Le rapport d’activité DPO selon la CNIL : ce qu’il dit, ce qu’il ne dit pas

Le rapport d’activité DPO proposé par la CNIL vise à structurer le pilotage de la conformité et à valoriser le rôle du délégué à la protection des données. Mais au-delà du modèle, une question se pose : faut-il encore produire ce rapport comme un livrable ponctuel, ou repenser totalement sa logique dans une conformité devenue continue ?

Le 27 avril 2026, la CNIL a publié un modèle de rapport d’activité du DPO. L’objectif affiché : structurer le pilotage de la conformité et valoriser les actions du délégué à la protection des données. C’est un bon document. Précis, lisible, conçu pour parler aux directions générales autant qu’aux DPO eux-mêmes.

Ce que la CNIL formalise est nécessaire. Trop de rapports d’activité restent confidentiels, lus par trois personnes, classés sans suite. Le modèle proposé donne une grammaire commune, des indicateurs partagés, une structure exportable. Un DPO qui s’en empare gagne en lisibilité, son COMEX gagne en visibilité.

Mais le modèle suppose quelque chose qu’il ne dit pas.

Il suppose que le rapport est un livrable. Une production datée, fabriquée à partir de notes, d’extractions, de tableurs maintenus tout au long de l’année. Que le DPO va, à un moment donné, s’asseoir et écrire ce document — comme un bilan annuel, comme un audit, comme un dossier d’évaluation. Cette logique est parfaitement compatible avec le mode dominant aujourd’hui : la conformité événementielle, où l’on passe d’un livrable à un autre, d’un audit à un rapport, d’un rapport à une remédiation.

C’est précisément ce mode qui ne tient plus.

Du livrable produit à la vue dérivée

Si la conformité d’une organisation est un état permanent — et elle l’est : chaque nouveau projet, chaque nouveau fournisseur, chaque évolution d’un système d’IA modifie ce que vous devez prouver — alors le rapport d’activité ne devrait pas être un document à rédiger. Il devrait être une vue.

Une vue, au sens des bases de données : une projection particulière sur un état qui existe déjà, à jour, en permanence. Vous demandez le rapport, le système vous le rend, à la minute où vous le demandez, dans le format que vous voulez. Le DPO ne le produit pas. Il le valide, l’arbitre, le commente. Il ajoute la lecture humaine sur des données déjà là.

C’est exactement la promesse du modèle CNIL, mais elle ne tient que si le système qui l’alimente existe.

Ce que cela change pour le DPO

Tant que le rapport est un livrable, le DPO en porte la charge. Il consacre plusieurs semaines à le rédiger, court après les chiffres, recolle les morceaux. Tant que le rapport est une vue, le DPO en porte le sens. Il l’ouvre, le lit, le confronte aux risques réels, le commente pour son COMEX, l’utilise pour arbitrer.

Le premier modèle épuise. Le second émancipe. Et ce qui sépare les deux n’est pas le talent du DPO, c’est l’architecture du système qui l’entoure.

Tirer parti du modèle CNIL, vraiment

Notre lecture du document de la CNIL est simple. Adoptez-le. C’est un excellent référentiel de structure, de granularité, d’angle. Mais ne l’utilisez pas comme un cahier de devoirs annuel. Utilisez-le comme la spécification d’un livrable que votre système devrait pouvoir générer, à tout moment, sans charge supplémentaire.

Si votre organisation est équipée pour cela, le rapport CNIL devient un format d’export parmi d’autres : il rejoint la liste de ce que vous pouvez transmettre, en un clic, à votre direction générale, à un client qui vous évalue, à un auditeur qui passe.

S’il faut deux semaines pour le produire, vous savez ce qu’il vous reste à construire.

On n’est jamais conforme. On est en train de l’être, et le rapport n’est qu’une photographie de ce mouvement.

---

Envie de transformer votre conformité en pilotage continu ? Découvrez comment les solutions MDP Data Protection peuvent vous accompagner dans la structuration et l’automatisation de vos obligations RGPD.

FAQ – Le rapport d’activité du DPO

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ?

Consultez notre FAQ générale.

En résumé

Le rapport d’activité DPO permet de structurer et valoriser la conformité au sein d’une organisation. Le modèle proposé par la CNIL constitue une base solide, mais il repose encore sur une logique de production ponctuelle. Or, la conformité est un état évolutif qui nécessite un suivi continu. Transformer ce rapport en une vue dynamique permet de réduire la charge opérationnelle et d’améliorer la prise de décision. Cette approche favorise une gestion plus fluide et durable des obligations réglementaires.

---

Pour aller plus loin

• CNIL – Nouvelle édition : Guide 2024 de la sécurité des données personnelles
• MDP Data Protection – Logiciel RGPD : comment choisir la solution idéale pour votre entreprise

• CNIL – Le rapport d’activité du DPO : piloter la conformité et valoriser ses actions

---

Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act…), avec une approche opérationnelle et évolutive.

• SimplyRGPD : Pilotage de votre conformité au quotidien.
• MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
• MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

---

Notre Livre Blanc RGPD

---

À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.