Délibération n° 2026-050 du 19 mars 2026 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé nécessitant le recueil du consentement de la personne concernée en vue de la participation à la recherche (MR-001) et abrogeant la délibération n° 2018-153
CNIL / Journal Officiel
En savoir plus
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu le code civil ;
Vu le code de la santé publique ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi « informatique et libertés ») ;
Vu la délibération n° 2018-153 du 3 mai 2018 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) et abrogeant la délibération n° 2016-262 du 21 juillet 2016 ;
Vu la délibération n° 2026-049 du 19 mars 2026 portant homologation de l’annexe « sécurité » pour les méthodologies de référence relatives aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé (annexe sécurité) ;
Vu la délibération n° 2026-052 du 19 mars 2026 portant homologation de l’annexe « contrôle qualité » pour les méthodologies de référence relatives aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé (annexe contrôle qualité) ;
Après avoir entendu le rapport de Mme Marie Zins et M. Fabien Tarissan, commissaires, et les observations de M. Damien Milic, commissaire du Gouvernement,
Formule les observations suivantes :
Certains traitements de données à caractère personnel dans le domaine de la santé sont soumis à un régime de formalités préalables auprès de la CNIL. Ces formalités prennent la forme, par principe, d’une déclaration de conformité à un référentiel homologué par la CNIL ou, par exception, d’une demande d’autorisation dès lors que le traitement ne répond pas à l’ensemble des exigences du référentiel applicable.
Depuis l’entrée en vigueur du RGPD, et afin de simplifier les démarches des acteurs concernés, la CNIL a adopté treize référentiels, dont huit méthodologies de référence dédiées aux recherches, études et évaluations dans le domaine de la santé.
A l’été 2024, la CNIL a mené une consultation publique sur l’ensemble des référentiels applicables aux formalités préalables dans le domaine de la santé. Cette consultation a permis d’identifier les besoins prioritaires des acteurs.
Compte tenu des réponses reçues, dont les conclusions ont fait l’objet d’une restitution publique, des modifications de la MR-001, adoptée en 2018, se sont avérées nécessaires afin de tenir compte de l’évolution :
– du cadre légal et règlementaire ;
– des pratiques dans le cadre de la recherche clinique, notamment leur importante numérisation ;
– de la menace pesant sur la sécurité des systèmes d’information en recherche ;
– de l’état de l’art en matière de sécurité informatique.
Le responsable de traitement d’une recherche, relevant du champ d’application de la MR-001, pourra la mettre en œuvre dans le cadre d’une déclaration de conformité dès lors que le traitement de données à caractère personnel est conforme aux dispositions de la MR-001, y compris les mesures prévues par l’annexe « sécurité » et l’annexe « contrôle qualité ».
Dans ces conditions, la CNIL :
– abroge la délibération n° 2018-153 du 3 mai 2018 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) ;
– adopte la méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) annexée à la présente délibération.
La présente délibération sera publiée au Journal officiel de la République française.
La méthodologie de référence entre en vigueur à compter de sa publication au Journal officiel de la République française, à l’exception de la mesure MR-SEC-12 concernant l’authentification multifacteur qui entre en vigueur à compter du :
– 1er janvier 2027 pour les services numériques, les systèmes d’information ou les outils numériques utilisés dans le cadre de la recherche et accessibles via internet ;
– 1er janvier 2028 pour l’ensemble des services numériques, systèmes d’information ou outils numériques utilisés dans le cadre de la recherche accessibles ou non via internet.