MR-001 et MR-003 : quelles formalités à réaliser ?

Objectif du questionnaire

L’objectif de ce questionnaire est de permettre à chaque acteur intervenant dans une recherche en santé, en cours ou non débutée, de déterminer les formalités à réaliser suite à la publication le 23 mai 2026 des méthodologies de référence 001 et 003.

Une recherche est considérée comme ayant débuté dès lors que les données personnelles relatives à la personne participant ou sollicitée pour participer à la recherche sont traitées (par exemple, l’envoi d’une information RGPD ou l’inclusion dans l’étude).

Ce questionnaire remplit un objectif informatif et d’accompagnement au changement. Les informations saisies dans ce questionnaire ne font pas l’objet d’une conservation par la CNIL.

Les réponses fournies à l’issue de ce questionnaire sont établies uniquement sur la base des informations renseignées par l’utilisateur. Elles sont données à titre indicatif et n’engagent pas la CNIL.


 

Votre recherche est-elle soumise à formalités préalables (déclaration de conformité ou demande d’autorisation) ?

 

Même si votre recherche n’est pas soumise à formalités, votre organisme est tenu de :

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !

 

Pour obtenir cette information, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !

Astuce : La liste des formalités préalables adressées à la CNIL avant le 25 mai 2018 est disponible sur le site de la CNIL et la liste des formalités accomplies après le 25 mai 2018 est disponible sur le site data.gouv.fr. Ces listes sont également disponibles sur la page Open CNIL.

Nous vous invitons également à consulter la page Recherches dans le cadre de la santé : quelles sont les formalités ? et réaliser les différentes étapes indiquées dans celle-ci.

Si votre recherche implique le développement ou l’évaluation d’un système d’intelligence artificielle, vous pouvez consulter la page IA et santé : développer et évaluer des systèmes d’IA en conformité avec la réglementation.

  

Quelle est la qualification de votre recherche ?

 

 

La méthodologie de référence (MR) applicable est la MR-001

 

 

La méthodologie de référence (MR) applicable est la MR-003

 

La qualification de votre recherche est une étape indispensable pour déterminer la méthodologie de référence (MR) applicable. Pour obtenir cette information, rapprochez-vous du service compétent de votre organisme (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe ! 

Vous pouvez également consulter la fiche « Recherches dans le cadre de la santé : quelles sont les formalités ? » qui récapitule les différentes formalités à réaliser en fonction de la qualification de votre recherche. Si votre recherche porte sur un produit de santé innovant, vous pouvez également vous adresser au guichet orientation et innovation de l’Agence nationale du médicament et des produits de santé - Guichet Innovation et Orientation (GIO) - ANSM.

    

Au 23 mai 2026, le traitement de données personnelles associé à votre recherche a-t-il commencé ?

    

Votre organisme a-t-il déjà réalisé une déclaration de conformité à la MR applicable publiée le 23 mai 2026 ou à une précédente version de cette MR (version 2006, version 2016 ou version 2018) ?

 

Pour obtenir cette information, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe ! 

Astuce : La liste des formalités préalables adressées à la CNIL avant le 25 mai 2018 est disponible sur le site de la CNIL et la liste des formalités accomplies après le 25 mai 2018 est disponible sur le site data.gouv.fr. Ces listes sont également disponibles sur la page Open CNIL.

 

Vous trouverez ci-dessous une liste des étapes à mettre en œuvre avant le début de votre recherche :

  1. Anticiper les formalités préalables auprès de la CNIL : consulter la MR applicable (version simple ou annotée) et ses annexes « sécurité » et « contrôle qualité » et remplir la grille de conformité.
  2. Obtenir l’avis du comité éthique compétent (en France un comité de protection des personnes - CPP) et réaliser les formalités auprès des agences sanitaires compétentes (en France l’Agence nationale du médicament et des produits de santé - ANSM).
  3. Réaliser les formalités auprès de la CNIL. En fonction du résultat obtenu lors du remplissage de la grille de conformité, deux options sont envisageables :

Option 1 : Votre recherche est conforme à l’ensemble des dispositions de la MR applicable dont ses annexes « sécurité » et « contrôle qualité » – votre organisme ayant déjà réalisé une déclaration de conformité à la version 2026 de la MR applicable ou une de ses précédentes versions, il n’est pas nécessaire d’en réaliser une nouvelle. Cette conformité devra être documentée en interne par la mise à jour du registre des activités de traitement et la réalisation d’une analyse d’impact relative à la protection des données.

À noter : si la recherche est mise en œuvre dans le cadre d’une responsabilité conjointe de traitement, chaque responsable de traitement doit s’assurer avoir réalisé une déclaration de conformité (à une précédente version de la MR applicable ou celle du 23 mai 2026)

Option 2 : Votre recherche n’est pas conforme à une ou plusieurs dispositions de la MR applicable dont ses annexes « sécurité » et « contrôle qualité » – une demande d’autorisation auprès de la CNIL doit être sollicitée avant la mise en œuvre de votre recherche. Avant de soumettre votre dossier, nous vous invitons à consulter la page « Demande d’autorisation d’une recherche en santé : les informations à fournir et les critères d’octroi »

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

A️ttention : La version 2026 de la MR applicable impose la mise en place d’une authentification multifacteur (MFA) à compter du :
  • 1er janvier 2027 pour les services, les systèmes d’information ou les outils numériques utilisés dans le cadre de la recherche et accessibles via le web ;
     
  • 1er janvier 2028 pour les autres systèmes d’information, services, systèmes d’information ou outils numériques utilisés dans le cadre de la recherche.

 

Vous trouverez ci-dessous une liste des étapes à mettre en œuvre avant le début de votre recherche :

  1. Anticiper les formalités préalables auprès de la CNIL : consulter la MR applicable (version simple ou annotée) et ses annexes « sécurité » et « contrôle qualité » et remplir la grille de conformité.
  2. Obtenir l’avis du comité éthique compétent (en France un comité de protection des personnes - CPP) et réaliser les formalités auprès des agences sanitaires compétentes (en France l’Agence nationale du médicament et des produits de santé - ANSM).
  3. Réaliser les formalités auprès de la CNIL. En fonction du résultat obtenu lors du remplissage de la grille de conformité, deux options sont envisageables :

Option 1 : Votre recherche est conforme à l’ensemble des dispositions de la MR applicable dont ses annexes « sécurité » et « contrôle qualité » – votre organisme peut mettre en œuvre la recherche dans le cadre d’une déclaration de conformité à la MR applicable. Cette conformité devra être documentée en interne par la mise à jour du registre des activités de traitement et la réalisation d’une analyse d’impact relative à la protection des données.

À noter : si la recherche est mise en œuvre dans le cadre d’une responsabilité conjointe de traitement, chaque responsable de traitement doit s’assurer avoir réalisé une déclaration de conformité (à une précédente version de la MR applicable ou celle du 23 mai 2026)

Option 2 : Votre recherche n’est pas conforme à une ou plusieurs dispositions de la MR applicable dont ses annexes « sécurité » et « contrôle qualité » –une demande d’autorisation auprès de la CNIL doit être sollicitée avant le début de votre recherche.

Avant de soumettre votre dossier, nous vous invitons à consulter la page « Demande d’autorisation d’une recherche en santé : les informations à fournir et les critères d’octroi »


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

A️ttention : La version 2026 de la MR applicable impose la mise en place d’une authentification multifacteur (MFA) à compter du :

  • 1er janvier 2027 pour les services, les systèmes d’information ou les outils numériques utilisés dans le cadre de la recherche et accessibles via le web ;
     
  • 1er janvier 2028 pour les autres systèmes d’information, services, systèmes d’information ou outils numériques utilisés dans le cadre de la recherche.

    

Quelle formalité préalable auprès de la CNIL a été réalisée pour la mise en œuvre de cette recherche ?

 

Pour obtenir cette information, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !

Astuce : La liste des formalités préalables adressées à la CNIL avant le 25 mai 2018 est disponible sur le site de la CNIL et la liste des formalités accomplies après le 25 mai 2018 est disponible sur le site data.gouv.fr. Ces listes sont également disponibles sur la page Open CNIL.

    

Envisagez-vous de réaliser une modification substantielle du traitement associé à cette recherche ?

Exemples non exhaustifs de modifications substantielles impactant le traitement des données : réalisation d’un contrôle qualité à distance, ajout d’une catégorie de données, envoi de la note d’information par voie électronique, etc.

Pour en savoir plus : Modifications des traitements de données soumis à formalités : quelles démarches ?

Envisagez-vous de réaliser une modification substantielle du traitement associé à cette recherche ?

 

Les modifications non-substantielles n’ont pas à faire l’objet de nouvelles formalités auprès de la CNIL. Le traitement de données associé à votre recherche peut se poursuivre dans le cadre de l’autorisation délivrée par la CNIL, sous réserve que ce traitement reste conforme aux dispositions de celle-ci.

Cette modification devra être documentée en interne par la mise à jour du registre des activités de traitement et de l’analyse d’impact relative à la protection des données de votre recherche.

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

Attention : Le responsable de traitement doit garantir la protection des données personnelles pendant toute la durée du traitement. La CNIL vous recommande de prendre connaissance de la MR applicable (version 2026) et notamment son annexe sécurité. En effet, les mesures décrites dans cette annexe correspondent aux précautions élémentaires de sécurité informatique. Si ces mesures ne sont pas déjà mises en œuvre, il convient de mettre en place un plan d’actions afin de s’y conformer dans un délai d’un an suivant la date de publication de la MR applicable.

 

Pour obtenir cette information :


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

    

Cette modification substantielle est-elle couverte par la MR applicable publiée le 23 mai 2026 ?

 

Pour obtenir cette information :

  • Rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !
     
  • Consultez la MR applicable (version 2026) et remplissez la grille de conformitée associée. Une synthèse des principales modifications est disponible sur le site web de la CNIL.

Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

 

La modification substantielle envisagée n’est pas conforme à la MR applicable (version 2026) et ne peut pas être mise en œuvre dans le cadre de déclaration de conformité à la MR applicable déjà réalisée par votre organisme. Ce dernier est tenu de solliciter une demande d’autorisation auprès de la CNIL.

Avant de soumettre votre demande :

  • Identifiez les points de non-conformité à la MR applicable en remplissant la grille de conformité associée ;
     
  • Vérifiez que de nouvelles formalités ne sont pas à réaliser auprès d’un comité éthique (en France un comité de protection des personnes - CPP) et/ou auprès des agences sanitaires compétentes (en France l’Agence nationale du médicament et des produits de santé - ANSM).

Vous êtes également invités à consulter la page « Demande d’autorisation d’une recherche en santé : les informations à fournir et les critères d’octroi »

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

Attention : Le responsable de traitement doit garantir la protection des données personnelles pendant toute la durée du traitement. La CNIL vous recommande de prendre connaissance de la MR applicable (version 2026) et notamment son annexe sécurité. En effet, les mesures décrites dans cette annexe correspondent aux précautions élémentaires de sécurité informatique. Si ces mesures ne sont pas déjà mises en œuvre, il convient de mettre en place un plan d’actions afin de s’y conformer dans un délai d’un an suivant la date de publication de la MR applicable.

 

La modification substantielle envisagée n’est pas conforme à la MR applicable (version 2026) et ne peut pas être mise en œuvre dans le cadre d’une déclaration de conformité à la MR applicable. Votre organisme est tenu de solliciter une demande d’autorisation modificative auprès de la CNIL. Le formulaire à compléter dépend de la date de dépôt de la demande initiale d'autorisation :

  • Pour les demandes déposées avant le 10 décembre 2025 via ce formulaire ;
     
  • Pour les demandes déposées après le 10 décembre 2025 via ce formulaire en précisant dans la rubrique « Nom du projet » : « modification autorisation N° [indiquer la référence de la demande d'autorisation initiale] ».

Avant de soumettre votre demande :

  • Identifiez les points de non-conformité à la MR applicable en remplissant la grille de conformité associée ;
     
  • Vérifiez que de nouvelles formalités ne sont pas à réaliser auprès d’un comité éthique (en France un comité de protection des personnes - CPP) et/ou auprès des agences sanitaires compétentes (en France l’Agence nationale du médicament et des produits de santé - ANSM).

Vous êtes également invités à consulter la page « Demande d’autorisation d’une recherche en santé : les informations à fournir et les critères d’octroi »

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

Attention : Le responsable de traitement doit garantir la protection des données personnelles pendant toute la durée du traitement. La CNIL vous recommande de prendre connaissance de la MR applicable (version 2026) et notamment son annexe sécurité. En effet, les mesures décrites dans cette annexe correspondent aux précautions élémentaires de sécurité informatique. Si ces mesures ne sont pas déjà mises en œuvre, il convient de mettre en place un plan d’actions afin de s’y conformer dans un délai d’un an suivant la date de publication de la MR applicable.

   

La modification envisagée rend-elle le traitement associé à votre recherche entièrement conforme à la MR applicable publiée le 23 mai 2026 et ses annexes sécurité et contrôle qualité ?

Autrement dit, la modification substantielle réalisée lève-t-elle tous les points de non-conformité qui ont initialement justifié une demande d’autorisation auprès de la CNIL ?

Exemples de modifications substantielles précédemment exclues des MR et désormais couvertes par les MR publiées le 23 mai 2026 : dérogation à l’information préalable des personnes en raison d’inclusion en urgence vitale, réalisation d’un contrôle qualité à distance conforme à l’annexe dédiée, cumul par un même sous-traitant plusieurs missions dans le cadre de la recherche, transfert des données administratives vers un pays adéquat, etc.

La modification envisagée rend-elle le traitement associé à votre recherche entièrement conforme à la MR applicable publiée le 23 mai 2026 et ses annexes sécurité et contrôle qualité ?

 

Pour obtenir cette information :

  • Rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !
     
  • Consultez la MR applicable publiée le 23 mai 2026 et remplissez la grille de conformité associée.

Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

 

Même si la modification substantielle envisagée est conforme à la MR applicable, certaines autres caractéristiques de votre traitement n’y sont pas conformes. Votre organisme est tenu de solliciter une demande d’autorisation modificative auprès de la CNIL. Le formulaire à compléter dépend de la date de dépôt de la demande initiale d'autorisation :

  • Pour les demandes déposées avant le 10 décembre 2025 via ce formulaire ;
     
  • Pour les demandes déposées après le 10 décembre 2025 via ce formulaire en précisant dans la rubrique « Nom du projet » : « modification autorisation N° [indiquer la référence de la demande d'autorisation initiale] ».

Avant de soumettre votre demande :

  • Identifiez les points de non-conformité à la MR applicable en remplissant la grille de conformité associée ;
     
  • Vérifiez que de nouvelles formalités ne sont pas à réaliser auprès d’un comité éthique (en France un comité de protection des personnes - CPP) et/ou auprès des agences sanitaires compétentes (en France l’Agence nationale du médicament et des produits de santé - ANSM).

Vous êtes également invités à consulter la page « Demande d’autorisation d’une recherche en santé : les informations à fournir et les critères d’octroi »

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

Attention : Le responsable de traitement doit garantir la protection des données personnelles pendant toute la durée du traitement. La CNIL vous recommande de prendre connaissance de la MR applicable (version 2026) et notamment son annexe sécurité. En effet, les mesures décrites dans cette annexe correspondent aux précautions élémentaires de sécurité informatique. Si ces mesures ne sont pas déjà mises en œuvre, il convient de mettre en place un plan d’actions afin de s’y conformer dans un délai d’un an suivant la date de publication de la MR applicable.

    

Votre organisme a-t-il déjà réalisé une déclaration de conformité à une version de la MR applicable (quelle que soit cette version) ?

 

Pour obtenir cette information, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !

Astuce : La liste des formalités préalables adressées à la CNIL avant le 25 mai 2018 est disponible sur le site de la CNIL et la liste des formalités accomplies après le 25 mai 2018 est disponible sur le site data.gouv.fr. Ces listes sont également disponibles sur la page Open CNIL.

 

Au regard des informations renseignées dans ce questionnaire, votre recherche est conforme à l’ensemble des dispositions de la MR applicable dont ses annexes « sécurité » et « contrôle qualité ».

Préalablement à la mise en œuvre de la modification envisagée, votre organisme est tenu de réaliser une déclaration de conformité à la MR applicable.

Cette conformité devra être documentée en interne par la mise à jour du registre des activités de traitement et de l’analyse d’impact relative à la protection des données de votre recherche.

À noter :

Une déclaration de conformité vaut pour l’ensemble des traitements d’un même responsable de traitement entrant dans le champ de la MR concernée. Il ne sera pas nécessaire de procéder à une nouvelle déclaration de conformité pour chaque recherche qui sera menée conformément à la MR applicable.

Si la recherche est mise en œuvre dans le cadre d’une responsabilité conjointe de traitement, chaque responsable de traitement doit s’assurer avoir réalisé une déclaration de conformité (à une précédente version de la MR applicable ou celle du 23 mai 2026)

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

Attention :

La version 2026 de la MR applicable impose la mise en place d’une authentification multifacteur (MFA) à compter du :

  • 1er janvier 2027 pour les services, les systèmes d’information ou les outils numériques utilisés dans le cadre de la recherche et accessibles via le web ;
     
  • 1er janvier 2028 pour les autres systèmes d’information, services, systèmes d’information ou outils numériques utilisés dans le cadre de la recherche.

 

Au regard des informations renseignées dans ce questionnaire, le traitement associé à votre recherche est conforme à l’ensemble des dispositions de la MR applicable (version 2026) dont ses annexes « sécurité » et « contrôle qualité ».

Votre organisme ayant déjà réalisé une déclaration de conformité à la MR applicable (quelle que soit sa version), il n’est pas nécessaire d’en réaliser une nouvelle. Cette conformité devra être documentée en interne par la mise à jour du registre des activités de traitement et la réalisation d’une analyse d’impact relative à la protection des données.

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !

À noter : 

Une déclaration de conformité vaut pour l’ensemble des traitements d’un même responsable de traitement entrant dans le champ de la MR concernée. Il ne sera pas nécessaire de procéder à une nouvelle déclaration de conformité pour chaque recherche qui sera menée conformément à la MR applicable.

Si la recherche est mise en œuvre dans le cadre d’une responsabilité conjointe de traitement, chaque responsable de traitement doit s’assurer avoir réalisé une déclaration de conformité (à une précédente version de la MR applicable ou celle du 23 mai 2026)


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

Attention :

La version 2026 de la MR applicable impose la mise en place d’une authentification multifacteur (MFA) à compter du :

  • 1er janvier 2027 pour les services, les systèmes d’information ou les outils numériques utilisés dans le cadre de la recherche et accessibles via le web ;
     
  • 1er janvier 2028 pour les autres systèmes d’information, services, systèmes d’information ou outils numériques utilisés dans le cadre de la recherche.

    

À quelle version de la MR applicable la déclaration de conformité a-t-elle été réalisée ?

 

Les modifications non-substantielles ne nécessitent pas de nouvelles formalités auprès de la CNIL, sous réserve que le traitement de données dans son ensemble demeure conforme aux dispositions de la MR applicable. Le traitement de données associé à votre recherche peut se poursuivre dans le cadre de la déclaration de conformité déjà réalisée par votre organisme.

Cette modification devra être documentée en interne par la mise à jour du registre des activités de traitement et de l’analyse d’impact relative à la protection des données de votre recherche.

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !

À noter : 

Une déclaration de conformité vaut pour l’ensemble des traitements d’un même responsable de traitement entrant dans le champ de la MR concernée. Il ne sera pas nécessaire de procéder à une nouvelle déclaration de conformité pour chaque recherche qui sera menée conformément à la MR applicable.

Si la recherche est mise en œuvre dans le cadre d’une responsabilité conjointe de traitement, chaque responsable de traitement doit s’assurer avoir réalisé une déclaration de conformité (à une précédente version de la MR applicable ou celle du 23 mai 2026)


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

Attention : Le responsable de traitement doit garantir la protection des données personnelles pendant toute la durée du traitement. La CNIL vous recommande de prendre connaissance de la MR applicable (version 2026) et notamment son annexe sécurité. En effet, les mesures décrites dans cette annexe correspondent aux précautions élémentaires de sécurité informatique. Si ces mesures ne sont pas déjà mises en œuvre, il convient de mettre en place un plan d’actions afin de s’y conformer dans un délai d’un an suivant la date de publication de la MR applicable.

 

Les modifications non-substantielles ne nécessitent pas de nouvelles formalités auprès de la CNIL, sous réserve que le traitement de données dans son ensemble demeure conforme aux dispositions de la MR applicable. Le traitement de données associé à votre recherche peut se poursuivre dans le cadre de la déclaration de conformité déjà réalisée par votre organisme.

Cette modification devra être documentée en interne par la mise à jour du registre des activités de traitement et de l’analyse d’impact relative à la protection des données de votre recherche.

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !

À noter : 

Une déclaration de conformité vaut pour l’ensemble des traitements d’un même responsable de traitement entrant dans le champ de la MR concernée. Il ne sera pas nécessaire de procéder à une nouvelle déclaration de conformité pour chaque recherche qui sera menée conformément à la MR applicable.

Si la recherche est mise en œuvre dans le cadre d’une responsabilité conjointe de traitement, chaque responsable de traitement doit s’assurer avoir réalisé une déclaration de conformité (à une précédente version de la MR applicable ou celle du 23 mai 2026)


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

Attention :

La version 2026 de la MR applicable impose la mise en place d’une authentification multifacteur (MFA) à compter du :

  • 1er janvier 2027 pour les services, les systèmes d’information ou les outils numériques utilisés dans le cadre de la recherche et accessibles via le web ;
     
  • 1er janvier 2028 pour les autres systèmes d’information, services, systèmes d’information ou outils numériques utilisés dans le cadre de la recherche.

    

À quelle version de la MR applicable la déclaration de conformité a-t-elle été réalisée ?

 

Le traitement de données associé à votre recherche a été mis en œuvre dans le cadre d’une déclaration de conformité à une précédente version de la MR applicable et la modification substantielle envisagée est conforme à la MR applicable (version 2026).

Votre organisme ayant déjà réalisé une déclaration de conformité à la MR applicable (quelle que soit sa version), il n’est pas nécessaire d’en réaliser une nouvelle. Cette conformité devra être documentée en interne par la mise à jour du registre des activités de traitement et la réalisation d’une analyse d’impact relative à la protection des données.

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !

À noter : 

Une déclaration de conformité vaut pour l’ensemble des traitements d’un même responsable de traitement entrant dans le champ de la MR concernée. Il ne sera pas nécessaire de procéder à une nouvelle déclaration de conformité pour chaque recherche qui sera menée conformément à la MR applicable.

Si la recherche est mise en œuvre dans le cadre d’une responsabilité conjointe de traitement, chaque responsable de traitement doit s’assurer avoir réalisé une déclaration de conformité (à une précédente version de la MR applicable ou celle du 23 mai 2026)


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

Attention : Le responsable de traitement doit garantir la protection des données personnelles pendant toute la durée du traitement. La CNIL vous recommande de prendre connaissance de la MR applicable (version 2026) et notamment son annexe sécurité. En effet, les mesures décrites dans cette annexe correspondent aux précautions élémentaires de sécurité informatique. Si ces mesures ne sont pas déjà mises en œuvre, il convient de mettre en place un plan d’actions afin de s’y conformer dans un délai d’un an suivant la date de publication de la MR applicable.

 

Au regard des informations renseignées dans ce questionnaire, le traitement de données associé à votre recherche ainsi que la modification substantielle envisagée sont conformes à la MR applicable (version 2026).

Votre organisme ayant déjà réalisé une déclaration de conformité à la MR applicable (quelle que soit sa version), il n’est pas nécessaire d’en réaliser une nouvelle. Cette conformité devra être documentée en interne par la mise à jour du registre des activités de traitement et la réalisation d’une analyse d’impact relative à la protection des données.

Pour vous accompagner dans votre démarche, rapprochez-vous du délégué à la protection des données (DPO) de votre organisme ou, en l’absence de DPO désigné, d’un service interne compétent (Direction juridique, Direction recherche et innovation, etc.). La conformité est un travail d’équipe !

À noter : 

Une déclaration de conformité vaut pour l’ensemble des traitements d’un même responsable de traitement entrant dans le champ de la MR concernée. Il ne sera pas nécessaire de procéder à une nouvelle déclaration de conformité pour chaque recherche qui sera menée conformément à la MR applicable.

Si la recherche est mise en œuvre dans le cadre d’une responsabilité conjointe de traitement, chaque responsable de traitement doit s’assurer avoir réalisé une déclaration de conformité (à une précédente version de la MR applicable ou celle du 23 mai 2026)


Ressources utiles :

Si la méthodologie de référence applicable est la MR-001 :

Si la méthodologie de référence applicable est la MR-003 :

Attention :

La version 2026 de la MR applicable impose la mise en place d’une authentification multifacteur (MFA) à compter du :

  • 1er janvier 2027 pour les services, les systèmes d’information ou les outils numériques utilisés dans le cadre de la recherche et accessibles via le web ;
     
  • 1er janvier 2028 pour les autres systèmes d’information, services, systèmes d’information ou outils numériques utilisés dans le cadre de la recherche.

    

Les informations saisies dans ce questionnaire ne font pas l'objet d'une conservation par la CNIL.