Skip to main content
Santé & e-santé

Tout ce que vous devez savoir sur l’encadrement juridique d’une MR-004

Encadrement juridique de la MR-004 : quelles obligations ?

La MR-004 encadre l’usage de données personnelles dans des recherches n’impliquant pas directement la personne humaine, comme la réutilisation de données existantes. Ces projets doivent présenter un intérêt public et ne collecter que les données strictement nécessaires.

En bref, ce qu’il faut retenir

  • La MR-004 entre dans la catégorie des RNIPH, c’est-à-dire les recherches ne portant pas sur la personne humaine
  • La MR-004 encadre les recherches cliniques portant sur des données
  • C’est une recherche ne nécessitant pas le recueil du consentement de la personne concernée
  • Soit le projet est conforme en tout point à la méthodologie, et une déclaration de conformité sera suffisante, soit ce n’est pas le cas, et il sera nécessaire de faire une demande d’autorisation auprès de la CNIL
  • Le DPO est un acteur clé pour la mise en conformité compte tenu des actions à engager

MR-004 : la méthodologie de référence en un coup d’œil

En pratique, la MR-004 s’applique à différents types de recherches reposant sur l’exploitation de données existantes. Elle vise des projets où les informations de santé sont analysées sans contact direct avec les patients.

Concrètement, elle concerne par exemple :

  • L’analyse de bases de données médicales déjà existantes
  • Les évaluations de pratiques professionnelles
  • Les études rétrospectives à partir de données pseudonymisées

Pourquoi “n’impliquant pas directement la personne humaine” ?

Cela signifie que la recherche ne prévoit ni intervention, ni interaction directe avec un participant (pas d’examen clinique, pas d’entretien, pas de questionnaire), rien de plus que le suivi courant. Les données utilisées proviennent de sources existantes, comme les dossiers médicaux.

Quelles sont les obligations légales essentielles pour se conformer à la MR-004 ?

Se déclarer conforme à la MR-004 ne se résume pas à cocher une case : c’est un ensemble d’exigences précises définies par la CNIL et alignées sur le RGPD.

Si vous êtes certain que votre projet relève du cadre de la méthodologie de référence MR-004, il est essentiel de parcourir attentivement le document et de vérifier, point par point, que l’ensemble des exigences énoncées sont bien respectées.

En bref, voici les principales questions à se poser à respecter.

    • Qui est responsable de traitement, le promoteur ?
    • Qui est ou sont les sous-traitants, centre(s) investigateur(s) ?
    • Des conventions sont-elles conclues pour encadrer la recherche ?
    • Identifier les personnes dont les données seront collectées : patients et professionnels participant à la recherche ?
    • Quelle est la base légale de la recherche ? Notez ici que pour une MR-004, seul l’intérêt public est envisageable
      • Une recherche MR-004 ne nécessite jamais le recueil du consentement du patient
    • Minimisation des données : Ne collectez-vous que les données strictement nécessaires pour votre recherche ?
      • Par exemple, la collecte du NIR (numéro de sécurité sociale) est interdite.

Ensuite, certaines actions relatives à l’information des personnes seront importantes :

  • Information individuelle : il est nécessaire d’informer chaque personne dont les données sont utilisées, par courrier, e-mail ou fiche d’information, individuellement. L’information doit être spécifiquement adressée à chaque patient dont les données feront l’objet de la recherche
  • Information collective : il sera également nécessaire de diffuser l’information via un site web, un portail de transparence, un affichage ou une publication interne, de manière collective.

Autres points importants :

  • AIPD (Analyse d’Impact relative à la Protection des Données): il est obligatoire de rédiger une analyse d’impact sur la protection des données, liée aux risques inhérents à la recherche
    • Cette AIPD porte notamment sur la Sécurité et confidentialité. Il est nécessaire de mettre en place des mesures comme le chiffrement, l’authentification forte et le contrôle des accès (RGPD art. 32).
  • Respect des durées de conservation: conserver les données uniquement le temps nécessaire aux finalités déclarées, puis les anonymiser ou les détruire.

Côté procédure, si tous les points de la MR-004 sont respectés, votre recherche est conforme et vous pouvez :

  • Réaliser un engagement de conformité auprès de la CNIL : transmettre l’engagement en ligne avant tout traitement, via l’outil officiel.
  • Déclarer la recherche au Health Data Hub

Si non, il vous faudra engager une procédure de demande d’autorisation CNIL, en expliquant les écarts avec la MR-004, et de les justifier, le plus précisément possible.

Procédure de mise en conformité pas à pas – volet administratif

  1. Vérifier l’éligibilité de votre projet à la MR-004
  2. Mettre en place les mesures de protection et de documentation
  3. Former les équipes sur les obligations légales
  4. Auditer et mettre à jour régulièrement les pratiques
  5. Vérifier la conformité de votre projet à la MR-004
    1. Soit le projet est conforme :
      1. Remplir la déclaration d’engagement de conformité CNIL
      2. Déclarer le projet au HDH
    2. Soit le projet n’est pas conforme
      1. Faire une demande d’autorisation auprès de la CNIL
      2. Justifier les écarts

FAQ sur l’encadrement juridique MR-004

Q1 : La MR-004 nécessite-t-elle le recueil du consentement du patient ?

Non. La MR-004 repose sur la base légale de la mission d’intérêt public et ne requiert donc pas le consentement des personnes concernées

Q2 : Faut-il un avis d’un comité d’éthique pour utiliser la MR-004 ? 

Non. Le recours à la MR-004 n’implique pas la saisine d’un comité d’éthique, contrairement à certaines recherches impliquant la personne humaine.

Q3 : Peut-on cumuler MR-004 avec une autre méthodologie CNIL ?

Non. Chaque projet doit se rattacher à une seule méthodologie de référence. Si la MR-004 ne couvre pas entièrement votre étude, il faut envisager une autre méthodologie plus adaptée ou déposer une demande spécifique auprès de la CNIL

Q4 : Que faire si un participant souhaite exercer son droit d’opposition ?

Le responsable de traitement doit informer clairement les participants de leur droit d’opposition et mettre en place une procédure simple pour l’exercer. En pratique, cela implique :

  • de prévoir un point de contact (adresse e-mail ou courrier),
  • de traiter la demande dans les délais légaux,
  • et, si l’opposition est recevable, d’exclure les données de la personne concernée des traitements de recherche.

Q5 : une information individuelle de chaque patient est-elle obligatoire pour la MR-004 ?

Oui. La méthodologie de référence MR-004 impose que chaque personne concernée soit individuellement informée de l’utilisation de ses données. Cette information doit être claire, compréhensible et porter notamment sur les finalités de la recherche, les droits dont disposent les participants (accès, rectification, opposition, etc.) ainsi que les modalités pratiques pour les exercer.

Q6. Une AIPD est-elle obligatoire ?

                  Oui, l’analyse d’impact sur la protection des données personnelles est obligatoire. Chez Lexagone, nous pouvons vous aider pour sa rédaction, n’hésitez pas à nous contacter.

Ressources officielles et outils pratiques

Auteur Morgane Horreard

Plus d'articles de Morgane Horreard