Skip to content
Actualités VIGIER Avocats  > Données de santé & cybersécurité : une nouvelle annexe « sécurité » incontournable

Données de santé & cybersécurité : une nouvelle annexe « sécurité » incontournable

La Commission nationale de l’informatique et des libertés (CNIL) franchit une nouvelle étape dans l’encadrement des traitements de données de santé en recherche avec la publication de la délibération n° 2026-049 du 19 mars 2026, homologuant une annexe “sécurité” applicable aux méthodologies de référence (MR).

Cette évolution vise à harmoniser et à élever les exigences de sécurité applicables aux recherches utilisant des données à caractère personnel, dans un contexte de digitalisation croissante des pratiques et d’augmentation des cybermenaces.

Un socle commun de sécurité pour les recherches en santé

Avec cette délibération, la CNIL met à disposition un référentiel unique de mesures de sécurité « à l’état de l’art », destiné à être annexé aux méthodologies de référence utilisées par les acteurs du secteur. Cette annexe devient une référence opérationnelle clé pour tout projet mené sous MR (promoteurs, CRO, établissements de santé, industriels).

Objectifs :

  • faciliter la mise en conformité des responsables de traitement
  • garantir un niveau de sécurité opérationnel et auditable
  • renforcer la protection des données de santé, qui sont particulièrement sensibles

Des exigences de sécurité structurées et opérationnelles

L’annexe “sécurité” regroupe un ensemble de mesures organisationnelles et techniques applicables aux traitements de données de santé mis en œuvre dans le cadre des recherches.

L’annexe couvre notamment :

  • des mesures générales de sécurité des traitements : chiffrement, cloisonnement des données, gestion des accès
  • des exigences liées à la délivrance électronique de l’information aux participants à la recherche des règles applicables pour encadrer la publication des résultats : blocage des copies d’écran et extraction
  • des principes transverses comme l’usage obligatoire de codes non signifiants pour neutraliser les risques de réidentification

Une logique de standardisation du cadre CNIL

Cette délibération s’inscrit dans une dynamique plus large :

  • adoption parallèle d’une annexe “contrôle qualité”
  • modernisation des méthodologies de référence
  • prise en compte des évolutions numériques (dématérialisation, traitements massifs de données)

La CNIL confirme ainsi sa stratégie d’industrialiser la conformité RGPD en matière de recherche en santé– tout en maintenant un haut niveau de protection des personnes.

Mise en place d’un code non signifiant

La personne se prêtant à la recherche est identifiée au moyen d’un identifiant appelé « numéro d’inclusion », respectant les mesures de sécurité mentionnées dans la MR applicable et l’annexe.

Dès que le numéro d’inclusion n’est pas nécessaire pour les étapes de recherche, il est recommandé de mettre en place un code non signifiant à la place du numéro d’inclusion pour renforcer la sécurité des participants.

La montée en puissance de l’authentification forte (MFA)

Même si la délibération ne crée pas le concept, elle s’inscrit dans une dynamique claire de la CNIL : faire de l’authentification multifacteur (MFA) un standard technique obligatoire pour les accès à des données sensibles, notamment en santé.

La MFA est considérée comme une mesure essentielle pour sécuriser les accès aux bases de données sensibles, en particulier à distance.

Rappel : une authentification est considérée comme forte lorsqu’elle fait intervenir a minima deux facteurs distincts parmi :

  • un facteur de connaissance (mot de passe),
  • un facteur de possession (token, smartphone),
  • un facteur d’inhérence (biométrie).

La CNIL insiste également sur :

  • la proportionnalité au risque,
  • l’intégration du privacy by design,
  • et le fait que la MFA constitue elle-même un traitement de données personnelles à encadrer.

Concrètement pour les acteurs de la santé

Cette délibération confirme une évolution majeure :

  • Démonstration d’un niveau de sécurité aligné avec l’état de l’art, et non simplement formel.
  • Montée des attentes en cybersécurité opérationnelle
  • généralisation des contrôles d’accès robustes,
  • renforcement de la traçabilité,
  • sécurisation des flux et des environnements de recherche.
  • Auditabilité accrue

Ce qu’il faut retenir

 La CNIL structure un référentiel de sécurité transverse pour la recherche en santé et rappelle le niveau d’exigence technique, notamment l’authentification forte.

Les acteurs doivent passer d’une logique déclarative à une logique de cybersécurité démontrable et documentée.

FAQ

À qui s’adresse cette annexe « sécurité » ?

Elle concerne tous les acteurs mettant en œuvre des traitements de données de santé dans le cadre des MR, notamment :

  • promoteurs d’études cliniques,
  • établissements de santé,
  • industriels (pharma, medtech),
  • CRO et prestataires techniques.

Elle s’applique dès lors que la méthodologie de référence utilisée renvoie expressément à cette annexe.

L’annexe « sécurité » est-elle obligatoire ?

Oui, indirectement.

Elle devient obligatoire dès lors qu’une méthodologie de référence y renvoie, ce qui est le cas des MR homologuées ou mises à jour.

En pratique, un responsable de traitement déclarant sa conformité à une MR s’engage à respecter l’ensemble des exigences de sécurité associées, y compris cette annexe.

Qu’est-ce qu’un numéro d’inclusion ?

Un numéro d’inclusion est un identifiant attribué à une personne au moment de son intégration dans une étude ou un protocole de recherche, en particulier dans le domaine de la santé.

Il permet d’identifier le participant au sein de l’étude, sans utiliser directement ses données d’identité.

Qu’est-ce que le code non signifiant ?

Un code non signifiant permet de relier entre elles des données d’une même personne au sein de jeux de données pseudonymisées ou entre plusieurs jeux de données. Dès que le numéro d’inclusion n’est pas nécessaire pour les étapes de recherche, il est recommandé de mettre en place un code non signifiant à la place du numéro d’inclusion pour renforcer la sécurité des participants.

Ce code ne doit pas révéler d’information sur la personne concernée ou des identifiants préexistants liés à cette personne.

Délibération no 2026-049 du 19 mars 2026 portant homologation de l’annexe « sécurité » des MRTélécharger

Publié le
Article classé dans : Actualités VIGIER Avocats

Dernières actualités

Données de santé : la CNIL renforce le cadre du contrôle qualité des recherches

27 mai 2026
La Commission nationale de l’informatique et des libertés (CNIL) poursuit la structuration du cadre applicable aux traitements de données de santé en recherche avec l’adoption de la délibération n° 2026-052
Lire la suite

Méthodologies de référence : Publication des MR001 & MR003

26 mai 2026
Quatre délibérations très attendues du 19 mars 2026 relatives aux méthodologies de référence encadrant la recherche en santé ont été publiées le 23 mai 2026 au Journal officiel. Les anciennes
Lire la suite

Données RH : Conserver les attestations d’honorabilité selon la CNIL ?

21 mai 2026
Le contrôle de l’honorabilité des salariés est devenu un enjeu majeur pour de nombreux employeurs. Par une délibération n°2026-054 du 5 mai 2026, publiée au Journal officiel le 21 mai
Lire la suite