Démonstration
Pour traiter votre demande, nous devons traiter vos données personnelles. Plus d’informations sur le traitement de vos données personnelles ici.

La méthodologie de référence MR001 (ou MR-001) encadre les traitements de données personnelles réalisés dans le cadre de recherches en santé avec recueil du consentement des participants. Cette méthodologie MR001 de la CNIL s’adresse aux promoteurs de recherches (établissements hospitaliers, industriels, investigateurs indépendants) qui souhaitent garantir leur conformité au RGPD tout en sécurisant l’utilisation de données sensibles dans ce domaine spécialisé.

Dans cet article, nous vous proposons un guide pratique pour comprendre les grands principes de la MR001, à qui elle s’applique, comment l’utiliser, et les bonnes pratiques à adopter pour votre conformité réglementaire, en garantissant la confidentialité des données tout au long du processus.

Qu’est-ce que la méthodologie de référence MR001 ?

Deux membres d’un établissement de santé consultent une base de données dans le cadre d’un projet de recherche clinique. La méthodologie MR001 impose une gouvernance claire, incluant le DPO, pour garantir la sécurité juridique et éthique des traitements de données.

La MR001, issue de la délibération n° 2018-153 de la CNIL, est un cadre juridique spécifique aux traitements de données de santé dans le cadre de certaines recherches scientifiques. Cette méthodologie de référence est destinée aux projets impliquant le recueil du consentement des participants et présentant un intérêt public majeur pour la recherche médicale.

La méthodologie MR001 couvre notamment :

  • Les recherches interventionnelles, y compris celles à risques et contraintes minimes (ex : étude de l’efficacité d’un dispostif médical déjà utilisé en pratique)
  • Les essais cliniques de médicaments, sauf essais par grappes (ex : évalution de la tolérance d’un médicament générique chez une population cible)
  • Les études nécessitant des examens génétiques (ex :Étude sur des prédispositions génétiques au cancer du sein)
  • Les recherches observationnelles avec intervention minimale (ex : Suivi du sommeil via un bracelet connecté fourni aux patients)

Cette approche simplifiée permet aux organismes de recherche de bénéficier d’un cadre pré-établi par la CNIL, évitant ainsi les démarches d’autorisation longues et complexes, contrairement aux protocoles de recherche en santé sans recueil de consentement qui nécessitent d’autres méthodologies.

Qui peut utiliser la MR001 dans le secteur de la santé ?

Peuvent s’appuyer sur cette méthodologie de référence MR001 :

  • Les promoteurs de recherche, qu’ils soient basés en France ou à l’étranger
  • Les établissements de santé publics ou privés (CHU, cliniques, centres de recherche)
  • Les investigateurs indépendants menant des études cliniques
  • Les sous-traitants, sous conditions strictes, dans le cadre de missions précises
  • Les DPO (délégués à la protection des données) responsables de la conformité des traitements
  • Les laboratoires pharmaceutiques pour leurs essais cliniques

Point important : Même si le responsable de traitement n’est pas établi en France, il doit respecter la MR001 s’il traite des données de personnes résidant sur le territoire français.

Quels traitements sont concernés par la MR001 ?

Les traitements éligibles à la méthodologie MR001 doivent répondre aux conditions suivantes :

  • Avoir un objectif de recherche en santé avec finalité d’intérêt public clairement définie
  • Reposer sur le recueil exprès, libre et éclairé du consentement du participant
  • Impliquer uniquement des données pertinentes et nécessaires, strictement définies par la CNIL
  • Respecter le principe de proportionnalité dans la collecte des données

Données autorisées par la MR001

Les données autorisées incluent notamment :

  • Les données de santé (antécédents médicaux, résultats d’examens, pathologies)
  • Données démographiques (âge, sexe, situation familiale)
  • Données sur le mode de vie et habitudes (alimentation, activité physique)
  • Informations sur les traitements médicaux en cours
  • Les données des professionnels de santé (nom, fonctions, participation à l’étude)

Un examen des caractéristiques spécifiques de chaque type de données est nécessaire pour s’assurer de leur pertinence pour l’étude.

Données exclues de la MR001

Sont strictement exclues : les données de géolocalisation précise, le NIR (numéro de sécurité sociale), les opinions politiques, les données religieuses, les données pénales et judiciaires. La nature des données collectées doit être soigneusement évaluée pour respecter ces exclusions.

Comment déclarer une étude sous MR001 ?

La procédure de déclaration MR001 implique que le promoteur doit :

  1. Réaliser une déclaration de conformité via le formulaire en ligne officiel de la CNIL
  2. S’engager formellement à respecter tous les principes de la méthodologie avec un engagement de conformité détaillé
  3. Tenir un registre détaillé des recherches s’appuyant sur la MR001
  4. Effectuer une analyse d’impact (AIPD) si nécessaire selon les critères définis
  5. Désigner un DPO compétent pour superviser la conformité

Quel est le rôle du DPO dans un projet de recherche ?

Le délégué à la protection des données (DPO) joue un rôle clé dans l’application de la MR001 :

  • Il doit être clairement identifié dans la note d’information remise aux participants
  • Il assure la conformité de chaque projet de recherche aux exigences réglementaires
  • Il peut être contacté directement par les patients pour toute question liée au traitement de leurs données personnelles
  • Il supervise la mise en œuvre des mesures de sécurité appropriées

Recommandation pratique : Les coordonnées du DPO doivent être facilement accessibles et systématiquement communiquées dans tous les supports d’information remis aux patients participants.

Quelles sont les conditions de conservation des données ?

La MR001 fixe des durées de conservation spécifiques :

Pour les données des patients

  • Jusqu’à la mise sur le marché du produit étudié, ou
  • 2 ans après la dernière publication scientifique, ou
  • 2 ans après la signature du rapport final d’étude

Pour les données des professionnels de santé

  • Conservation possible jusqu’à 15 ans après la dernière recherche impliquant ces professionnels

Phase d’archivage : Les données doivent ensuite être archivées sur support papier ou numérique, de manière sécurisée et conforme à la réglementation en vigueur, avec accès strictement limité.

Que dit la MR001 concernant les transferts hors Union européenne ?

La méthodologie MR001 autorise le transfert de certaines données hors UE sous conditions strictes :

Données transférables

  • Les données indirectement identifiantes des patients (données pseudonymisées)
  • Les données identifiantes des professionnels de santé participant à la recherche

Conditions impératives

Le transfert hors UE doit être :

  • Strictement nécessaire à la conduite de la recherche
  • Accompagné de garanties appropriées (clauses contractuelles types, mesures de sécurité renforcées)
  • Déclaré et documenté dans le registre des traitements

Quels sont les droits des personnes et les obligations d’information ?

Chaque participant à une recherche sous MR001 doit être informé de manière claire et complète :

  • Du caractère volontaire de sa participation et de la possibilité de retrait
  • Des données utilisées et de leur finalité scientifique précise
  • De ses droits (accès, rectification, opposition, effacement sous conditions)
  • Des éventuels transferts de données hors UE et de leurs garanties
  • Des coordonnées du DPO et du responsable de traitement

L’information du patient est obligatoire et doit répondre scrupuleusement aux exigences de l’article 13 du RGPD : finalité de la recherche, base légale, durée de conservation, droits exercables, destinataires des données, modalités de transfert hors UE le cas échéant.

Deux formats sont recommandés pour informer les personnes :

  • Une note d’information personnelle doit être remise individuellement à chaque patient participant, détaillant spécifiquement l’étude concernée.
  • Une information générale doit être affichée dans les lieux de soins via des panneaux d’affichage ou des espaces d’accueil, informant l’ensemble des patients des recherches menées dans l’établissement. Cela peut être également ajouté dans le livret d’accueil de l’établissement ou encore sur le site internet.

Cette approche garantit une recherche des patients éthique et conforme aux standards européens.

Cas particuliers : L’information est renforcée pour les mineurs, les majeurs protégés, ou les personnes temporairement hors d’état de consentir (intervention des représentants légaux ou personnes de confiance désignées).

Limites de la MR001 : dans quels cas ne s’applique-t-elle pas ?

Cette image montre un professionnel de santé saisissant des données de patients dans un système sécurisé. La méthodologie MR001 encadre strictement la collecte et l’enregistrement des données personnelles dans les recherches médicales avec consentement.

La méthodologie MR001 ne couvre pas certains types de recherches :

  • Les recherches sans consentement → voir méthodologie MR002
  • Les recherches rétrospectives sans inclusion directe de nouveaux participants
  • Le traitement simultané de données de santé et de données identifiantes par un même sous-traitant
  • L’usage de certaines données interdites (géocodage précis, NIR complet)
  • Les essais cliniques par grappes nécessitant une approche spécifique

Solution alternative : Dans ces cas exclus, une demande d’autorisation spécifique auprès de la CNIL reste nécessaire, avec un délai d’instruction plus long.

Que risque-t-on en cas de non-conformité ?

En cas de non-respect de la MR001, les sanctions peuvent être lourdes :

  • La CNIL peut prononcer un rappel à l’ordre ou une amende pouvant atteindre 4% du chiffre d’affaires
  • Le traitement peut être suspendu immédiatement par décision administrative
  • L’étude peut être remise en cause par un CPP (Comité de Protection des Personnes) ou l’ANSM
  • Le patient peut exercer un recours et demander réparation du préjudice subi

Prévention des risques : La mise en place d’une politique de sécurité robuste et d’un registre de conformité détaillé est essentielle pour éviter ces sanctions.

Conclusion

La méthodologie de référence MR001 est un outil puissant pour simplifier la conformité RGPD dans le cadre des recherches en santé. Elle permet un cadre clair, sécurisé et pré-validé par la CNIL, à condition d’en maîtriser parfaitement les exigences et contraintes.

Cette méthodologie MR001 représente un gain de temps considérable pour les promoteurs de recherche tout en garantissant une protection optimale des données personnelles des participants.

Chez Dipeeo, en tant que DPO externe déclaré à la CNIL nous accompagnons les acteurs de la santé à chaque étape de leur projet de recherche : déclaration de conformité, rédaction des documents d’information, réalisation de l’analyse d’impact (AIPD) et suivi réglementaire dans la durée.

Experts du secteur santé avec plus de 150 projets accompagnés, nous avons conçu des audits spécifiquement adaptés aux recherches médicales.
Notre questionnaire, clair et pratique, a été développé par nos juristes et anciens avocats spécialisés en santé. Il vous permet d’analyser vos traitements de données et de cadrer juridiquement votre projet dès les premières étapes. 🎥 Découvrez-le en vidéo.

Pour aller plus loin, consultez la fiche officielle MR001 sur le site de la CNIL ou télécharger notre guide pratique RGPD Santé dédié aux acteurs de la santé.

Anaïs GUILLOTON
Anaïs GUILLOTON

Liens utiles

Ressources

Autres

© 2025 Dipeeo, tous droits réservés
Conçu par l'agence Moiré