[{"@context":"https:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/mdp-data.com\/rapport-cnil-2026-dpo\/#BlogPosting","mainEntityOfPage":"https:\/\/mdp-data.com\/rapport-cnil-2026-dpo\/","headline":"Rapport Cour des Comptes sur la CNIL : ce que les DPO doivent retenir","name":"Rapport Cour des Comptes sur la CNIL : ce que les DPO doivent retenir","description":"La Cour des Comptes vient de publier son premier audit externe de la CNIL. Pour les DPO, au-del\u00e0 du diagnostic institutionnel, trois signaux pratiques m\u00e9ritent attention : le rythme de contr\u00f4le, l\u2019\u00e9tat de la base DPO et l\u2019impossibilit\u00e9 actuelle pour la CNIL de superviser les certifications.","datePublished":"2026-06-09","dateModified":"2026-06-08","author":{"@type":"Person","@id":"https:\/\/mdp-data.com\/author\/mdpdata\/#Person","name":"Christophe SAINT-PIERRE","url":"https:\/\/mdp-data.com\/author\/mdpdata\/","identifier":5,"image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"MDP DATA PROTECTION","logo":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/06\/rapport-cour-comptes-cnil-2026-dpo.jpg","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/06\/rapport-cour-comptes-cnil-2026-dpo.jpg","height":1080,"width":1920},"url":"https:\/\/mdp-data.com\/rapport-cnil-2026-dpo\/","about":["DPO"],"wordCount":1311,"keywords":["CNIL","Contr\u00f4le 2026","Contr\u00f4le CNIL","Cour des Comptes","DPO"],"articleBody":"Le rapport CNIL 2026 de la Cour des Comptes, publi\u00e9 le 4 juin, est le premier audit externe de l’autorit\u00e9 de protection des donn\u00e9es fran\u00e7aises. Pour les DPO, priv\u00e9s comme publics, sa lecture r\u00e9v\u00e8le trois signaux concrets sur lesquels il est utile de se positionner d\u00e8s maintenant. SommaireToggleUn bilan globalement positif, mais trois points cl\u00e9s pour les DPOCe que le rapport dit sur la structure du march\u00e9 DPOUne recommandation importante pour les DPO du secteur publicComment utiliser ce rapport en interneFAQ – Rapport Cour des Comptes CNIL 2026En r\u00e9sum\u00e9SourcesPour aller plus loinLes solutions MDP Data ProtectionNotre M\u00e9thode : le Continuous Compliance Operating System – CCOS\u00c0 propos de l’auteurUn bilan globalement positif, mais trois points cl\u00e9s pour les DPOLa Cour des Comptes reconna\u00eet que la CNIL a \u00ab\u00a0globalement su s’adapter\u00a0\u00bb \u00e0 l’entr\u00e9e en vigueur du RGPD. Mais son audit identifie des marges de progr\u00e8s aux implications directes pour la pratique DPO.1. Le rythme de contr\u00f4le ne va pas augmenterLa CNIL r\u00e9alise entre 300 et 350 contr\u00f4les par an. Ce chiffre est stable et la Cour note explicitement qu’il n’est \u00ab\u00a0pas pr\u00e9vu de le modifier\u00a0\u00bb. Pour les DPO, la pression de contr\u00f4le reste pr\u00e9visible. L’\u00e9nergie peut donc \u00eatre investie sur les sujets \u00e0 r\u00e9el risque de plainte ou de signalement.Un point cependant : la Cour constate que plusieurs d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es consult\u00e9s signalent des contr\u00f4les aux dur\u00e9es longues (plus d’une ann\u00e9e). L’affaire Voyageurs du Monde, contr\u00f4l\u00e9e en novembre 2024 et pass\u00e9e devant la formation restreinte le 4 juin 2026.\u00a0 illustre parfaitement ce d\u00e9lai.2. La CNIL ne peut toujours pas contr\u00f4ler les certificateurs DPODepuis 2019, la loi confie \u00e0 la CNIL la mission de contr\u00f4ler les organismes qui certifient les DPO. Mais aucun d\u00e9cret d’application n’a \u00e9t\u00e9 publi\u00e9. La Cour recommande de le compl\u00e9ter d’ici fin 2026.Pour les DPO qui font valoir leur certification, la valeur de celle-ci repose pour l’instant sur la r\u00e9putation de l’organisme, non sur un contr\u00f4le public. La vigilance sur la formation continue reste enti\u00e8re.3. La base nationale des DPO va \u00eatre fiabilis\u00e9eAu 31 d\u00e9cembre 2024, 103 602 organismes avaient notifi\u00e9 un D\u00e9l\u00e9gu\u00e9 \u00bb la protection des donn\u00e9es \u00e0 la CNIL. La Cour identifie de nombreuses erreurs dans cette base et recommande de la fiabiliser d’ici fin 2027. Elle pointe aussi que les crit\u00e8res de d\u00e9signation obligatoire dans le secteur priv\u00e9 sont \u00ab\u00a0relativement flous\u00a0\u00bb.Pour les DPO qui n’ont pas v\u00e9rifi\u00e9 leur fiche CNIL r\u00e9cemment, c’est le bon moment. Et pour les responsables de traitement, cette reconnaissance officielle du flou des crit\u00e8res encourage \u00e0 documenter davantage la justification de la d\u00e9cision. Ce que le rapport dit sur la structure du march\u00e9 DPOL’enqu\u00eate annuelle de la DGEFP (3 625 r\u00e9pondants en 2024) confirme une tendance de fond : 78 % de DPO internes (contre 68 % en 2019), 12 % externalis\u00e9s (contre 17 %) et 10 % mutualis\u00e9s.La fonction s’internalise. Mais l’augmentation de la complexit\u00e9 r\u00e9glementaire (AI Act, NIS2, DORA) cr\u00e9e un besoin d’accompagnement externe que le DPO interne ne peut pas toujours assumer seul. Une recommandation importante pour les DPO du secteur publicLa Cour demande la mise en place d’une proc\u00e9dure formalis\u00e9e permettant aux DPO des minist\u00e8res et de la S\u00e9curit\u00e9 sociale d’obtenir une position \u00e9crite de la CNIL dans un d\u00e9lai fix\u00e9. Actuellement, cette possibilit\u00e9 n’existe pas formellement. Si cette recommandation aboutit, ce sera un changement majeur pour la pratique DPO dans le secteur public. Comment utiliser ce rapport en interneArgumenter pour maintenir les ressources allou\u00e9es \u00e0 la conformit\u00e9 RGPDDocumenter la d\u00e9cision de d\u00e9signer (ou non) un DPO, dans un contexte o\u00f9 les crit\u00e8res l\u00e9gaux restent flousPr\u00e9parer l’organisation \u00e0 un \u00e9ventuel contr\u00f4le CNIL (proc\u00e9dures pouvant durer plus d’un an)Anticiper les \u00e9volutions sur la certification DPO, potentiellement encadr\u00e9e d’ici fin 2026Vous souhaitez faire le point sur votre programme de conformit\u00e9 RGPD ? Prenez rendez-vous avec notre \u00e9quipe. FAQ – Rapport Cour des Comptes CNIL 2026Que dit le rapport sur les DPO ?Le rapport signale 103 602 organismes ayant notifi\u00e9 un DPO \u00e0 la CNIL fin 2024, des erreurs dans la base, des crit\u00e8res de d\u00e9signation flous dans le priv\u00e9, et l’incapacit\u00e9 de la CNIL \u00e0 contr\u00f4ler les certificateurs faute de d\u00e9cret d’application.Le nombre de contr\u00f4les CNIL va-t-il augmenter ?Non. Le rythme de 300 \u00e0 350 contr\u00f4les par an est stable et non pr\u00e9vu d’\u00eatre modifi\u00e9. En revanche, les proc\u00e9dures peuvent durer plus d’un an.La CNIL peut-elle contr\u00f4ler les certifications DPO ?Non encore. La loi lui confie cette mission depuis 2019 mais le d\u00e9cret d’application n’a jamais \u00e9t\u00e9 publi\u00e9. La Cour recommande de le compl\u00e9ter d’ici fin 2026.Dois-je v\u00e9rifier mon inscription comme DPO aupr\u00e8s de la CNIL ?Oui. La Cour a identifi\u00e9 de nombreuses erreurs dans la base. Il est utile de v\u00e9rifier que vos coordonn\u00e9es et l’organisme auquel vous \u00eates rattach\u00e9 sont corrects, surtout apr\u00e8s un changement de poste.Qu’est-ce que cela change pour les DPO du secteur public ?La Cour recommande une proc\u00e9dure permettant aux DPO des minist\u00e8res et de la S\u00e9curit\u00e9 sociale d’obtenir une position \u00e9crite de la CNIL dans un d\u00e9lai fix\u00e9. Cette avanc\u00e9e n’existe pas encore. En r\u00e9sum\u00e9Le rapport de 2026 de la Cour des Comptes sur la CNIL confirme une autorit\u00e9 qui fonctionne mais qui manque de moyens pour tout superviser.Pour les DPO, les signaux essentiels sont : le rythme de contr\u00f4le reste stable \u00e0 300-350 par an, la certification DPO \u00e9chappe encore au contr\u00f4le public, et la base nationale des DPO va \u00eatre fiabilis\u00e9e d’ici 2027.Un rapport \u00e0 citer en interne pour d\u00e9montrer l’importance de structurer sa conformit\u00e9 sans attendre un contr\u00f4le. SourcesLa Commission nationale de l’informatique et des libert\u00e9s – Cour des Comptes, 4 juin 2026Synth\u00e8se du rapport – Cour des Comptes, juin 2026 Le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPO) : un m\u00e9tier de plus en plus repr\u00e9sent\u00e9 dans les petites structuresPour aller plus loinCNIL -  Nouvelle \u00e9dition : Guide 2024 de la s\u00e9curit\u00e9 des donn\u00e9es personnellesMDP Data Protection - Logiciel RGPD : comment choisir la solution id\u00e9ale pour votre entrepriseLes solutions MDP Data ProtectionMDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformit\u00e9 multi-r\u00e9glementaire (RGPD, NIS2 et IA Act...), avec une approche op\u00e9rationnelle et \u00e9volutive.SimplyRGPD : Pilotage de votre conformit\u00e9 au quotidien.MDP CAMPUS : Notre parcours de sensibilisation en vid\u00e9os p\u00e9dagogiques de 3 \u00e0 7 minutes.MDP Diagnostic : Diagnostic instantan\u00e9 de votre niveau de conformit\u00e9.Notre M\u00e9thode : le Continuous Compliance Operating System - CCOSEt si votre conformit\u00e9 vivait en continu, au lieu d'\u00eatre un livrable de plus ?D\u00e9couvrir la m\u00e9thode CCOS\u00c0 propos de l’auteur Christophe SAINT-PIERRE  \u2013 Fort de plus de 20 ans d\u2019exp\u00e9rience, Christophe accompagne les organisations dans leur mise en conformit\u00e9 r\u00e9glementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision strat\u00e9gique et approche op\u00e9rationnelle. Au sein de MDP Data Protection, il pilote une d\u00e9marche ax\u00e9e sur l\u2019excellence, l\u2019innovation et la valorisation r\u00e9glementaire. Son objectif : transformer les contraintes l\u00e9gales en opportunit\u00e9s business pour ses clients."},{"@context":"https:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Rapport Cour des Comptes sur la CNIL : ce que les DPO doivent retenir","item":"https:\/\/mdp-data.com\/rapport-cnil-2026-dpo\/#breadcrumbitem"}]}]