La CNIL face à la Cour des comptes : une « montée en puissance inachevée » qui va durcir les contrôles

9/6/26
👈 les autres actualités

La Cour des comptes vient de passer la CNIL au crible. Son verdict, rendu début juin 2026, tient en une formule : une « montée en puissance inachevée ». Le régulateur a réussi son adaptation au RGPD, mais ses moyens ne suivent plus l'explosion de ses missions — et cela ne restera pas sans conséquence pour les organisations contrôlées.

Ce qui s'est passé

Dans un rapport publié le 4 juin 2026, la Cour des comptes dresse un bilan globalement positif de la manière dont la CNIL a absorbé le RGPD depuis 2018. Mais elle pointe plusieurs zones de fragilité : une gestion des plaintes encore perfectible, un budget sous tension — environ 28 millions d'euros pour près de 300 agents — et un encadrement administratif jugé insuffisant des habilitations dont disposent les agents qui mènent les contrôles dans les entreprises et les administrations.

Le contexte budgétaire est éloquent : pour 2026, aucun poste net n'a été créé alors que le périmètre d'action de l'autorité ne cesse de s'élargir. Sur les 10 équivalents temps plein initialement prévus, seuls 8 ont finalement été notifiés. Or la CNIL doit désormais absorber un chantier majeur : la surveillance du règlement européen sur l'intelligence artificielle (AI Act), avec le contrôle de certains systèmes à haut risque et la vérification de l'absence de systèmes interdits. Le service dédié à l'IA ne compte aujourd'hui que six personnes.

Pourquoi c'est important

La CNIL n'est pas une administration parmi d'autres : c'est l'autorité de contrôle prévue par l'article 51 du RGPD, chargée de veiller au respect du règlement sur le territoire français. Toutes les missions de la CNIL — instruction des plaintes, contrôles, sanctions, accompagnement, et désormais régulation de l'AI Act — reposent sur des effectifs et un budget que la Cour des comptes juge désormais sous-dimensionnés.

Pour les organisations, ce déséquilibre a un effet concret et contre-intuitif. Quand une autorité doit faire plus avec autant, elle ne ralentit pas : elle priorise. Elle concentre ses contrôles sur les traitements à fort impact, industrialise le traitement des plaintes, et s'appuie davantage sur des sanctions exemplaires pour produire un effet dissuasif large. Le bilan 2025 de la CNIL l'illustre déjà, avec 486,8 millions d'euros d'amendes et un nombre record de sanctions prononcées. Un budget contraint n'allège pas la pression de conformité : il la déplace vers les dossiers les plus visibles.

Ce que ça change pour les organisations

Le message à retenir pour les DPO et les RSSI n'est pas que la CNIL serait affaiblie, mais qu'elle devient plus sélective et plus efficace. Trois réflexes s'imposent.

D'abord, ne pas miser sur l'engorgement du régulateur comme stratégie de conformité. Une autorité qui priorise traite plus vite les dossiers à risque. La meilleure protection reste documentaire : tenir un registre des traitements exhaustif et à jour demeure la pièce maîtresse qu'un contrôleur examinera en premier.

Ensuite, anticiper la montée en charge de l'AI Act. Même avec six agents, la CNIL construit sa doctrine sur les systèmes d'IA à haut risque. Les organisations qui déploient des outils d'IA ont tout intérêt à auditer dès maintenant leur conformité plutôt qu'à attendre une mise en demeure.

Enfin, formaliser la gouvernance interne. La Cour des comptes elle-même insiste sur la traçabilité et l'encadrement des habilitations côté régulateur — la même exigence vaut côté entreprise, où le DPO doit pouvoir démontrer qui accède à quoi, et sur quelle base.

Ce que Leto pense de cette décision

Le rapport de la Cour des comptes est moins un coup porté à la CNIL qu'un signal envoyé à l'État sur le sous-investissement dans la régulation du numérique. Pour les organisations, l'erreur serait d'y lire un relâchement. Une autorité dont les moyens stagnent pendant que ses missions doublent ne devient pas plus indulgente : elle devient plus chirurgicale. Les contrôles seront mieux ciblés, les sanctions plus emblématiques, et la marge d'erreur plus faible pour les traitements sensibles. La conformité proactive n'a jamais été aussi rentable.

Sources : Usine Digitale — « Une montée en puissance inachevée » · Usine Digitale — Budget et effectifs 2026 · Acteurs Publics — Habilitations des agents · CNIL — Rapport annuel 2025

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026