MR-001 et MR-003 : la CNIL refond les référentiels de la recherche en santé et impose la MFA

Huit ans après leur dernière refonte, les méthodologies de référence MR-001 et MR-003 viennent de changer de visage. Le 26 mai 2026, la CNIL a publié des versions élargies, accompagnées de deux annexes inédites sur la sécurité et le contrôle qualité. Pour les DPO du secteur santé, c'est un tournant : la conformité devient plus structurée, mais aussi plus exigeante, avec un calendrier serré qui démarre dès maintenant.

Ce qui s'est passé

Adoptées par quatre délibérations du 19 mars 2026 (n° 2026-049 à 2026-052), les nouvelles versions des MR-001 (recherches avec recueil du consentement) et MR-003 (sans recueil du consentement) sont entrées en vigueur le 23 mai 2026. La CNIL répond à une concertation menée en 2025 auprès des acteurs de la recherche en santé, en élargissant le champ d'application des référentiels à des situations devenues courantes : études internationales, dématérialisation de l'information aux participants, contrôle qualité réalisé à distance, accès aux données d'identification.

Les modifications de fond touchent sept volets : champ d'application, catégories de données personnelles, destinataires, information des personnes, sécurité, transferts hors Union européenne et sous-traitance. Surtout, deux annexes transversales viennent rationaliser les exigences communes aux deux MR : une annexe « sécurité » et une annexe « contrôle qualité ». La CNIL met également à disposition des versions annotées des MR, des grilles de conformité et, prochainement, un formulaire interactif pour aider les responsables de traitement à déterminer les formalités qui leur incombent.

Pourquoi c'est important

Le contexte chiffré justifie à lui seul ce durcissement. La CNIL a traité 539 demandes d'autorisations en santé en 2025, dont 406 dans le seul domaine de la recherche. Et le nombre de notifications de violations dans le secteur santé est passé de 16 en 2018 à 547 en 2024 — soit une multiplication par 34 en six ans. La récente fuite de données dans plusieurs hôpitaux allemands via un prestataire de facturation rappelle combien la chaîne d'approvisionnement reste un maillon faible. Ce n'est plus une hypothèse, c'est un schéma d'attaque récurrent.

Les nouvelles MR s'inscrivent par ailleurs dans le sillage des lignes directrices de l'EDPB sur la recherche scientifique publiées plus tôt cette année. Le Comité européen définit six critères pour qualifier une activité de recherche au sens du RGPD et valide le « consentement large » comme base juridique. La CNIL aligne désormais son cadre national sur cette doctrine, avec un référentiel utilisable par tout acteur public ou privé conduisant des recherches impliquant la personne humaine, des essais cliniques ou des investigations sur dispositifs médicaux — y compris pour des participants résidant hors de France.

Ce que ça change pour les organisations

Le calendrier est précis et il ne laisse pas de marge. Les recherches initiées à compter du 23 mai 2026 doivent intégrer immédiatement les nouvelles exigences si le responsable de traitement souhaite s'inscrire dans une déclaration de conformité. Pour les recherches en cours à cette date, un plan d'action doit être défini et exécuté au plus tard en mai 2027.

Deux dates supplémentaires structurent la mise en conformité technique. L'authentification multifacteur deviendra obligatoire pour les accès web aux systèmes d'information utilisés dans la recherche au 1er janvier 2027, et pour les autres accès au 1er janvier 2028. C'est une exigence dont la portée dépasse largement la recherche en santé : elle marque l'alignement de la CNIL sur l'état de l'art en matière de sécurité, déjà attendu dans d'autres secteurs réglementés. Les DPO ont tout intérêt à cartographier dès maintenant leurs traitements de données de santé pour prioriser ces déploiements.

Concrètement, voici les actions à programmer :

• Réviser la documentation interne (registre des traitements, AIPD) pour les recherches concernées — un AIPD actualisée selon la méthodologie en 5 étapes est un préalable, surtout pour les nouveaux usages comme le contrôle qualité à distance.
• Auditer les sous-traitants et les transferts hors UE, deux volets renforcés par les nouvelles MR.
• Déployer l'authentification multifacteur sur les outils de recherche, en priorisant les accès web (échéance janvier 2027).
• Vérifier la posture sécurité contre l'annexe dédiée — gestion du code non signifiant pour l'identification des participants, modalités d'information dématérialisée, partage des données pour publication.
• Procéder aux formalités auprès du comité d'éthique et de l'autorité sanitaire compétente, même quand aucune nouvelle déclaration de conformité CNIL n'est requise.

Bonne nouvelle pour les acteurs déjà déclarés : ceux qui ont fait une déclaration de conformité à une version antérieure ne sont pas tenus d'en refaire une pour la version 2026. Mais la mise à jour documentaire interne reste obligatoire. La logique générale d'un programme de conformité RGPD adapté au secteur santé reste donc la bonne grille de lecture.

Ce que Leto pense de cette décision

L'évolution est juste — et attendue. En refondant les MR sans imposer une nouvelle déclaration à chaque acteur, la CNIL choisit la pédagogie sur la rupture. Mais ne nous y trompons pas : l'annexe « sécurité » et l'obligation de MFA marquent une bascule. Les autorités européennes, comme l'a montré la sanction néerlandaise contre Bevolkingsonderzoek, regardent désormais la posture de sécurité préexistante autant que la réponse à incident. Les DPO santé qui prendront le sujet à la légère découvriront, à la première violation, que les délais transitoires de mai 2027 et janvier 2027 n'étaient pas des suggestions.

Sources : CNIL — Recherche en santé : mise à jour des MR-001 et MR-003 · Délibération n° 2026-049 du 19 mars 2026 · Annexe sécurité (PDF CNIL) · Annexe contrôle qualité (PDF CNIL)