiques, encadrement renforcé de la transparence et des transferts hors UE.

Ce qui s'est passé

En droit français, sauf exception, une organisation qui traite des données de santé doit soit se conformer à une méthodologie de référence de la CNIL, soit obtenir une autorisation préalable. Les MR-001 (recherches impliquant la personne humaine avec recueil du consentement) et MR-003 (recherches sans consentement de la personne concernée) sont les standards les plus utilisés pour fluidifier cette mise en conformité : en s'engageant à respecter leur cadre, les acteurs de la recherche déposent un simple engagement de conformité plutôt qu'une demande d'autorisation.

Les nouvelles versions, entrées en vigueur dès le lendemain de leur publication au Journal officiel, introduisent plusieurs ajustements ciblés. La CNIL revoit le statut des sites de recherche dans la chaîne de responsabilité, précise l'articulation des bases juridiques RGPD applicables, clarifie les cas de responsabilité conjointe et durcit les obligations d'information des participants. Sur les transferts internationaux, les méthodologies s'alignent sur le chapitre V du RGPD, avec une exigence notable : informer les personnes des pays de destination de leurs données — ce qui suppose, en pratique, de fournir une liste des juridictions destinataires, un exercice complexe quand les destinataires évoluent au fil de l'essai.

Pourquoi c'est important

Les données de santé relèvent des catégories particulières de données protégées par l'article 9 du RGPD, dont le traitement est par principe interdit sauf exception. Toute imprécision sur la base juridique mobilisée ou sur la répartition des rôles entre acteurs expose directement le responsable de traitement. Or la recherche clinique multiplie les intervenants — promoteur, établissements de santé, prestataires techniques — et la question de la responsabilité conjointe au sens de l'article 26 y est rarement tranchée proprement.

Cette mise à jour s'inscrit dans un mouvement européen plus large de clarification du régime applicable à la recherche. L'EDPB a lui-même publié ses très attendues lignes directrices sur le traitement des données à des fins de recherche scientifique, en consultation jusqu'à fin juin 2026. Entre standards nationaux et orientations européennes, les organisations doivent composer avec un cadre qui se précise vite — et qui ne pardonne plus l'à-peu-près, comme l'a rappelé la récente fuite de données d'essais cliniques chez Novo Nordisk.

Ce que ça change pour les organisations

Concrètement, les promoteurs et leurs sous-traitants ont plusieurs chantiers à ouvrir sans attendre. D'abord, réexaminer la base légale RGPD de chaque traitement à la lumière des clarifications apportées, et vérifier que l'engagement de conformité déposé renvoie bien à la version actualisée de la MR concernée. Ensuite, cartographier précisément les rôles : qui décide des finalités et des moyens, qui est responsable conjoint, qui est sous-traitant. Cette qualification conditionne les accords à formaliser et les mentions à porter dans le registre.

Il faut aussi revoir les notices d'information remises aux participants, en y intégrant les pays de destination en cas de transfert hors UE, et auditer les flux de données pour identifier les juridictions effectivement concernées. Pour les structures qui manipulent régulièrement de la donnée de santé, ces obligations renforcées plaident pour l'outillage de la conformité via un logiciel RGPD dédié, capable de tracer les bases juridiques, les rôles et les transferts par traitement.

Ce que Leto pense de cette décision

La démarche de la CNIL va dans le bon sens : en précisant le statut des sites de recherche et la cartographie des responsabilités, elle réduit une zone d'incertitude qui pesait sur tout l'écosystème. Le point de vigilance est ailleurs. L'obligation d'informer les participants des pays de destination est juste sur le principe, mais opérationnellement délicate dans des essais multicentriques où les destinataires changent. Notre conseil : ne pas traiter cette mise à jour comme une formalité documentaire, mais comme l'occasion d'auditer en profondeur la gouvernance de vos données de santé — c'est précisément ce que la CNIL contrôlera en cas de manquement.

Sources : Covington Inside Privacy — CNIL Updates Two Standards For Health Research (MR-001 and MR-003)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026