← Tous les articles

redaction

CNIL met à jour MR‑001/MR‑003 : mode d’emploi opérationnel (26/05)

La CNIL actualise MR‑001 et MR‑003 et publie des grilles de conformité. Effet immédiat pour les recherches en santé menées en France, avec impact pour des sponsors luxembourgeois impliquant des patients ou des sites français.

Par Veille Luxgap 30/05/2026

Résumé. Le 26 mai 2026, la CNIL a mis à jour ses méthodologies de référence MR‑001 (avec consentement) et MR‑003 (sans recueil du consentement), et publié des grilles d’auto‑évaluation. Effet immédiat pour les études relevant du périmètre français.

Les faits

Les nouvelles versions précisent les modalités d’études transfrontalières, l’information dématérialisée, le contrôle qualité/monitoring à distance, et l’accès à des données d’identification. Deux grilles accompagnent ces textes pour aider les promoteurs et équipes à vérifier la conformité.

Cadre légal et fondement

Les MR détaillent les exigences opérationnelles des articles 6, 9(2)(j) et 89 du RGPD (information, base légale, minimisation, durées, sécurité, gouvernance). Pour un rappel des exigences clés, voir notre page dédiée au RGPD et ses articles de référence pour la recherche. La mise à jour aligne aussi la pratique française avec les orientations européennes récentes (lignes directrices EDPB 1/2026).

Impact pour les acteurs luxembourgeois

Qui est concerné. Promoteurs, CRO, hôpitaux privés, biotechs, medtechs et assureurs luxembourgeois menant des recherches impliquant des personnes situées en France, ou traitant en France des données de patients.

Principaux risques. Mauvaise qualification MR‑001/MR‑003, information/consentement non conformes (y compris e‑consent), accès aux données identifiantes insuffisamment encadré, monitoring à distance non prévu, mesures de sécurité/logs d’accès inadéquats.

Délais. Application immédiate aux nouvelles études et aux modifications substantielles. Les études en cours doivent vérifier l’alignement lors du premier amendement majeur et documenter la trajectoire de mise à niveau.

Actions concrètes à entreprendre cette semaine

  • Cartographier vos projets avec sites/patients en France et qualifier l’éligibilité MR‑001 vs MR‑003. Décider entre engagement MR mis à jour ou autorisation CNIL.
  • Mettre à jour l’information des participants (y compris modalités dématérialisées), les formulaires de consentement, le plan de monitoring à distance, l’encadrement des accès aux données identifiantes, la journalisation, le chiffrement et le cloisonnement. Appuyer ces travaux sur les nouvelles grilles CNIL.
  • Revoir la DPIA et la sécurité : tracer la base légale (art. 6), le fondement santé (art. 9(2)(j)), les garanties de l’art. 89 (pseudonymisation, minimisation, contrôles d’accès), et les transferts UE/hors UE, y compris l’authentification forte et la revue d’habilitations.

Aller plus loin

Les promoteurs peuvent sécuriser leurs démarches en s’appuyant sur un accompagnement par un DPO certifié pour le mandat et la gouvernance recherche, notamment pour cadrer la base légale, l’information et les engagements MR. Pour les équipes conformité au Luxembourg, notre page RGPD Luxembourg et relations avec la CNPD aide à articuler les exigences nationales avec les études multi‑pays impliquant des sites français.

Besoin d’un point rapide sur votre étude ou d’un audit documentaire avant soumission ? Contactez nos équipes.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.

veille actualite rgpd cnil sante luxembourg recherche-clinique
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →