Après avoir entendu le rapport de Mme Marie Zins et M. Fabien Tarissan, commissaires, et les observations de M. Damien Milic, commissaire du Gouvernement,
Formule les observations suivantes :
Certains traitements de données à caractère personnel dans le domaine de la santé sont soumis à un régime de formalités préalables auprès de la CNIL. Ces formalités prennent la forme, par principe, d’une déclaration de conformité à un référentiel homologué par la CNIL ou, par exception, d’une demande d’autorisation dès lors que le traitement ne répond pas à l’ensemble des exigences du référentiel applicable.
Depuis l’entrée en vigueur du RGPD, et afin de simplifier les démarches des acteurs concernés, la CNIL a adopté treize référentiels, dont huit méthodologies de référence dédiées aux recherches, études et évaluations dans le domaine de la santé.
A l’été 2024, la CNIL a mené une consultation publique sur l’ensemble des référentiels applicables aux formalités préalables dans le domaine de la santé. Cette consultation a permis d’identifier les besoins prioritaires des acteurs.
Compte tenu des réponses reçues, dont les conclusions ont fait l’objet d’une restitution publique, des modifications de la MR-001, adoptée en 2018, se sont avérées nécessaires afin de tenir compte de l’évolution :
– du cadre légal et règlementaire ;
– des pratiques dans le cadre de la recherche clinique, notamment leur importante numérisation ;
– de la menace pesant sur la sécurité des systèmes d’information en recherche ;
– de l’état de l’art en matière de sécurité informatique.
Le responsable de traitement d’une recherche, relevant du champ d’application de la MR-001, pourra la mettre en œuvre dans le cadre d’une déclaration de conformité dès lors que le traitement de données à caractère personnel est conforme aux dispositions de la MR-001, y compris les mesures prévues par l’annexe « sécurité » et l’annexe « contrôle qualité ».
Dans ces conditions, la CNIL :
– abroge la délibération n° 2018-153 du 3 mai 2018 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) ;
– adopte la méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) annexée à la présente délibération.
La présente délibération sera publiée au Journal officiel de la République française.
La méthodologie de référence entre en vigueur à compter de sa publication au Journal officiel de la République française, à l’exception de la mesure MR-SEC-12 concernant l’authentification multifacteur qui entre en vigueur à compter du :
– 1er janvier 2027 pour les services numériques, les systèmes d’information ou les outils numériques utilisés dans le cadre de la recherche et accessibles via internet ;
– 1er janvier 2028 pour l’ensemble des services numériques, systèmes d’information ou outils numériques utilisés dans le cadre de la recherche accessibles ou non via internet.