Blog
Conformité RGPD et bonnes pratiques

Méthodologies de référence (MR) en santé : lesquelles choisir et comment les utiliser ?

Les MR de la CNIL offrent un cadre prêt à l'emploi pour sécuriser et accélérer les projets de recherche en santé tout en garantissant la conformité au RGPD. Découvrez comment ces outils peuvent simplifier vos procédures et renforcer la confiance dans les données sensibles.

Par
Laurent Chollat-Namy
1
Min
Partagez cet article
Stéthoscope ordinateur données personnelles de santé

Les méthodologies de référence en santé (MR) définies par la CNIL offrent un cadre simplifié pour mener des traitements de données à caractère personnel à des fins de recherche.

Elles permettent aux porteurs de projets d’agir dans un environnement juridiquement sécurisé, sans devoir systématiquement passer par une autorisation préalable.

Conçues pour les projets d’intérêt public, les MR couvrent des situations variées : études sans consentement, recherches observationnelles, appariements de bases, ou réutilisation de données.

Encore faut-il savoir identifier la méthodologie adéquate, respecter ses conditions, et mettre en œuvre les mesures prévues par le RGPD.

Ce guide propose une lecture claire et opérationnelle des MR001 à MR007, accompagnée de conseils pour leur intégration dans une stratégie de gouvernance efficace.
Découvrez comment Adequacy peut vous aider dans votre démarche.

À retenir :

  • Les méthodologies de référence (MR) permettent d’encadrer certains traitements de données santé sans autorisation préalable de la CNIL
  • Sept MR distinctes couvrent des cas variés : recherche sans consentement, appariement, réutilisation, études non interventionnelles, etc.
  • Une déclaration de conformité est obligatoire si le projet respecte toutes les conditions d’une MR
  • Le DPO joue un rôle central dans la validation, la documentation et le suivi des traitements MR
  • Intégrer les MR dans la gouvernance des données permet de fluidifier les projets et de renforcer la conformité RGPD

Comprendre les méthodologies de référence en santé (MR)

Les méthodologies de référence, ou MR, sont un outil juridique et opérationnel mis en place par la CNIL pour encadrer certains traitements de données à caractère personnel à des fins de recherche dans le domaine de la santé. Elles permettent aux responsables de traitement de se dispenser d’une demande d’autorisation individuelle, à condition de respecter un cadre strict prédéfini.

Les MR trouvent leur fondement dans l’article 66 de la loi Informatique et Libertés, modifiée en cohérence avec le RGPD. Elles sont conçues pour sécuriser les projets tout en facilitant l’accès aux données pour des finalités d’intérêt public.

Objectifs et portée des MR

Les MR répondent à un double objectif :

  • Sécuriser les traitements de données personnelles en santé réalisés sans consentement explicite, en garantissant leur conformité au RGPD
  • Alléger les démarches administratives pour les responsables de traitement, en proposant un cadre pré-validé par la CNIL

Elles s’inscrivent dans une logique de confiance, de transparence et d’efficience pour les acteurs de la recherche en santé : hôpitaux, GHT, CHU, instituts, chercheurs, et DPO.

À qui s’adressent les méthodologies de référence ?

Les MR s’adressent aux responsables de traitement publics ou privés (selon les cas) qui souhaitent traiter des données de santé pour :

  • Mener des recherches non interventionnelles ou sans recueil systématique de consentement
  • Réutiliser des données issues de soins ou d’autres recherches
  • Réaliser des études de faisabilité ou des analyses préalables
  • Produire des indicateurs de santé publique

Les organismes concernés doivent exercer une mission d’intérêt public (base légale : article 6-1-e du RGPD).

MR et RGPD : une articulation étroite

Le RGPD encadre strictement le traitement des données de santé, considérées comme sensibles. À ce titre, l’article 9 du RGPD pose le principe d’interdiction de traitement, sauf exceptions, dont font partie :

  • Le consentement explicite (article 9.2.a)
  • L’intérêt public en matière de santé publique (article 9.2.i)
  • La recherche scientifique (article 9.2.j)

Les MR s'appuient en particulier sur les deux dernières exceptions, en précisant les conditions concrètes à respecter pour garantir une protection adéquate des droits des personnes.

Les bénéfices pour les responsables de traitement

S’inscrire dans une MR permet :

  • De gagner du temps : la déclaration remplace la demande d’autorisation
  • D’agir dans un cadre stabilisé, clair et validé par la CNIL
  • D’anticiper la conformité RGPD dès la conception du projet
  • De rassurer les parties prenantes (patients, usagers, tutelles)

À noter : une MR ne s’applique que si toutes les conditions sont respectées. À défaut, une demande d’autorisation spécifique reste nécessaire.

Le saviez-vous ?

Une méthodologie de référence n'est pas une simple formalité. Elle engage la responsabilité du responsable de traitement, qui doit démontrer sa conformité à tout moment.

Détail des méthodologies de référence MR001 à MR007

Les méthodologies de référence définies par la CNIL permettent d’encadrer différents types de traitements de données à des fins de recherche dans le domaine de la santé. Chaque MR correspond à une typologie de projet spécifique. Voici un panorama des MR de 1 à 7, avec leurs champs d’application, exigences et particularités.

MR Consentement requis ? Type de données utilisées Exemples / Finalité principale Points clés / Exigences
MR001 – Recherche sans consentement dans bases médico-administratives Non Bases médico-administratives (SNDS, PMSI) pseudonymisées Études scientifiques impossibles à mener avec consentement Pas de croisement avec données identifiantes, traçabilité des accès
MR002 – Recherche avec appariement de bases Non Données issues de plusieurs sources (hospitalières + SNDS, etc.) Recherche multi-source, appariements Séparation identifiants/données, contrôle d'intégrité, implication DPO
MR003 – Recherche non interventionnelle avec consentement Oui (écrit ou électronique) Données issues de soins ou recueillies spécifiquement Études observationnelles, suivi en médecine de ville Information claire, protocole + comité éthique
MR004 – Recherche interventionnelle sans risque/contrainte Oui Données collectées via interventions légères Tests de questionnaires, mesures physiologiques simples Avis CPP, justification du caractère non contraignant
MR005 – Études de faisabilité / pré-screenings Non Données pseudonymisées (accès limité) Évaluer la faisabilité avant projet de recherche Durée limitée, pas de réutilisation secondaire sans nouvelle déclaration
MR006 – Réutilisation de données collectées Non (si finalité compatible) Données déjà collectées pour soins ou recherche Réutilisation via entrepôts de données Comité de gouvernance, respect compatibilité art. 5.1.b RGPD
MR007 – Études de santé publique sur bases existantes Non (portage institutionnel) Données existantes (SNDS, registres, etc.) Épidémiologie, suivi indicateurs territoriaux Portage public obligatoire, finalité d'intérêt public
MR001 – Recherche sans consentement dans bases médico-administratives
Consentement requis ?Non
Type de donnéesBases médico-administratives (SNDS, PMSI) pseudonymisées
FinalitéÉtudes scientifiques impossibles à mener avec consentement
Points clésPas de croisement avec données identifiantes, traçabilité des accès
MR002 – Recherche avec appariement de bases
Consentement requis ?Non
Type de donnéesDonnées issues de plusieurs sources (hospitalières + SNDS, etc.)
FinalitéRecherche multi-source, appariements
Points clésSéparation identifiants/données, contrôle d'intégrité, implication DPO
MR003 – Recherche non interventionnelle avec consentement
Consentement requis ?Oui (écrit ou électronique)
Type de donnéesDonnées issues de soins ou recueillies spécifiquement
FinalitéÉtudes observationnelles, suivi en médecine de ville
Points clésInformation claire, protocole + comité éthique
MR004 – Recherche interventionnelle sans risque/contrainte
Consentement requis ?Oui
Type de donnéesDonnées collectées via interventions légères
FinalitéTests de questionnaires, mesures physiologiques simples
Points clésAvis CPP, justification du caractère non contraignant
MR005 – Études de faisabilité / pré-screenings
Consentement requis ?Non
Type de donnéesDonnées pseudonymisées (accès limité)
FinalitéÉvaluer la faisabilité avant projet de recherche
Points clésDurée limitée, pas de réutilisation secondaire sans nouvelle déclaration
MR006 – Réutilisation de données collectées
Consentement requis ?Non (si finalité compatible)
Type de donnéesDonnées déjà collectées pour soins ou recherche
FinalitéRéutilisation via entrepôts de données
Points clésComité de gouvernance, respect compatibilité art. 5.1.b RGPD
MR007 – Études de santé publique sur bases existantes
Consentement requis ?Non (portage institutionnel)
Type de donnéesDonnées existantes (SNDS, registres, etc.)
FinalitéÉpidémiologie, suivi indicateurs territoriaux
Points clésPortage public obligatoire, finalité d'intérêt public

Comment se mettre en conformité avec les méthodologies de référence (MR)

Le respect d’une méthodologie de référence ne repose pas uniquement sur une simple déclaration à la CNIL. Il suppose la mise en œuvre d’un ensemble de mesures juridiques, organisationnelles et techniques visant à garantir un haut niveau de conformité au RGPD et à la loi Informatique et Libertés.

Voici les étapes et outils clés pour se mettre en conformité dans le cadre d’un projet relevant d’une MR.

Étape 1 : Vérifier l’éligibilité du projet à une MR

Avant toute chose, il convient d’identifier si le projet entre dans le périmètre d’une méthodologie de référence. Cela suppose :

  • De connaître les typologies de MR disponibles (voir section précédente)
  • D’analyser la finalité du traitement et les données utilisées
  • D’identifier les bases légales mobilisées (mission d’intérêt public, consentement, etc.)
  • De s’assurer que toutes les conditions de la MR sont strictement respectées

À noter : Si une seule condition manque (ex. : appariement non prévu, données identifiantes conservées sans justification), le projet doit faire l’objet d’une demande d’autorisation spécifique auprès de la CNIL.

Étape 2 : Réaliser une déclaration de conformité

Une fois l’éligibilité confirmée, le responsable de traitement peut déposer une déclaration de conformité en ligne via le téléservice de la CNIL. Lien utile : Déclarer un fichier – CNIL

Informations à fournir :

  • Identité du responsable de traitement
  • Référence de la méthodologie concernée (ex. MR004)
  • Description synthétique du traitement
  • Engagement de conformité

Cette déclaration est obligatoire : un traitement ne peut se prévaloir d’une MR qu’à condition d’avoir été préalablement déclaré.

Étape 3 : Documentation dans le registre des traitements

Le traitement doit être documenté dans le registre RGPD de l’organisme, conformément à l’article 30 du règlement.

Ce registre doit contenir :

  • Le fondement juridique mobilisé (article 6 et, le cas échéant, article 9 du RGPD)
  • Les catégories de données et de personnes concernées
  • Les durées de conservation
  • Les mesures de sécurité
  • Le recours ou non à une MR

Le DPO doit pouvoir produire ce registre à tout moment en cas de contrôle de la CNIL.

Étape 4 : Réalisation d’une analyse d’impact (AIPD)

Selon le niveau de risque du traitement, une AIPD (analyse d’impact relative à la protection des données) peut être requise.

L’AIPD est obligatoire si :

  • Les données sont sensibles (ex : génétiques, biométriques)
  • Le volume ou le périmètre du traitement est important
  • Le traitement implique une prise de décision automatisée ou un suivi comportemental

Contenu attendu :

  • Description du traitement
  • Évaluation de la nécessité et de la proportionnalité
  • Analyse des risques pour les droits et libertés
  • Mesures prévues pour réduire les risques identifiés

Une méthodologie de référence ne dispense jamais d’une AIPD si le projet le nécessite.

Étape 5 : Implication du DPO et mise en place de procédures internes

Le DPO (délégué à la protection des données) joue un rôle de conseil et de contrôle dans les projets fondés sur une MR. Ses missions incluent :

  • L’analyse du projet avant déclaration
  • Le contrôle de la documentation
  • L’accompagnement à la rédaction de l’AIPD
  • Le suivi des engagements de conformité dans le temps

Il est conseillé de formaliser une procédure type en interne pour les projets MR, avec une check-list et un circuit de validation.

Encadré – Déclaration ou autorisation?

Situation du projet Procédure à suivre
Projet 100 % conforme à une MR Déclaration de conformité
Projet partiellement conforme (1 critère manquant) Demande d’autorisation CNIL
Projet hors champ des MR (recherche clinique RIPH) Procédure réglementaire spécifique
Projet fondé sur le consentement explicite uniquement Pas de MR – respect du RGPD requis
Situation du projet Procédure à suivre
Projet 100 % conforme à une MR Déclaration de conformité
Situation du projet Procédure à suivre
Projet partiellement conforme (1 critère manquant) Demande d’autorisation CNIL
Situation Procédure à suivre
Projet hors champ des MR (recherche clinique RIPH) Procédure réglementaire spécifique
Situation du projet Procédure à suivre
Projet fondé sur le consentement explicite uniquement Pas de MR – respect du RGPD requis

Enjeux éthiques, transparence et communication aux personnes

La mise en œuvre d’une méthodologie de référence en santé ne saurait être pleinement conforme sans une attention soutenue aux droits des personnes concernées. Le RGPD impose des exigences strictes en matière d’information, de loyauté du traitement et de garanties éthiques. Ces exigences ne sont pas formelles : elles conditionnent la légitimité sociale de la recherche et la confiance du public.

Informer les personnes concernées : une obligation incontournable

Même lorsque le consentement n’est pas requis, l’obligation d’information des personnes reste une pierre angulaire du RGPD. En particulier, les articles 13 et 14 imposent que les personnes soient informées :

  • De l’existence d’un traitement de leurs données
  • Des finalités poursuivies
  • Des bases légales mobilisées
  • Des droits dont elles disposent (accès, opposition, rectification, etc.)
  • De la durée de conservation
  • Du contact du DPO

L’information doit être :

  • Claire, compréhensible et accessible
  • Proportionnée au contexte de recueil (consultation, hospitalisation, etc.)
  • Adaptée au public visé (usagers, patients, personnes vulnérables)

En pratique, cette information peut être diffusée par affichage, notice remise en main propre, page web dédiée, ou communication via les portails patients.

Cas des données issues de soins antérieurs

Lorsque des données sont issues d’un traitement antérieur (entrepôt de données, dossier médical, etc.) et que les personnes ne sont pas directement contactées, l’article 14 RGPD s’applique. Il prévoit des exceptions à l’information individuelle, notamment lorsque :

  • Elle est impossible ou demande des efforts disproportionnés
  • Elle compromettrait gravement les objectifs du traitement
  • Les personnes concernées disposent déjà des informations

Dans ce cas, l’information doit être rendue publique par des moyens appropriés : affiches dans les établissements, site internet, communication institutionnelle.

Encadrer les réutilisations secondaires

Les méthodologies de référence prévoient des garanties spécifiques pour toute réutilisation des données au sein d’un projet secondaire ou par un tiers. Ainsi :

  • Les projets doivent être validés par un comité scientifique ou éthique
  • Les données ne peuvent être utilisées que dans le cadre prévu initialement, sauf nouvelle déclaration ou autorisation
  • Les destinataires des données doivent être identifiés, habilités et limités au strict nécessaire

Il est interdit d’utiliser les données à des fins commerciales, de promotion ou de tarification des assurances.

Le rôle des comités scientifiques et éthiques

Tout traitement mis en œuvre dans le cadre d’une MR, en particulier ceux traitant de données sensibles ou impliquant une réutilisation, doit être examiné par un comité éthique.

Ce comité :

  • Analyse les risques éthiques du projet
  • Vérifie le respect des finalités prévues
  • Valide ou rejette les demandes d’accès aux données

Composition recommandée :

  • Médecins et chercheurs
  • Professionnels médico-sociaux
  • Personnes indépendantes
  • Représentants des usagers

Cette instance est un rempart contre les dérives et un levier de transparence vis-à-vis des patients et de la société civile.

Bonnes pratiques pour une transparence renforcée

  • Prévoir une notice d’information standardisée
  • Mettre en place une page dédiée sur le site internet
  • Associer un représentant des usagers aux comités
  • Publier régulièrement les projets validés

Intégrer les méthodologies de référence (MR) dans la gouvernance des données santé

Au-delà du respect formel des exigences réglementaires, les établissements de santé et les porteurs de projet ont tout intérêt à intégrer les méthodologies de référence dans une stratégie globale de gouvernance des données. Cette intégration permet de sécuriser les traitements, fluidifier les processus internes et renforcer la cohérence des démarches de conformité.

Des MR au cœur des politiques internes de traitement

Les méthodologies de référence doivent être vues comme des leviers d’organisation, et non comme des contraintes supplémentaires. En effet, elles offrent un cadre opérationnel prêt à l’emploi qui peut être intégré dans :

  • Les procédures de lancement de projet de recherche
  • Les chartes ou politiques internes de protection des données
  • Les documents de gouvernance (schémas directeurs, règlements intérieurs de SIH, etc.)
  • Les dispositifs de contrôle qualité (certifications, accréditations)

Exemple : un établissement peut conditionner la validation d’un projet à la vérification de son éligibilité à une MR dans un circuit de validation interne.

Harmonisation avec les systèmes d'information hospitaliers (SIH)

L’intégration des MR dans le système d'information hospitalier (SIH) passe par plusieurs actions concrètes :

  • Intégration de modèles de fiches projets ou de formulaires de conformité directement dans le DPI ou le logiciel de gestion de la recherche
  • Mise en œuvre de logs de traçabilité des accès aux entrepôts de données
  • Séparation stricte des environnements contenant des données identifiantes et pseudonymisées
  • Automatisation des processus de purge, anonymisation ou archivage selon les durées définies dans les MR

Ces actions renforcent la maîtrise des traitements et facilitent les audits.

Structurer la gouvernance projet autour des MR

Une gouvernance efficace repose sur une implication transversale des parties prenantes. À ce titre, les comités de gouvernance internes peuvent jouer un rôle pivot dans le respect des MR :

  • Un comité de pilotage peut fixer les orientations de conformité
  • Un comité éthique et scientifique peut évaluer la recevabilité des projets selon la MR visée
  • Le DPO participe systématiquement à la validation et au suivi

Astuce : intégrer un représentant du service juridique ou de la direction des affaires médicales dans ce processus peut fluidifier la gestion des risques.

Automatiser et outiller la conformité

Certaines structures ont mis en place des outils numériques dédiés pour automatiser le cycle de vie des traitements MR :

  • Générateurs de registre de traitement préremplis
  • Tableaux de bord de suivi des projets MR (statuts, délais, responsables, etc.)
  • Rappels automatiques de révision ou de purge des données
  • Modules d’export de données pseudonymisées selon des modèles validés

Ces dispositifs améliorent la traçabilité et limitent les erreurs humaines.

Mener des audits et contrôler la conformité en continu

Une bonne gouvernance implique également un dispositif d’évaluation périodique. Cela peut inclure :

  • Des audits internes ciblés sur les traitements MR
  • La vérification des procédures d’information des personnes concernées
  • L’évaluation de la pertinence des données stockées dans les entrepôts
  • Des rapports annuels partagés avec le DPO et la direction

Ces audits doivent s’appuyer sur des indicateurs de conformité, comme :

  • Taux de projets MR déclarés vs non déclarés
  • Délai moyen de validation éthique
  • Pourcentage de projets avec AIPD associée
  • Respect des durées de conservation

Bonnes pratiques à retenir

  • Centraliser la gestion des MR au sein d’une cellule dédiée
  • Former les porteurs de projets aux principes des MR
  • Déployer des guides pratiques ou fiches reflexes
  • Intégrer les MR dans les modules de formation RGPD

FAQ : méthodologies de référence et obligations CNIL

  • Faut-il toujours informer les patients dans le cadre d’une MR ?

Oui. Même sans recueil de consentement, les personnes concernées doivent être informées de l’existence du traitement, conformément au RGPD (articles 13 et 14).

  • Peut-on utiliser une MR pour un projet de recherche clinique ?

Non. Les recherches impliquant la personne humaine (RIPH) sont encadrées par un autre régime réglementaire et nécessitent une autorisation spécifique.

  • Comment savoir si un projet est éligible à une MR ?

Il faut vérifier si le projet correspond aux finalités, bases légales et conditions précisées dans l’une des méthodologies de référence publiées par la CNIL.

  • Peut-on déposer un projet MR en tant que structure privée ?

Oui, sous réserve que la structure exerce une mission d’intérêt public et respecte toutes les conditions prévues dans la méthodologie applicable.

  • Une MR remplace-t-elle une AIPD ?

Non. Si le traitement présente un risque élevé, une analyse d’impact reste obligatoire, même si le projet entre dans le cadre d’une méthodologie de référence.

Les dernières actus

Conformité RGPD et bonnes pratiques

Rédiger une politique de confidentialité et des mentions d’information conformes au RGPD, claires, transparentes et accessibles à tous

Rédiger une politique de confidentialité conforme au RGPD est un passage essentiel pour inspirer confiance et assurer la transparence dans le traitement des données personnelles. Ce guide pratique explique comment concevoir des documents lisibles, accessibles et efficaces pour vos utilisateurs.

Anne-Angélique de Tourtier
Conformité RGPD et bonnes pratiques

RGPD et Ressources Humaines : les 5 erreurs qui coûtent cher aux entreprises

Les Ressources Humaines sont en première ligne du RGPD : recrutement, paie, formation, santé au travail… chaque étape expose les données personnelles des salariés. Conservation excessive, envois d’emails erronés ou contrats incomplets : ces erreurs coûtent cher. Adopter les bons réflexes permet aux RH d’assurer la conformité et de renforcer la confiance des collaborateurs.

Guillemette Songy
Produit

Adequacy V6.1 : le logiciel RGPD qui intègre la conformité à l’AI Act

Adequacy V6.1 centralise la conformité RGPD et AI Act en offrant aux DPO, juristes et responsables conformité une solution modulable pour cartographier, évaluer et piloter leurs Systèmes et modèles d’IA tout en automatisant les obligations réglementaires européennes.

Alessandro Fiorentino

Ils nous font confiance depuis des années

Utilisé par plus de 10 000 entités juridiques

Découvrez Adequacy

Un de nos experts vous présente comment Adequacy s’adapte à votre réalité terrain.
Demander un devis