Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Demander une démo

Programme CNIL 2026 pour les DPO : ce qui vous attend concrètement

par | Juin 1, 2026 | DPO

Illustration du programme CNIL 2026 avec priorités de contrôle RGPD, cybersécurité, IA au travail et plan d’action DPO.

Le rapport annuel 2025 de la CNIL, publié le 18 mai 2026, confirme l’intensification du contrôle : 83 sanctions, 487 millions d’euros d’amendes. Mais pour les DPO déjà informés de ce bilan, la vraie question est ailleurs : que prévoit concrètement la CNIL pour 2026 ? Voici ce que son programme de travail et ses priorités de contrôle annoncent, et ce que cela implique pour votre organisation.

Le bilan 2025 en deux chiffres

83 sanctions, 487 millions d’euros d’amendes, contre 55 millions en 2024. L’essentiel du montant est concentré sur deux grandes affaires cookies (325 M€ et 150 M€ pour recueil de consentement non conforme), auxquelles s’ajoutent FREE MOBILE et FREE (42 M€, sécurité insuffisante) et France Travail (5 M€, défauts de gouvernance des données de demandeurs d’emploi).

La tendance est structurelle : la CNIL monte en puissance, coordonne davantage avec l’EDPB, et cible les manquements qui touchent le plus grand nombre de personnes. Ce qui compte maintenant pour les DPO, c’est ce qu’elle a prévu pour l’année en cours.

Les quatre axes de contrôle prioritaires CNIL 2026

Le 3 avril 2026, la CNIL a publié ses priorités de contrôle pour 2026. Ce ne sont pas des orientations générales : ce sont les secteurs et traitements qui feront l’objet d’investigations formelles cette année.

Cybersécurité : 50 % des contrôles

C’est la priorité absolue et transversale de l’année. La CNIL consacrera la moitié de son activité répressive à la sécurité des données en 2026, en réponse directe à la multiplication des violations : 6 167 violations notifiées en 2025, en hausse de 9,5 %, dont une sur deux liée à une cyberattaque. Si votre organisation n’a pas documenté ses mesures de sécurité sur les traitements de données personnelles, c’est le risque n°1 cette année.

Recrutement et décisions automatisées

La CNIL vérifiera l’application de son guide recrutement 2023 auprès des grandes entreprises et cabinets de recrutement : information des candidats, base légale des traitements automatisés, durées de conservation des CV. C’est également le premier terrain sur lequel la CNIL exercera son futur rôle de surveillance de marché IA dans le champ du travail, en anticipation de l’AI Act.

Répertoire électoral unique

Le fichier regroupant les données de l’ensemble des électeurs français sera contrôlé pour vérifier les conditions d’accès, les usages réels et l’absence de détournement. Ce contrôle concerne directement les organismes publics et partis politiques qui accèdent à ce fichier.

Fédérations sportives

Post-JO 2024, les clubs et fédérations traitent un volume croissant de données, dont des données de santé et des données concernant des mineurs. La CNIL vérifiera la proportionnalité de la collecte, les durées de conservation et les mesures de sécurité, un secteur particulièrement exposé aux cyberattaques récentes.

Par ailleurs, la CNIL coordonnera pour l’EDPB la 5e édition du cadre d’action coordonné (CEF), portant cette année sur la transparence et l’information des personnes concernées : un sujet transversal qui peut concerner n’importe quelle organisation.

👉 Pour comprendre le contexte global des sanctions et tendances CNIL 2025 ayant conduit à ces priorités de contrôle, consultez également notre article : CNIL 2025 : 486 millions d’euros d’amendes de sanctions.

Le programme de travail CNIL 2026 : ce qui concerne directement les DPO

Au-delà des contrôles, la CNIL a publié son programme de travail 2026 le 7 avril. Il donne des signaux forts sur les chantiers réglementaires en cours. Quatre points à surveiller de près.

Outils opérationnels pour les DPO

La CNIL a annoncé la production de plusieurs contenus opérationnels spécifiquement destinés aux délégués à la protection des données, en lien avec les associations de DPO : gouvernance, feuille de route, organisation de la documentation. C’est une reconnaissance explicite du rôle central du DPO dans la chaîne de conformité, et des ressources concrètes à attendre dans l’année.

IA au travail et en santé : un cadre doctrinal attendu

La CNIL finalisera en 2026 ses travaux sur les usages de l’Intelligence Artificielle dans les secteurs du travail et de la santé : bases légales applicables, risques de biais algorithmiques, garanties pour les droits des salariés et des patients. Elle lancera également des travaux spécifiques sur l’analyse automatique des communications vocales (transcription, centres d’appels, visioconférence). Les recommandations issues de ces chantiers fourniront aux DPO un cadre doctrinal structurant pour encadrer les outils IA déjà déployés dans leur organisation.

Responsabilités dans la chaîne de valeur de l’IA

La CNIL précisera les conséquences de l’application du RGPD aux modèles d’IA non anonymes : qualification des responsabilités entre concepteurs de modèles et déployeurs, conditions de licéité, obligations documentaires. Un éclairage essentiel pour les DPO qui doivent aujourd’hui qualifier juridiquement les outils d’IA générative utilisés dans leur organisation.

Révision des référentiels santé et recommandation sur le dossier patient

La CNIL actualisera ses méthodologies de référence pour la recherche en santé, et publiera une recommandation consolidée sur le dossier patient informatisé (DPI), destinée en priorité aux DPO des établissements de santé, aux DSI et aux RSSI. Si votre organisation traite des données de santé, ces publications sont à anticiper pour adapter votre registre des traitements.

DPO : 4 actions à engager maintenant

  • Documenter vos mesures de sécurité sur les traitements de données personnelles et tester votre procédure de notification de violation (délai de 72h CNIL) : la cybersécurité mobilise 50 % des contrôles 2026.
  • Auditer vos outils de recrutement algorithmique au regard du guide CNIL 2023 : information des candidats, durées de conservation, qualification du traitement automatisé.
  • Surveiller la publication des recommandations CNIL sur l’IA au travail : elles structureront le cadre légal des outils de transcription, d’analyse de performance et de recrutement IA.
  • Préparer la révision de vos registres de traitements en santé et en RH, en anticipation des nouvelles recommandations CNIL sur le DPI et les usages IA dans ces secteurs.

Vous souhaitez évaluer votre exposition aux contrôles CNIL 2026 et prioriser vos chantiers de mise en conformité ? Demandez un rendez-vous

FAQ – Programme CNIL 2026 et conformité RGPD pour les DPO

Quelles sont les priorités de contrôle CNIL officielles pour 2026 ?

La CNIL a annoncé quatre axes de contrôle prioritaires pour 2026 : la cybersécurité (50 % des contrôles), le recrutement et les décisions automatisées, le répertoire électoral unique, et les fédérations sportives. À ces thématiques sectorielles s’ajoute la participation de la CNIL au cadre d’action coordonné européen (CEF) sur la transparence et l’information des personnes concernées.

 

Pourquoi la cybersécurité représente-t-elle 50 % des contrôles CNIL en 2026 ?

En réponse à la multiplication des violations de données massives : 6 167 violations ont été notifiées à la CNIL en 2025, en hausse de 9,5 % par rapport à 2024, dont une sur deux liée à une cyberattaque. La CNIL considère que les manquements en matière de sécurité sont devenus le principal vecteur de non-conformité et a décidé d’y consacrer la moitié de son activité répressive en 2026.

 

Qu’est-ce que le programme de travail CNIL 2026 et en quoi concerne-t-il les DPO ?

Le programme de travail CNIL 2026 liste les ressources, recommandations et référentiels que la CNIL prévoit de publier ou soumettre à consultation dans l’année. Il concerne directement les DPO sur quatre points : production d’outils opérationnels dédiés aux délégués, finalisation des recommandations sur l’IA au travail et en santé, clarification des responsabilités dans la chaîne de valeur de l’IA, et révision des référentiels santé

 

Mon organisation utilise des outils de transcription ou d’analyse vocale : que dois-je anticiper ?

La CNIL a annoncé des travaux spécifiques en 2026 sur l’analyse automatique des communications vocales (centres d’appels, logiciels de visioconférence). En attendant la publication de ces recommandations, les DPO doivent s’assurer que ces outils sont inscrits au registre des traitements, qu’une base légale est documentée, que les personnes concernées sont informées et, si nécessaire, qu’une AIPD a été réalisée.

 

Que prévoit la CNIL sur l’IA dans le secteur du recrutement en 2026 ?

La CNIL mène un double chantier sur le recrutement en 2026 : d’une part des contrôles formels sur l’application de son guide recrutement 2023 (information des candidats, décisions automatisées, durées de conservation) ; d’autre part des travaux sur les usages de l’IA dans le secteur du travail, qui incluront les outils de sélection algorithmique. Ce chantier préfigure également son futur rôle de surveillance de marché IA dans le champ travail au titre du règlement européen sur l’IA.

 

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.

En résumé

Le programme CNIL 2026 dessine une feuille de route claire pour les DPO. La cybersécurité concentre 50 % des contrôles, le recrutement algorithmique et les fédérations sportives font l’objet de vérifications formelles, et la transparence envers les personnes concernées est surveillée au niveau européen. En parallèle, la CNIL publie des outils opérationnels pour les DPO, finalise ses recommandations sur l’IA au travail et en santé, et clarifie les responsabilités dans la chaîne de valeur de l’IA. Anticiper ce programme, c’est transformer la conformité en avantage compétitif plutôt qu’en contrainte subie.

Sources

Pour aller plus loin

Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Méthode : le Continuous Compliance Operating System - CCOS

Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?

À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.