Ce que la CNIL va vous demander en 2026 : priorités de contrôle et conformité

Et si le prochain contrôle, c’était le vôtre ? Chaque année, la CNIL publie ses thématiques prioritaires de contrôle. Loin d’être un simple exercice de communication, cette feuille de route indique aux organisations où l’autorité concentrera son attention, et donc où le risque de contrôle, puis de sanction, est le plus élevé. Pour 2026, le message est clair : le recrutement, l’intelligence artificielle et la cybersécurité sont au cœur des préoccupations.

Dans un contexte de multiplication des fuites de données et d’entrée en application progressive du règlement européen sur l’IA, la CNIL se positionne à la croisée du RGPD et des nouvelles régulations numériques. Elle endossera notamment un rôle inédit d’autorité de surveillance du marché pour certains systèmes d’IA.

Voyons ensemble les priorités de contrôle annoncées pour 2026, les preuves de conformité que la CNIL attend concrètement, et les actions à engager dès maintenant, que vous soyez DPO, DSI ou en direction juridique.

Important : Les contrôles thématiques ne représentent qu’environ 20 % des contrôles réalisés chaque année. Être hors des secteurs prioritaires ne signifie donc nullement être à l’abri d’un contrôle, notamment en cas de plainte ou de violation de données signalée.

Les trois thématiques prioritaires de contrôle 2026

La CNIL a retenu trois domaines prioritaires pour l’année. Ils traduisent une volonté de cibler des secteurs traitant des données sensibles ou des volumes massifs de données personnelles.

1. Le recrutement, antichambre de la surveillance de l’IA

La CNIL vérifiera que les grandes entreprises et les cabinets de recrutement respectent le RGPD tout au long du processus de sélection des candidats. Les points de contrôle annoncés sont précis :

• les systèmes de prise de décision automatisée (tri algorithmique des CV, scoring de candidats) ;
• l’information délivrée aux candidats sur le traitement de leurs données ;
• les durées de conservation des CV et des données de candidature.

Cette thématique a une portée stratégique : elle préfigure l’exercice par la CNIL de ses futures attributions comme autorité de surveillance de marché dans le champ « travail » au titre du règlement européen sur l’IA. Autrement dit, les pratiques de recrutement assistées par IA constituent le premier terrain d’observation de la convergence entre RGPD et AI Act.

2. Le répertoire électoral unique (REU)

Le répertoire électoral unique, géré par l’INSEE, regroupe l’ensemble des données des électeurs français. La CNIL contrôlera les usages de ce fichier sensible : gestion des listes électorales, procurations, envoi de propagande électorale, vérification des déclarations de soutien.

L’objectif est de distinguer les usages légitimes des éventuels détournements de finalité, en application d’un principe cardinal du RGPD : des données collectées pour une finalité ne peuvent être réutilisées pour une autre incompatible.

3. Les fédérations sportives

Dans le sillage de l’afflux d’inscriptions consécutif aux Jeux olympiques et paralympiques de Paris 2024, le secteur sportif fait l’objet d’une attention particulière. Les fédérations traitent en effet des données de santé, des données relatives à des infractions et des données de mineurs, autant de catégories à haut risque.

La CNIL examinera la pertinence des données collectées, les durées de conservation et les mesures de sécurité informatique. Le secteur ayant été particulièrement visé par des attaques récentes, la dimension cybersécurité y sera centrale.

La cybersécurité, axe transversal majeur

Au-delà des trois thématiques, la sécurité des données reste un fil rouge de l’action de la CNIL. L’autorité en a fait une priorité incontournable, en réponse directe à la vague de fuites de données qui touche aussi bien les acteurs publics que privés.

Cette préoccupation rejoint l’article 32 du RGPD, qui impose des mesures techniques et organisationnelles appropriées : authentification robuste, journalisation des accès, chiffrement, gestion des habilitations. La CNIL a annoncé que le détail de son engagement en matière de cybersécurité serait précisé lors de la publication de son rapport annuel, en mai 2026.

La CNIL alerte régulièrement sur le rôle des sous-traitants au cœur des fuites de données : la sécurité d’une organisation se mesure aussi à celle de ses prestataires.

La CNIL, nouvelle autorité de surveillance de l’IA

L’année 2026 marque un tournant institutionnel. Avec l’entrée en application progressive de l’AI Act, la CNIL s’apprête à devenir une autorité de surveillance du marché pour certains systèmes d’IA, notamment dans le domaine du travail et de l’emploi.

La France a fait le choix d’une gouvernance éclatée : la surveillance de l’IA sera répartie entre plusieurs autorités selon les secteurs, plutôt que confiée à un guichet unique. Pour les entreprises, cela implique d’identifier précisément quelle autorité sera compétente pour leurs cas d’usage (premier exercice de conformité… avant même d’avoir commencé), et d’anticiper des exigences qui combinent désormais protection des données personnelles (RGPD) et conformité des systèmes d’IA (AI Act).

L’action européenne coordonnée sur la transparence

La CNIL ne travaille pas isolément. Elle participe à la cinquième action du cadre d’application coordonné (Coordinated Enforcement Framework) mené avec ses homologues européens. En 2026, cette action porte sur la transparence et l’exhaustivité de l’information délivrée aux personnes concernées.

Concrètement, les autorités vérifieront le respect des articles 12 à 14 du RGPD : les mentions d’information sont-elles claires, accessibles, complètes ? Les personnes comprennent-elles réellement quels traitements sont opérés sur leurs données ? C’est un signal fort pour revoir ses politiques de confidentialité et ses mentions d’information.

Ce que la CNIL attend concrètement : la preuve de conformité

Le fil conducteur de 2026 tient en un mot : accountability (responsabilité). La CNIL ne se contente plus de bonnes intentions ; elle exige des preuves documentées que la conformité est effective. Voici les éléments qu’un contrôle mettra systématiquement à l’épreuve :

Documentation et traçabilité :

• un registre des traitements à jour et exhaustif (article 30) ;
• des analyses d’impact (AIPD/PIA) pour les traitements à risque élevé ;
• la journalisation des accès aux données sensibles.

Principes fondamentaux :

• des durées de conservation définies, justifiées et effectivement appliquées ;
• une minimisation des données réellement mise en œuvre ;
• une base légale clairement identifiée pour chaque traitement.

Information et droits :

• des mentions d’information claires et complètes ;
• des procédures opérationnelles pour répondre aux demandes d’exercice des droits (accès, effacement, opposition) dans les délais.

Sécurité et sous-traitance :

• des mesures de sécurité documentées (authentification multifacteur, chiffrement, gestion des habilitations) ;
• des contrats de sous-traitance conformes à l’article 28 et un suivi réel des garanties apportées par les prestataires.

Sanctions : un arsenal qui se durcit

Le risque financier n’est pas théorique. Le RGPD autorise des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour les manquements moins complexes, la CNIL dispose en outre d’une procédure de sanction simplifiée, plus rapide, dont les amendes sont plafonnées à un niveau inférieur mais qui permet de multiplier les décisions.

La tendance de fond est à une répression plus fréquente et plus rapide, en particulier sur les manquements à la sécurité et sur les durées de conservation, deux motifs récurrents des sanctions récentes.

Actions concrètes pour les DPO, DSI et directions juridiques

Les actions prioritaires à engager dès maintenant :

• Auditer ses traitements de recrutement : cartographier l’usage d’outils automatisés, vérifier l’information des candidats et purger les candidatures hors délai de conservation.
• Mettre à jour le registre des traitements et déclencher les AIPD manquantes pour les traitements à risque.
• Réviser ses mentions d’information à la lumière de l’action européenne sur la transparence.
• Cartographier ses systèmes d’IA et identifier l’autorité de surveillance compétente au titre de l’AI Act.
• Renforcer la sécurité : MFA généralisée, journalisation, revue des habilitations, chiffrement des données sensibles.
• Reprendre la main sur ses sous-traitants : exiger des preuves de sécurité concrètes, pas de simples engagements contractuels.

Besoin d’accompagnement pour préparer un contrôle CNIL ou structurer votre conformité RGPD et AI Act ? Découvrez nos services pour une approche personnalisée.

Concepts & Notions

📚 Sources et références ▼

Sources officielles

• CNIL - Les contrôles en 2026 : recrutement, répertoire électoral unique et fédérations sportives
• CNIL - Intelligence artificielle (IA)
• CNIL - Les sanctions prononcées par la CNIL

Analyses et décryptages

• August Debouzy - Les thématiques prioritaires de contrôle de la CNIL pour 2026
• L'Usine Digitale - Ce que la CNIL va vous demander en 2026 sur l'IA, la cyber et le RGPD
• Haas Avocats - Contrôles CNIL 2026 : les secteurs ciblés et les obligations à anticiper

Réglementation

• RGPD - Texte intégral du règlement européen sur la protection des données
• Règlement européen sur l'intelligence artificielle (AI Act)