RGPD : ce que la CNIL va contrôler en 2026
RGPD : ce que la CNIL va contrôler en 2026
Chaque année, la CNIL publie ses thématiques prioritaires de contrôle. Ce sont les secteurs qu'elle a décidé de surveiller de manière ciblée, en plus des contrôles qu'elle conduit toute l'année à la suite de plaintes ou de signalements.
En 2026, quatre thématiques ont été annoncées : le recrutement, le répertoire électoral unique, les fédérations sportives et, confirmée dans le rapport annuel publié le 18 mai 2026, la cybersécurité — qui constitue à elle seule la priorité transversale la plus forte de l'année.
Ce que ces contrôles ont en commun ? Ils ciblent des acteurs qui traitent des données personnelles en grande quantité, souvent sans en avoir pleinement pris la mesure. Et ils interviennent dans un contexte où la CNIL a clairement durci sa doctrine : après des années de pédagogie, elle sanctionne désormais directement, sans nécessairement passer par une mise en demeure préalable.
1. Le recrutement : trois ans après le guide, place aux contrôles
La CNIL avait publié en janvier 2023 un guide pratique à destination des recruteurs pour les aider à traiter les données des candidats en conformité avec le RGPD. Trois ans plus tard, elle passe en mode vérification.
Qui est concerné ?
Les contrôles viseront prioritairement les grandes entreprises et les cabinets de recrutement, en raison du volume de candidatures qu'ils traitent et des sélections qu'ils opèrent.
Sur quoi porteront les contrôles ?
La CNIL se concentrera sur trois grands axes :
- Les systèmes de prise de décision automatisée. Les outils de tri de CV, de scoring de candidats ou d'évaluation algorithmique sont dans le viseur. Le RGPD impose d'informer les candidats de l'existence de ces traitements et, dans certains cas, de leur offrir la possibilité d'obtenir une intervention humaine.
- L'information des candidats. Les recruteurs ont l'obligation d'informer les candidats de l'utilisation de leurs données : finalités du traitement, durée de conservation, droits dont ils disposent. Cette information doit être claire, accessible et délivrée au moment de la collecte.
- Les durées de conservation. C'est souvent le point le plus négligé. Un CV reçu pour un poste donné ne peut pas être conservé indéfiniment « au cas où ». La règle générale est de deux ans à compter du dernier contact avec le candidat. Passé ce délai, les données doivent être supprimées ou anonymisées.
Le lien avec le règlement européen sur l'IA :
Cette thématique dépasse la seule question du RGPD. La CNIL a indiqué que ces contrôles préfiguraient l'exercice de ses futures attributions en tant qu'autorité de surveillance dans le champ « travail » au titre du règlement européen sur l'intelligence artificielle (AI Act). Les recruteurs qui utilisent des outils d'IA pour sélectionner des candidats doivent donc anticiper une réglementation qui va encore se renforcer dans les prochaines années.
2. Le répertoire électoral unique : quand les données des électeurs servent à autre chose
Le répertoire électoral unique est géré par l'INSEE. Il recense l'ensemble des électeurs inscrits en France — noms, prénoms, adresses, bureau de vote — et sert de base à la gestion des listes électorales, des procurations et de l'envoi de la propagande électorale officielle. Son accès est encadré, ses finalités sont définies par la loi. Ce qui n'empêche pas les débordements.
Ce que la CNIL cherche à détecter ?
La question centrale n'est pas de savoir si les données électorales existent — elles existent nécessairement — mais comment elles sont utilisées au-delà de leur finalité légale. Et sur ce point, la pratique révèle des dérives bien documentées.
L'utilisation de la liste électorale pour des opérations de communication politique personnelle. Un maire sortant ou un candidat aux municipales qui exploite la liste des électeurs pour envoyer ses propres tracts, SMS ou emails de campagne sort du cadre légal. La liste peut être consultée, pas détournée au profit d'une candidature individuelle. La CNIL l'a rappelé à l'occasion des municipales 2026 : les données issues du REU ne peuvent pas être utilisées pour du ciblage politique en ligne ni pour alimenter un fichier de campagne personnel.
Le croisement avec d'autres fichiers municipaux : C'est l'une des pratiques les plus problématiques et les moins visibles. Une mairie qui croise sa liste électorale avec le fichier des usagers de la médiathèque, des inscrits à la cantine ou des participants à une réunion publique pour en tirer un fichier de communication — même à des fins purement municipales — commet un détournement de finalité prohibé par l'article 5 du RGPD. Chaque fichier a sa finalité propre. Les fusionner sans base légale, c'est créer un traitement nouveau qui n'a jamais été déclaré ni consenti.
La transmission à des prestataires sans encadrement contractuel. Certaines communes confient la gestion de leurs listes à des prestataires informatiques sans avoir conclu de contrat de sous-traitance conforme au RGPD. Le prestataire accède aux données des électeurs, les traite, parfois les héberge à l'étranger — sans que personne n'ait vérifié si cela était légalement possible.
La conservation des données au-delà des scrutins. Les listes d'émargement, par exemple, sont communicables dans les dix jours suivant l'élection, puis soumises à un délai d'archivage strict. Des communes les conservent indéfiniment dans des tableurs accessibles à plusieurs agents, longtemps après la fin du mandat électoral concerné.
3. Les fédérations sportives : après l'élan olympique, le retour à la conformité
Les Jeux olympiques et paralympiques de Paris 2024 ont dopé les inscriptions dans les clubs sportifs. Beaucoup de ces structures ont accueilli de nouveaux adhérents — dont de nombreux enfants — sans nécessairement avoir mis à jour leurs pratiques en matière de données personnelles. La CNIL, qui a publié ses outils pédagogiques pour le secteur, va maintenant vérifier qu'ils ont bien été mis en œuvre.
Ce que les clubs font, souvent sans y penser :
Le secteur sportif cumule plusieurs types de données sensibles. Il y a d'abord les données de santé : certificats médicaux, contre-indications, antécédents de blessure, parfois groupe sanguin. Certains clubs les collectent par habitude, parfois sur des formulaires papier qui traînent des années dans un classeur. Or collecter ces données est déjà une question sérieuse — les conserver sans limite et sans protection en est une autre.
Il y a ensuite les données relatives aux infractions pénales, que les clubs peuvent être amenés à recueillir dans le cadre du contrôle des antécédents judiciaires des éducateurs et bénévoles intervenant auprès de mineurs. Ces données bénéficient d'un régime de protection particulièrement strict : leur traitement est encadré, leur durée de conservation limitée, et leur accès réservé à un nombre restreint de personnes.
Et puis il y a les mineurs, en grand nombre dans les clubs. Parents et enfants partagent adresses, photos, situations médicales — souvent sans que personne n'ait réfléchi à qui a accès à ces informations, combien de temps elles sont gardées, ni sur quel serveur elles sont stockées.
Les dérives concrètes dans le viseur de la CNIL
Au-delà des questions de conservation, certains comportements constituent des violations directes du RGPD. Parmi les plus fréquents :
La réutilisation du fichier des licenciés à des fins commerciales. Une fédération ou un club qui transmet sa base d'adhérents à un partenaire — équipementier, assureur, prestataire de transport — sans base légale ni information préalable des personnes commet un détournement de finalité. Or cette pratique est courante, souvent enrobée dans une clause de partenariat que personne ne lit.
La publication des résultats sportifs en ligne sans discernement. Afficher les performances nominatives de sportifs amateurs, a fortiori de mineurs, sur un site public ou un groupe Facebook, n'est pas anodin. La CNIL précise explicitement que cette pratique doit être encadrée et que le consentement des intéressés — ou de leurs représentants légaux pour les mineurs — est requis.
La collecte du numéro de sécurité sociale à l'inscription. Certains clubs le demandent systématiquement, parfois "parce qu'on l'a toujours fait". Le NIR est pourtant l'une des données les plus sensibles qui soit. Sa collecte n'est justifiée que dans des cas très précis, et certainement pas pour la gestion courante des licences sportives.
L'absence totale de purge des données. Des clubs conservent des fiches d'inscription de licenciés partis depuis dix ans, des photos d'enfants qui sont aujourd'hui majeurs, des résultats médicaux de personnes qui n'ont plus aucun lien avec la structure. Ces données dorment dans des tableurs, des boîtes mail, des vieux ordinateurs — sans que personne ne se soit jamais posé la question de les supprimer.
4. La cybersécurité : la priorité transversale de 2026
C'est l'annonce la plus significative du rapport annuel de la CNIL publié le 18 mai 2026 : la cybersécurité absorbera 50 % des contrôles et des actions répressives de la CNIL en 2026. Ce n'est plus une thématique parmi d'autres — c'est une refonte de l'ordre des priorités.
Pourquoi cette escalade ?
Les chiffres parlent d'eux-mêmes. La CNIL a enregistré 6 167 violations de données en 2025, soit une hausse de 9,5 % en un an, dont une sur deux liée à une cyberattaque. Les deux dernières années ont été marquées par des violations d'ampleur significative touchant des millions de personnes, y compris dans des organismes publics majeurs. Face à cette situation, la CNIL a jugé que ses efforts d'accompagnement et de sensibilisation n'étaient plus suffisants.
Ce que la CNIL va vérifier concrètement :
Les contrôles porteront sur le respect de l'article 32 du RGPD, qui impose aux responsables de traitement de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Concrètement, les vérificateurs s'attacheront notamment à :
- le chiffrement des données senseibles
- la gestion des droits d'accès et des habilitation
- les politiques de conservation et de purge
Point important : un manquement à l'article 32 peut être sanctionné même en l'absence de fuite de données avérée. L'absence de mesures documentées suffit à caractériser l'infraction.
Qui est ciblé ?
La CNIL a explicitement indiqué que l'État lui-même n'est plus épargné. Les organismes publics figurent dans les cibles des contrôles 2026, notamment après la vague de cyberattaques ayant touché des administrations. Les entreprises privées, PME comprises, et leurs sous-traitants sont également concernés.
5. La transparence de l'information : une action coordonnée à l'échelle européenne
En parallèle de ces quatre thématiques, la CNIL participera en 2026 à la cinquième action du cadre d'application coordonné européen (Coordinated Enforcement Framework — CEF), sous l'égide du Comité européen de la protection des données (CEPD).
Cette année, la CNIL coordonnera elle-même ces travaux au niveau européen. Ils porteront sur la transparence et l'exhaustivité de l'information délivrée aux personnes concernées : les organismes publics et privés informent-ils correctement les personnes sur l'utilisation de leurs données ? Les mentions d'information sont-elles claires, complètes, accessibles ?
Un rapport européen sera publié à l'issue de ces travaux, avec une synthèse des difficultés constatées, des bonnes pratiques identifiées et des pistes d'amélioration.
Ce qu'il faut retenir
La publication de ces thématiques prioritaires est une opportunité : elle permet à toute structure concernée d'anticiper un contrôle plutôt que de le subir.
Si vous êtes DRH, dirigeant d'un cabinet de recrutement, responsable d'une fédération sportive, d'un parti politique, ou simplement responsable d'un système d'information traitant des données personnelles, la question n'est plus de savoir si la CNIL peut vous contrôler, mais quand — et dans quel état de conformité vous vous trouverez à ce moment-là.
Le signal envoyé par le rapport annuel 2025 est particulièrement clair : avec 50 % de ses contrôles dédiés à la cybersécurité, la CNIL ne sépare plus protection des données et sécurité informatique. Ce sont désormais deux faces d'une même obligation.
Maître Elfie Viey est avocate au Barreau de Paris