Quatre délibérations très attendues du 19 mars 2026 relatives aux méthodologies de référence encadrant la recherche en santé ont été publiées le 23 mai 2026 au Journal officiel.
Les anciennes normes, datant de 2018 laissaient place à des incertitudes juridiques face à la numérisation croissante des essais cliniques et aux cybermenaces. Pour y remédier, les nouvelles MR-001 (nécessitant le consentement) et MR-003 (ne nécessitant pas le recueil du consentement) s’articulent désormais autour de deux documents inédits et transversaux :
Sans remettre en cause les grands principes, les nouvelles MR‑001 & MR-003 intègrent plusieurs évolutions structurantes.
Ces nouvelles versions prennent en compte les recherches internationales, facilitant considérablement la tâche des promoteurs français menant des études à l’étranger. Le choix de la MR applicable tient compte de la législation applicable dans les territoires où résident les participants.
Elles intègrent l’évolution des modalités d’information des participants, dont la dématérialisation de la note d’information ainsi que les pratiques de contrôle qualité, y compris à distance.
Les précisions apportées relatives à la nature des données ainsi que les mesures de sécurité liées renforcent la minimisation des données. En matière de traçabilité et de documentation, les exigences en sont accrues.
Les finalités et les destinataires sont strictement encadrés.
Les précisions sur les éléments attendus aident dans la formalisation des procédures internes.
Ces versions marquent une articulation plus étroite avec les analyses d’impact (AIPD).
La MR‑001 s’applique aux recherches nécessitant le recueil du consentement de la personne concernée en vue de la participation à la recherche.
Elle couvre notamment :
La MR-003 s’applique pour les recherches ne nécessitant pas le recueil du consentement de la personne concernée en vue de la participation à la recherche.
Elle couvre notamment :
La notion d’« aidant » fait son apparition, autorisant la collecte de données auprès de l’entourage du patient lorsque le protocole le justifie. Des précisions sont apportées sur le lieu de recherche, les professionnels intervenant dans la recherche ainsi que les représentants légaux.
Aussi, afin de clarifier la chaîne des responsabilités, il est rappelé qu’un sous-traitant est une entité juridique distincte du responsable de traitement. Il doit disposer de la personnalité juridique. Une conséquence directe et explicitée de cette définition est que les différents services, directions ou départements d’une même personne morale (par exemple, la pharmacie à usage intérieur, la direction de la recherche clinique et le service d’investigation d’un même Centre Hospitalier Universitaire) ne peuvent en aucun cas être considérés comme des sous-traitants les uns des autres.
L’information des participants doit contenir les modalités d’exercice des droits des personnes, la réutilisation des données, les sous-traitants et les missions attribuées, ainsi que, le cas échéant, l’inscription au fichier national recensant les personnes ne présentant aucune affection et se prêtant volontairement à une recherche, et ce, outre les mentions « RGPD ».
Les modalités de délivrance de l’information font leur apparition dans les MR. La note d’information dématérialisée devra aussi respecter les mesures de sécurité de l’annexe « Sécurité ».
Les relations avec les sous-traitants sont précisées. Le responsable de traitement doit s’assurer que ses sous-traitants et les sous-traitants ultérieurs présentent les garanties suffisantes.
Le sous-traitant tient et met à jour les informations relatives aux sous-traitants ultérieurs engagés. L’adhésion à un code de conduite approuvé par une autorité de contrôle permet de démontrer que le sous-traitant met en œuvre des garanties suffisantes.
Les transferts de données hors de l’UE sont possibles sous réserve du respect de conditions spécifiques, notamment en cas de transfert vers des pays n’ayant pas de décision d’adéquation.
Les MR apportent une clarification utile : l’accès distant à des données, tel qu’une simple visualisation, depuis un pays hors de l’UE constitue un transfert de données soumis à ces mêmes règles.
Le responsable de traitement ainsi que ses sous-traitants mettent en œuvre les mesures générales de sécurité ainsi que les mesures spécifiques telles que prévues à l’annexe « Sécurité ».
Pour éviter le risque de réidentification, et dès que le numéro d’inclusion n’est pas nécessaire, il est recommandé la mise en place d’un code non signifiant.
Le « Contrôle qualité » fait l’objet d’une annexe dédiée. Celle-ci encadre le monitoring à distance. Elle institue des mesures de sécurité complémentaire, notamment sur la solution technique de contrôle à distance (« Plateforme sécurisée »).
La Plateforme sécurisée doit être hébergée au sein de l’UE, à l’exception des lieux de recherche hors UE et être certifiée ou couvertes par les référentiels existants.
Le recours à un hébergeur de données de santé certifié (« HDS ») est requis en cas de dépôt des données personnelles sur la plateforme intermédiaire de visualisation de données :
Ces nouvelles méthodologies sont en vigueur depuis le 24 mai 2026, à l’exception de la mesure relative à la mise en place de l’authentification multi-facteur (MR-SEC-12).
Cette mesure entre en vigueur à compter du
Une nouvelle déclaration de conformité n’est pas nécessaire pour les responsables de traitement, sous réserve que les recherches mises à œuvre à compter du 24 mai 2026 soient conformes à la méthodologie applicable.
En cas de modification substantielle d’une recherche antérieurement autorisée, si la modification est conforme à la méthodologie applicable, une nouvelle autorisation n’est pas nécessaire.
En cas de responsabilité conjointe, chaque responsable de traitement devra faire une déclaration de conformité.
Les MR constituent des instruments clé permettant aux acteurs de bénéficier d’un cadre de conformité simplifié et de procéder à une déclaration d’engagement plutôt qu’à une autorisation. Ces MR permettent de sécuriser juridiquement leurs projets de recherche.
La méthodologie de référence MR‑001 est un cadre juridique fixé par la CNIL permettant d’encadrer les traitements de données de santé dans le cadre de recherches nécessitant le recueil du consentement des participants.
Elle permet aux acteurs concernés de se conformer au RGPD via une déclaration d’engagement, sans solliciter une autorisation individuelle.
La méthodologie de référence MR‑003 est un cadre juridique fixé par la CNIL permettant d’encadrer les traitements de données de santé dans le cadre de recherches ne nécessitant pas le recueil du consentement des participants.
Le responsable de traitement ne peut plus se prévaloir de la MR en question. Le responsable de traitement devra déposer une demande d’autorisation CNIL ou interrompre le traitement des données. A défaut, il s’expose à des sanctions administratives.
Un sous-traitant est une personne physique ou morale distincte du responsable de traitement, qui traite des données à caractère personnel pour le compte de ce dernier et sur ses instructions.
Pour être qualifié de sous-traitant, il est impératif qu’il s’agisse d’une entité disposant de la personnalité juridique, distincte du responsable de traitement.
En conséquence, une société prestataire externe (éditeur, hébergeur, CRO, prestataire IT…) peut être un sous-traitant, mais les services internes d’une même organisation ne le sont pas.
Un sous-traitant ultérieur est un prestataire auquel le sous-traitant initial confie tout ou partie des opérations de traitement de données, pour le compte du responsable de traitement.
Le sous-traitant ultérieur intervient donc indirectement, mais toujours pour le compte du responsable de traitement, via le sous-traitant principal.
Le contrôle qualité (ou monitoring) est une étape essentielle de la recherche en santé. Il consiste à vérifier l’exhaustivité des données et l’exactitude des données en comparant les données collectées avec les données sources. Cette mission permet de garantir la fiabilité et la robustesse scientifique des résultats.
L’annexe « Sécurité » reprend l’ensemble des mesures de sécurité générales et spécifiques, applicables à toutes les méthodologies de référence. Elle constitue l’état de l’art dans le domaine de la recherche en santé.
Pour toute question, un accompagnement, contactez-nous : contact@vigier-avocats.com.