Gouvernance
Le rapport d’activité DPO selon la CNIL : un livrable, ou une vue ?
Par La rédaction, publié le 11 juin 2026
Avec son modèle de rapport d’activité du DPO, la CNIL donne aux organisations un cadre commun pour objectiver le pilotage RGPD auprès des directions. Mais la valeur d’un tel document dépend moins de sa qualité formelle que de sa capacité à refléter, en continu, l’état réel de la conformité.
Par Christophe Saint-Pierre, Président de MDP Data Protection et Membre de l’AFCDP
Le 27 avril 2026, la CNIL a publié un modèle de rapport d’activité du DPO. L’objectif : structurer le pilotage de la conformité et donner au délégué une grammaire commune pour parler à sa direction. C’est un bon document. Précis, lisible, opérationnel.
Ce que la CNIL formalise est utile. Trop de rapports d’activité restent confidentiels, lus par trois personnes, classés sans suite. Le modèle proposé fournit une trame, des indicateurs partagés, une structure exportable. Un DPO qui s’en empare gagne en lisibilité, son COMEX gagne en visibilité.
Mais le modèle suppose quelque chose qu’il ne dit pas
Il suppose que le rapport est un livrable. Une production datée, fabriquée à partir de notes, d’extractions, de tableurs maintenus tout au long de l’année. Que le DPO va, à un moment donné, s’asseoir et écrire ce document, comme un bilan annuel, comme un audit, comme un dossier d’évaluation. Cette logique est compatible avec le mode dominant aujourd’hui : la conformité événementielle, où l’on passe d’un livrable à un autre.
C’est précisément ce mode qui ne tient plus.
Du livrable produit à la vue dérivée
Si la conformité d’une organisation est un état permanent, et elle l’est, puisque chaque nouveau projet, chaque nouveau fournisseur, chaque évolution d’un système d’IA modifie ce que l’on doit prouver, alors le rapport d’activité ne devrait pas être un document à rédiger. Il devrait être une vue. Une projection sur un état déjà à jour. Le DPO ne le produit pas. Il le valide, l’arbitre, le commente.
C’est exactement la promesse du modèle CNIL mais elle ne tient que si le système qui l’alimente existe.
Ce que cela change pour le DPO
Tant que le rapport est un livrable, le DPO en porte la charge. Il consacre plusieurs semaines à le rédiger, court après les chiffres, recolle les morceaux. Tant que le rapport est une vue, il en porte le sens. Il l’ouvre, le lit, le confronte aux risques réels, l’utilise pour arbitrer.
Le premier modèle épuise. Le second émancipe. Et ce qui sépare les deux n’est pas le talent du DPO, c’est l’architecture du système qui l’entoure.
Tirer parti du modèle CNIL, vraiment
Adoptons-le. C’est un excellent référentiel de structure, de granularité, d’angle. Mais ne l’utilisons pas comme un cahier de devoirs annuel. Utilisons-le comme la spécification d’un livrable qu’un système devrait pouvoir générer à tout moment. Si la production prend deux semaines, on sait ce qu’il reste à construire. On n’est jamais conforme. On est en train de l’être et le rapport n’est qu’une photographie de ce mouvement.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
