Rapport d'activité du DPO : la CNIL livre son modèle pour piloter (et défendre) la fonction
La CNIL publie le 27 avril 2026 un modèle de rapport d'activité du DPO assorti de ses recommandations pour structurer le pilotage de la conformité. Non obligatoire mais hautement recommandé, ce document devient le tableau de bord par lequel le délégué rend des comptes à la direction et démontre la valeur de sa fonction.
Ce qui s'est passé
La CNIL a mis en ligne ce 27 avril 2026 une recommandation accompagnée d'un modèle de rapport d'activité (format ODT) à destination des délégués à la protection des données. L'autorité française y formalise une pratique jusqu'ici tenue pour relevant du seul bon usage : la rédaction périodique — trimestrielle, semestrielle ou annuelle selon les organismes — d'un document qui retrace les diagnostics posés sur les principaux traitements, l'évaluation des risques juridiques, financiers et réputationnels, les démarches de mise en conformité engagées et les freins rencontrés.
Le rapport n'est pas une obligation légale. La CNIL le présente explicitement comme une « bonne pratique » qui s'inscrit naturellement dans le champ des missions du DPO telles que définies par le RGPD. Le modèle proposé est non contraignant : il sert de base de travail, adaptable à la taille de l'organisme, à la sensibilité des traitements et aux pratiques internes de reporting.
Pourquoi c'est important
Le RGPD prévoit, à son article 38, que le DPO « rend compte directement au niveau le plus élevé de la direction ». La CNIL transforme cette exigence textuelle en livrable opérationnel. Elle clarifie une zone grise dans laquelle de nombreuses fonctions DPO évoluaient depuis 2018 : que faut-il, concrètement, présenter à la direction pour matérialiser cette reddition de comptes ?
L'autorité rappelle au passage que demander un rapport n'entame pas l'indépendance du DPO, garantie par l'article 38. Cette précision compte : elle ferme un débat récurrent dans les comités de conformité où la production de tableaux de bord pouvait être perçue comme une mise sous tutelle de la fonction.
Sur le fond, le rapport agrège tout ce qui constitue déjà la matière première du DPO : registre des activités de traitement, analyses d'impact (AIPD), résultats d'audits, violations de données, plaintes, demandes d'exercice des droits. Ce sont les briques que les missions de l'article 39 imposent déjà de tenir. Le rapport leur donne une mise en récit lisible par un comité exécutif.
Ce que ça change pour les organisations
Pour les DPO en place, le modèle CNIL devient un standard de facto. Même si rien ne l'impose, son existence rend politiquement difficile de présenter à sa direction un reporting moins structuré que celui que recommande l'autorité. Trois actions concrètes s'imposent dans les semaines qui viennent.
D'abord, sortir le rapport du « bloc annuel » et l'alimenter en continu. La CNIL insiste : le document doit être « vivant », ventilé par catégorie d'activités (sensibilisation, conseil, contrôle), nourri au fil de l'eau pour éviter la surcharge de fin d'année et les oublis. Concrètement, cela signifie poser dès maintenant la structure et y verser chaque action documentée.
Ensuite, exploiter les indicateurs déjà disponibles. Nombre de demandes d'exercice des droits et délais de réponse, nombre de violations de données notifiées, modèles de mention d'information produits, sessions de sensibilisation tenues : la plupart des outils de pilotage RGPD intègrent des modules de reporting qui permettent de générer ces chiffres sans saisie manuelle. La démarche d'audit RGPD en fournit un cadre méthodologique éprouvé.
Enfin, prévoir une présentation formelle à la direction au moins une fois par an. La CNIL recommande explicitement ce moment d'échange, qui transforme le rapport en levier de négociation : c'est l'occasion de demander les moyens nécessaires (formations, temps dédié, soutien politique) en s'appuyant sur des éléments factuels. Pour les organismes qui n'ont pas encore désigné leur DPO ou qui souhaitent en changer, la déclaration auprès de la CNIL reste une étape préalable.
Côté communication interne, la CNIL suggère de décliner le rapport en version simplifiée pour les instances représentatives du personnel et les collaborateurs. Ce double usage — pilotage exécutif et sensibilisation collective — n'est pas neutre : il transforme le DPO en relais culturel de la conformité, conformément à la fonction première que lui assigne le RGPD.
Ce que Leto pense de cette décision
La publication de ce modèle marque une étape dans la professionnalisation de la fonction DPO. En 2018, le rôle peinait encore à se distinguer du RSSI ou du juriste corporate. Huit ans plus tard, la CNIL outille un standard de reporting qui élève le DPO au rang d'interlocuteur structuré du comité exécutif, sur le modèle du contrôle interne ou de l'audit. Pour les organismes qui voient encore la conformité comme un coût, c'est une opportunité : un rapport bien fait documente les bénéfices économiques de la mise en conformité (sécurité juridique, climat social, réputation) et rend visibles des progrès qui se diluent sinon dans le quotidien. Pour les DPO qui peinent à obtenir des moyens, c'est un argument de plus : présenter à la direction un rapport conforme aux recommandations de l'autorité de contrôle pèse plus lourd qu'une note interne.
Sources :
