Décryptage de la refonte des méthodologies de référence MR001 et MR003

Parallèlement, les acteurs mettant en œuvre ces méthodologies ont exprimé le besoin de les faire évoluer au regard des difficultés opérationnelles qu’ils ont pu constater depuis 2018. Du 16 mai au 12 juillet 2024, la CNIL a ainsi lancé une consultation publique avec pour « objectif (.) de faire un bilan (.) et de recueillir les besoins d’évolution »[1]. 
141 contributions ont été recueillies, et s’agissant des méthodologies de référence, trois axes de travail ressortent comme « priorité n°1 » :

•      « La possibilité d’apparier les données (avec celles du Système national des données de santé (SNDS) ou d’autres bases) ;
•      L’aménagement des modalités d’information des personnes concernées ;
•      L’extension des destinataires des données administratives d’identification et des données de santé. »

Ressortent également comme « priorité 2 » « l’ajout de nouvelles catégories de données » et comme « priorité 3 », « la mise en place d’éléments de décentralisation et de dématérialisation (suivi des patients à domicile, contrôle qualité à distance (.)) ».

Dans le respect de ces priorités, la CNIL a adopté, par quatre délibérations du 19 mars 2026, publiées au Journal officiel le 23 mai 2026, les nouvelles versions des MR001 et MR003, complétées par deux annexes transversales : l'une relative aux mesures de sécurité – en réponse notamment à la multiplication des violations de données dans le secteur –, l'autre au contrôle qualité – afin notamment de tenir compte de la mutation d’un contrôle qualité initialement réalisé sur site à un contrôle qualité « de plus en plus fréquemment réalisé à distance ».

Elargissement & précision du champ d’application

Pour rappel, la MR001 couvre traditionnellement les traitements de recherches en santé pour lesquelles le consentement du patient est requis, tandis que la MR003 couvre celles pour lesquelles il ne l’est pas.

Afin de tenir compte de l’entrée en application du RDM et du RDMIV, le champ d’application de la MR001 couvre désormais (i) les investigations cliniques telles que définies par le RDM, et (ii) les études de performance telles que définies par le RDMIV. Ces recherches sur les produits de santé relèvent de la MR001 dans la mesure où elles requièrent par principe le recueil du consentement des participants[2].

Les nouvelles MR explicitent également leur applicabilité aux recherches en santé menées partiellement ou exclusivement à l'étranger, dès lors que le responsable de traitement est établi en France ou que des personnes concernées résident en France - ce qui résultait déjà de l'article 3 de la loi informatique et libertés. L'apport réside dans un nouveau § 6, lequel précise que, lorsque les personnes concernées ne résident pas en France, c'est la réglementation sectorielle du pays tiers qui détermine si la recherche relève de la MR-001 (lorsque cette règlementation requiert un consentement) ou de la MR-003 (lorsque cette règlementation ne requiert pas de consentement) – ce qui pouvait toutefois déjà être directement déduit de la logique de répartition des MR en France[3]. 

Enfin, les nouvelles MR précisent expressément la possibilité d’une responsabilité conjointe, avec l’obligation pour chacun des responsables conjoints d’adresser à la CNIL une déclaration de conformité à la MR (ou demande d’autorisation en cas de non-conformité à toutes les exigences de la MR)[4].

Evolutions relatives aux données personnes concernées

Concernant l’identification des personnes se prêtant à la recherche dans les bases de données constituées pour la réalisation de la recherche, les versions de 2018 exigeaient déjà une pseudonymisation au moyen d’un « numéro d’ordre ou d’un code alphanumérique ». Les nouvelles MR approfondissent ce dispositif en intégrant une partie dédiée à l’identification, laquelle fait du « numéro d'inclusion » l'identifiant pseudonymisé de référence et renvoie à l'annexe sécurité pour les exigences techniques de génération de ce numéro d’inclusion[5].

Les nouvelles MR enrichissent également la liste des données pouvant être traitées dans le contexte des MR001 et MR003.
Parmi les données concernées, on relève notamment l’ajout de l'orientation sexuelle, l'origine géographique, les revenus du foyer par tranches ou catégories, ainsi que la « date de naissance complète (jour, mois et année de naissance) si cette dernière est nécessaire à la recherche du statut vital au sein du fichier des décès de l’INSEE dans le cadre d’une mission de suivi de la personne se prêtant à la recherche ou à la prise en charge/remboursement des frais dans le cadre d’une mission administrative nécessaire à la réalisation de la recherche »[6]. 
La CNIL a ajouté un point de vigilance eu égard à la recherche du statut vital, laquelle « ne doit pas impliquer la transmission, à des opérateurs tiers, de données pouvant révéler l’état de santé des participants potentiels »[7].

Refonte du régime des destinataires autorisés

« L’extension des destinataires des données administratives d’identification et des données de santé » était l’un des trois axes de « priorité 1 » de la consultation publique de la CNIL. Pour mémoire, les versions de 2018 reposaient sur une dichotomie stricte entre une liste des destinataires autorisés à accéder aux « données directement identifiantes » et ceux uniquement autorisés à accéder aux « données indirectement identifiantes ».

 Les nouvelles MR n'ont pas conservé cette distinction rigide. Elles érigent un principe général selon lequel un destinataire « ne peut pas concomitamment accéder ou avoir communication : des données administratives et des données de la recherche » ainsi que « des données administratives et du numéro d’inclusion », tout en introduisant 4 catégories de dérogation à ce principe :

•      destinataires assurant une mission de suivi des personnes se prêtant à la recherche, laquelle doit être réalisée exclusivement au sein d'un « lieu de recherche », notion que les nouvelles MR définissent comme incluant le domicile du patient, et par des professionnels intervenant dans la recherche ;
•     destinataires assurant des missions administratives : remboursement de frais de transport/hébergement/restauration, livraison de produits de santé à domicile, activités préalables ou accessoires au suivi. Cette dérogation existait déjà dans les versions de 2018 mais la liste des missions administratives a été élargie en 2026 (la prise en charge des frais d’hébergement et de restauration ne figurait pas dans la version de 2018) ;
•     destinataires assurant une mission d’information. Cette nouvelle dérogation répond notamment à l’introduction d’une modalité de délivrance dématérialisée de l’information aux personnes concernées ;
•       les destinataires assurant une mission de contrôle qualité. Cette dérogation existait déjà en 2018, mais était limitée au contrôle qualité réalisé « lors de visite ou de contrôle au sein des centres investigateurs ». Dans la version de 2026, ce contrôle doit être réalisé dans des conditions conformes à l’annexe qualité, laquelle couvre les missions de contrôle qualité réalisées à distance.

Les nouvelles MR encadrent en outre le cumul de plusieurs missions par un même destinataire, en distinguant trois situations : les professionnels exerçant au sein d'un lieu de recherche (à l'exclusion du domicile), les établissements de santé promoteurs de la recherche, et les personnes morales qualifiées de sous-traitant.

Dématérialisation de l’information des personnes concernées

« L’aménagement des modalités d’information des personnes concernées » constituait également l’un des trois axes de « priorité 1 » de la consultation publique de la CNIL.

La nouvelle version des MR précise les conditions dans lesquelles l’information RGPD peut être adressée par voie électronique :

- La personne se prêtant à la recherche (ou ses représentants) doit (doivent) (i) ne pas s’être opposée(s) à cette modalité de délivrance, (ii) disposer des moyens nécessaires pour accéder au support électronique, et (iii) pouvoir obtenir la mise à disposition d’une information au format papier s’ils en font la demande.
- Pour pouvoir transmettre l’information par voie électronique, les mesures de sécurité spécifiques à la délivrance de l’information au format électronique doivent être mises en œuvre

A ce titre, lorsque la note d'information ne révèle aucune information sur l'état de santé de la personne, elle peut être transmise par simple courrier électronique, sous réserve que l'adresse « constitue une adresse personnelle et individuelle effectivement utilisée par la personne ». Lorsque la note est susceptible de révéler des informations sur l'état de santé, elle peut être transmise par courrier électronique à condition notamment que l'accès soit, notamment, « conditionné à la possession d'un facteur de connaissance » et que le code de déchiffrement ou de téléchargement soit transmis par un canal de confiance séparé ». La transmission peut également « s'effectuer via une plateforme sécurisée pour laquelle la personne (.) dispose d'une connexion authentifiée ».

De nouvelles annexes transversales : sécurité et contrôle qualité

L'innovation majeure de cette révision réside dans l'adoption de 2 annexes transversales, communes aux MR-001 et MR-003, qui définissent les exigences de sécurité et de contrôle qualité au sein de documents uniques. La conformité à la MR implique désormais le respect de l'ensemble des exigences prévues par ces annexes.

L’annexe sécurité comprend (i) des mesures générales « correspondant aux précautions élémentaires décrites dans le guide sécurité de la CNIL », lesquelles sont « ajustées et enrichies compte tenu de la sensibilité des données traitées dans le cadre de recherche en santé », et (ii) des mesures spécifiques concernant la délivrance de l’information au format électronique (v. supra), la revue et la publication des résultats, et les modalités de « génération et d’utilisation d’un code non signifiant.

L’annexe contrôle qualité encadre (i) les règles communes applicable au contrôle qualité sur site ou à distance, et (ii) les conditions complémentaires applicables au contrôle qualité à distance. L'annexe distingue 2 modalités de contrôle qualité à distance : le recours à la vidéoconférence et le recours à une plateforme sécurisée, chacune assortie de mesures de sécurité spécifiques. S'agissant de la plateforme sécurisée, le recours à un hébergeur de données de santé (HDS) certifié est requis dès lors que les données déposées sur la plateforme permettent l'identification directe de la personne concernée ou sont issues de la prise en charge du patient par un établissement, un professionnel ou un centre de santé établi en France[8] ; à défaut, le prestataire doit être certifié ISO/IEC 27001:2022 ou présenter des garanties de sécurité équivalentes.

Calendrier d’application

Les nouvelles MR entrent en vigueur à compter de leur publication au Journal officiel, soit le 23 mai 2026.

Les acteurs qui ont réalisé une déclaration de conformité à une précédente version de la MR applicable ne sont pas tenus de réaliser une nouvelle déclaration de conformité, sous réserve que les recherches mises en œuvre à compter du 23 mai 2026 soient conformes à la nouvelle MR applicable.

De plus, lorsqu’une recherche autorisée antérieurement par la CNIL fait l'objet d'une modification substantielle et est conforme à la version de 2026, il n'est pas nécessaire d'obtenir une nouvelle autorisation de la CNIL.

S'agissant du contrôle qualité à distance, sa mise en œuvre pour les recherches en cours à la date du 23 mai 2026 ne nécessitera pas de réaliser une demande d'autorisation auprès de la CNIL, dès lors que le reste de la recherche est conforme aux dispositions de la MR applicable dans sa version 2026.

Enfin, concernant l'authentification multi facteur (issue de l’annexe sécurité), celle-ci sera requise à compter du 1er janvier 2027 pour les systèmes accessibles via internet et à compter du 1er janvier 2028 pour les autres.

 Pour ceux qui n’auraient pas encore assimilé toutes ces modifications, des checklists ont été publiées pour faciliter la mise en conformité des projets mis en œuvre à compter du 23 mai ou à mettre en œuvre !