Après avoir entendu le rapport de Mme Marie Zins et M. Fabien Tarissan, commissaires, et les observations de M. Damien Milic, commissaire du Gouvernement,
Formule les observations suivantes :
Certains traitements de données à caractère personnel dans le domaine de la santé sont soumis à un régime de formalités préalables auprès de la CNIL. Ces formalités prennent la forme, par principe, d’une déclaration de conformité à un référentiel homologué par la CNIL ou, par exception, d’une demande d’autorisation dès lors que le traitement ne répond pas à l’ensemble des exigences du référentiel applicable.
Depuis l’entrée en vigueur du RGPD, et afin de simplifier les démarches des acteurs concernés, la CNIL a adopté treize référentiels, dont huit méthodologies de référence dédiées aux recherches, études et évaluations dans le domaine de la santé.
A l’été 2024, la CNIL a mené une consultation publique sur l’ensemble des référentiels applicables aux formalités préalables dans le domaine de la santé. Cette consultation a permis d’identifier les besoins prioritaires des acteurs.
Compte tenu des réponses reçues, dont les conclusions ont fait l’objet d’une restitution publique, des modifications de la MR-003, adoptée en 2018, se sont avérées nécessaires afin de tenir compte de l’évolution :

– du cadre légal et règlementaire ;
– des pratiques dans le cadre de la recherche clinique, notamment leur importante numérisation ;
– de la menace pesant sur la sécurité des systèmes d’information en recherche ;
– de l’état de l’art en matière de sécurité informatique.

Le responsable de traitement d’une recherche, relevant du champ d’application de la MR-003, pourra la mettre en œuvre dans le cadre d’une déclaration de conformité dès lors que le traitement de données à caractère personnel est conforme aux dispositions de la MR-003, y compris les mesures prévues par l’annexe « sécurité » et l’annexe « contrôle qualité ».
Dans ces conditions, la CNIL :

– abroge la délibération n° 2018-154 du 3 mai 2018 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement de la personne concernée (MR-003) ;
– adopte la méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement de la personne concernée en vue de la participation à la recherche, annexée à la présente délibération.

La présente délibération sera publiée au Journal officiel de la République française.
La méthodologie de référence entre en vigueur à compter de sa publication au Journal officiel de la République française, à l’exception de la mesure MR-SEC-12 concernant l’authentification multifacteur qui entre en vigueur à compter du :

– 1^er janvier 2027 pour les services numériques, les systèmes d’information ou les outils numériques utilisés dans le cadre de la recherche et accessibles via internet ;
– 1^er janvier 2028 pour l’ensemble des services numériques, systèmes d’information ou outils numériques utilisés dans le cadre de la recherche accessibles ou non via internet.