Délibération n° 2026-051 du 19 mars 2026 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé et ne nécessitant pas le recueil du consentement de la personne concernée en vue de la participation à la recherche (MR-003) et abrogeant la délibération n° 2018-154
CNIL / Journal Officiel
En savoir plus
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu le code civil ;
Vu le code de la santé publique ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi « informatique et libertés ») ;
Vu la délibération n° 2018-154 du 3 mai 2018 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement de la personne concernée (MR-003) et abrogeant la délibération n° 2016-263 du 21 juillet 2016 ;
Vu la délibération n° 2026-049 du 19 mars 2026 portant homologation de l’annexe « sécurité » pour les méthodologies de référence relatives aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé (annexe sécurité) ;
Vu la délibération n° 2026-052 du 19 mars 2026 portant homologation de l’annexe « contrôle qualité » pour les méthodologies de référence relatives aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé (annexe contrôle qualité) ;
Après avoir entendu le rapport de Mme Marie Zins et M. Fabien Tarissan, commissaires, et les observations de M. Damien Milic, commissaire du Gouvernement,
Formule les observations suivantes :
Certains traitements de données à caractère personnel dans le domaine de la santé sont soumis à un régime de formalités préalables auprès de la CNIL. Ces formalités prennent la forme, par principe, d’une déclaration de conformité à un référentiel homologué par la CNIL ou, par exception, d’une demande d’autorisation dès lors que le traitement ne répond pas à l’ensemble des exigences du référentiel applicable.
Depuis l’entrée en vigueur du RGPD, et afin de simplifier les démarches des acteurs concernés, la CNIL a adopté treize référentiels, dont huit méthodologies de référence dédiées aux recherches, études et évaluations dans le domaine de la santé.
A l’été 2024, la CNIL a mené une consultation publique sur l’ensemble des référentiels applicables aux formalités préalables dans le domaine de la santé. Cette consultation a permis d’identifier les besoins prioritaires des acteurs.
Compte tenu des réponses reçues, dont les conclusions ont fait l’objet d’une restitution publique, des modifications de la MR-003, adoptée en 2018, se sont avérées nécessaires afin de tenir compte de l’évolution :
– du cadre légal et règlementaire ;
– des pratiques dans le cadre de la recherche clinique, notamment leur importante numérisation ;
– de la menace pesant sur la sécurité des systèmes d’information en recherche ;
– de l’état de l’art en matière de sécurité informatique.
Le responsable de traitement d’une recherche, relevant du champ d’application de la MR-003, pourra la mettre en œuvre dans le cadre d’une déclaration de conformité dès lors que le traitement de données à caractère personnel est conforme aux dispositions de la MR-003, y compris les mesures prévues par l’annexe « sécurité » et l’annexe « contrôle qualité ».
Dans ces conditions, la CNIL :
– abroge la délibération n° 2018-154 du 3 mai 2018 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement de la personne concernée (MR-003) ;
– adopte la méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement de la personne concernée en vue de la participation à la recherche, annexée à la présente délibération.
La présente délibération sera publiée au Journal officiel de la République française.
La méthodologie de référence entre en vigueur à compter de sa publication au Journal officiel de la République française, à l’exception de la mesure MR-SEC-12 concernant l’authentification multifacteur qui entre en vigueur à compter du :
– 1er janvier 2027 pour les services numériques, les systèmes d’information ou les outils numériques utilisés dans le cadre de la recherche et accessibles via internet ;
– 1er janvier 2028 pour l’ensemble des services numériques, systèmes d’information ou outils numériques utilisés dans le cadre de la recherche accessibles ou non via internet.