Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Demander une démo

Rapport Cour des Comptes sur la CNIL : ce que les DPO doivent retenir

par | Juin 9, 2026 | DPO

rapport CNIL 2026 : points clés pour les DPO et conformité RGPD

Le rapport CNIL 2026 de la Cour des Comptes, publié le 4 juin, est le premier audit externe de l’autorité de protection des données françaises. Pour les DPO, privés comme publics, sa lecture révèle trois signaux concrets sur lesquels il est utile de se positionner dès maintenant.

 

Un bilan globalement positif, mais trois points clés pour les DPO

La Cour des Comptes reconnaît que la CNIL a « globalement su s’adapter » à l’entrée en vigueur du RGPD. Mais son audit identifie des marges de progrès aux implications directes pour la pratique DPO.

1. Le rythme de contrôle ne va pas augmenter

La CNIL réalise entre 300 et 350 contrôles par an. Ce chiffre est stable et la Cour note explicitement qu’il n’est « pas prévu de le modifier ». Pour les DPO, la pression de contrôle reste prévisible. L’énergie peut donc être investie sur les sujets à réel risque de plainte ou de signalement.

Un point cependant : la Cour constate que plusieurs délégué à la protection des données consultés signalent des contrôles aux durées longues (plus d’une année). L’affaire Voyageurs du Monde, contrôlée en novembre 2024 et passée devant la formation restreinte le 4 juin 2026.  illustre parfaitement ce délai.

2. La CNIL ne peut toujours pas contrôler les certificateurs DPO

Depuis 2019, la loi confie à la CNIL la mission de contrôler les organismes qui certifient les DPO. Mais aucun décret d’application n’a été publié. La Cour recommande de le compléter d’ici fin 2026.

Pour les DPO qui font valoir leur certification, la valeur de celle-ci repose pour l’instant sur la réputation de l’organisme, non sur un contrôle public. La vigilance sur la formation continue reste entière.

3. La base nationale des DPO va être fiabilisée

Au 31 décembre 2024, 103 602 organismes avaient notifié un Délégué » la protection des données à la CNIL. La Cour identifie de nombreuses erreurs dans cette base et recommande de la fiabiliser d’ici fin 2027. Elle pointe aussi que les critères de désignation obligatoire dans le secteur privé sont « relativement flous ».

Pour les DPO qui n’ont pas vérifié leur fiche CNIL récemment, c’est le bon moment. Et pour les responsables de traitement, cette reconnaissance officielle du flou des critères encourage à documenter davantage la justification de la décision.

 

Ce que le rapport dit sur la structure du marché DPO

L’enquête annuelle de la DGEFP (3 625 répondants en 2024) confirme une tendance de fond : 78 % de DPO internes (contre 68 % en 2019), 12 % externalisés (contre 17 %) et 10 % mutualisés.

La fonction s’internalise. Mais l’augmentation de la complexité réglementaire (AI Act, NIS2, DORA) crée un besoin d’accompagnement externe que le DPO interne ne peut pas toujours assumer seul.

 

Une recommandation importante pour les DPO du secteur public

La Cour demande la mise en place d’une procédure formalisée permettant aux DPO des ministères et de la Sécurité sociale d’obtenir une position écrite de la CNIL dans un délai fixé. Actuellement, cette possibilité n’existe pas formellement. Si cette recommandation aboutit, ce sera un changement majeur pour la pratique DPO dans le secteur public.

 

Comment utiliser ce rapport en interne

  • Argumenter pour maintenir les ressources allouées à la conformité RGPD
  • Documenter la décision de désigner (ou non) un DPO, dans un contexte où les critères légaux restent flous
  • Préparer l’organisation à un éventuel contrôle CNIL (procédures pouvant durer plus d’un an)
  • Anticiper les évolutions sur la certification DPO, potentiellement encadrée d’ici fin 2026

Vous souhaitez faire le point sur votre programme de conformité RGPD ? Prenez rendez-vous avec notre équipe.

 

FAQ – Rapport Cour des Comptes CNIL 2026

Que dit le rapport sur les DPO ?

Le rapport signale 103 602 organismes ayant notifié un DPO à la CNIL fin 2024, des erreurs dans la base, des critères de désignation flous dans le privé, et l’incapacité de la CNIL à contrôler les certificateurs faute de décret d’application.

Le nombre de contrôles CNIL va-t-il augmenter ?

Non. Le rythme de 300 à 350 contrôles par an est stable et non prévu d’être modifié. En revanche, les procédures peuvent durer plus d’un an.

La CNIL peut-elle contrôler les certifications DPO ?

Non encore. La loi lui confie cette mission depuis 2019 mais le décret d’application n’a jamais été publié. La Cour recommande de le compléter d’ici fin 2026.

Dois-je vérifier mon inscription comme DPO auprès de la CNIL ?

Oui. La Cour a identifié de nombreuses erreurs dans la base. Il est utile de vérifier que vos coordonnées et l’organisme auquel vous êtes rattaché sont corrects, surtout après un changement de poste.

Qu’est-ce que cela change pour les DPO du secteur public ?

La Cour recommande une procédure permettant aux DPO des ministères et de la Sécurité sociale d’obtenir une position écrite de la CNIL dans un délai fixé. Cette avancée n’existe pas encore.

 

En résumé

Le rapport de 2026 de la Cour des Comptes sur la CNIL confirme une autorité qui fonctionne mais qui manque de moyens pour tout superviser.

Pour les DPO, les signaux essentiels sont : le rythme de contrôle reste stable à 300-350 par an, la certification DPO échappe encore au contrôle public, et la base nationale des DPO va être fiabilisée d’ici 2027.

Un rapport à citer en interne pour démontrer l’importance de structurer sa conformité sans attendre un contrôle.

 

Sources

Pour aller plus loin

Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Méthode : le Continuous Compliance Operating System - CCOS

Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?

À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.