ARTICLE
3 April 2026

Contrôles CNIL 2026 : les secteurs ciblés et les obligations à anticiper

HA
Haas Avocats

Contributor

Haas Avocats logo
HAAS Avocats, a French law firm, defends and protects national and international clients in the fields of French intellectual property, new information and communication technologies, data protection, e-commerce, e-marketing and business law.
Explore Firm Details
La CNIL a publié ses axes de contrôles prioritaires pour 2026, ciblant le recrutement, les données électorales et les fédérations sportives. Quels sont les risques pour les organismes concernés et comment anticiper ces contrôles pour éviter des sanctions potentiellement lourdes ?
France Privacy
Haas Avocats
Your Author LinkedIn Connections

Une politique de contrôle CNIL assumée et de plus en plus ciblée

La définition de priorités annuelles s’inscrit désormais dans une stratégie bien établie de la CNIL. Si l’autorité continue d’intervenir à la suite de plaintes ou d’alertes, elle consacre également une part significative de ses contrôles à des thématiques identifiées en amont.

Cette approche permet non seulement de concentrer les moyens de contrôle sur des secteurs à risque, mais également d’envoyer un message clair aux professionnels : certains traitements sont désormais considérés comme particulièrement exposés au regard du RGPD.

Pour 2026, il s’agit :

  • Du secteur du recrutement
  • Des données électorales
  • Des fédérations sportives

Une attention particulière portée aux traitements de données dans le cadre du recrutement

Premier axe de contrôle pour 2026 : les traitements de données dans le cadre du recrutement. Ce choix, loin d’être anodin, s’explique par la nature et la sensibilité des données traitées, mais également par l’évolution des pratiques, notamment avec le recours croissant à des outils automatisés ou à l’intelligence artificielle pour l’évaluation des candidatures (tri algorithmique, tests de recrutement automatisés etc). I

Afin de guider les employeurs dans la mise en place de leur processus de recrutement, la CNIL a, dès janvier 2023, publié un guide du recrutement.1 Il s’agira désormais de vérifier le respect des orientations qui y sont développées.

Dans ce contexte, l’autorité sera particulièrement attentive à la pertinence des données collectées, à la transparence de l’information fournie aux candidats ainsi qu’au respect des durées de conservation.

Au-delà du seul recours à des traitements automatisés, les employeurs devront également veiller au respect du principe de minimisation des données. Le recours croissant à des pratiques telles que des tests de personnalité, mises en situation ou évaluations comportementales ne doit pas conduire à collecter des informations excessives ou sans lien direct avec le poste. La CNIL pourrait ainsi être attentive à la proportionnalité de ces dispositifs, en s’assurant que seules les données strictement nécessaires à la finalité de recrutement sont traitées.

A noter : les contrôles viseront en priorité les grandes entreprises et cabinets de recrutement qui traitent des données en volumétrie importante.

Le répertoire électoral unique : un traitement au cœur des enjeux démocratiques

La CNIL a également décidé de porter son attention sur le répertoire électoral unique, un fichier permettant notamment le contrôle et la gestion des listes électorales, la gestion des procurations et l’extraction des adresses nécessaires à l’envoi de propagande électorale.

Ce choix s’inscrit dans un contexte de vigilance accrue concernant les traitements de données liés aux processus démocratiques. Leur volume important (pour le REU, l’ensemble des données des électeurs en France) et leur rôle clé dans l’exercice des droits civiques en fait tout naturellement un sujet prioritaire.

Les contrôles auront pour objet de vérifier les utilisations faites de ce fichier ainsi que d’en identifier les éventuels détournements d’usage. Les finalités d’utilisation du REU étant fixées par décret2, il ne peut pas être utilisé pour d’autres finalités.

Les fédérations sportives face à leurs obligations en matière de données personnelles

Enfin, la CNIL vise les fédérations sportives. Fortement plébiscitées depuis le succès populaire des JO de Paris 2024, ces organismes traitent d’importants volumes de données relatives à leurs licenciés, souvent mineurs : performances, état de santé, commission d’infractions.

La diversité des traitements et l’hétérogénéité des niveaux de maturité en matière de conformité expliquent l’attention particulière portée à ce secteur.

La CNIL vérifiera notamment que les principes de minimisation des données collectées et les durées de conservation soient bien respectés, en particulier lorsque des données sensibles sont en jeu. Les mesures de sécurité mises en place seront également contrôlées, le secteur ayant été récemment visé par des attaques informatiques.

Une stratégie de contrôle révélatrice des priorités de la CNIL

Les axes retenus pour 2026 traduisent une volonté de la CNIL de couvrir des secteurs variés, allant du monde de l’entreprise aux administrations publiques, en passant par le tissu associatif : une diversité qui illustre l’extension des enjeux liés à la protection des données à l’ensemble des activités économiques et sociales.

Elle confirme surtout une tendance de fond, celle d’un renforcement des exigences en matière de conformité opérationnelle. Il ne s’agit plus simplement de réagir après éventuelle sanction : la conformité RGPD doit être anticipée, documentée et démontrable en cas de contrôle.

Entités concernées : anticipez au lieu de subir !

La publication de ces priorités ne doit pas être perçue comme une simple information, mais bien comme une invitation à agir.

En effet, de manière générale, les axes de contrôles dégagés par la CNIL représentent environ un tiers des contrôles qu’elle effectue au cours de l’année à venir.

Dans un contexte où les contrôles se multiplient et où les sanctions peuvent être significatives3, la capacité à démontrer une conformité effective constitue désormais un enjeu central. Les organismes concernés ont dès lors tout intérêt à procéder dès à présent à une revue de leurs pratiques, afin d’identifier d’éventuelles failles et de mettre en place les mesures correctrices nécessaires.

Dans ce cadre, le recours à un délégué à la protection des données (DPO), qu’il soit interne ou externalisé, peut s’avérer déterminant. Véritable chef d’orchestre de la conformité RGPD, ce dernier structure la démarche de mise en conformité, priorise les actions à mener et sécurise les choix opérés au regard des exigences du RGPD.

À cet égard, les axes de contrôle définis pour 2026 offrent une grille de lecture précieuse pour orienter les efforts de mise en conformité : au vu des éléments communiqués par la CNIL, l’accent devra être porté sur la minimisation et la conservation des données collectées, l’information des personnes concernées et les mesures de sécurité mises en place.

 Footnotes

CNIL, « Guide du recrutement », 30 janvier 2023.

Décret n° 2018-343 du 9 mai 2018 portant création du traitement automatisé de données à caractère personnel permettant la gestion du répertoire électoral unique.

3 Délibérations SAN-2026-001 et SAN-2026-002 du 8 janvier 2026 – deux sanctions contre les sociétés Free Mobile et Free pour un montant total de 42 millions d’euros ; délibération SAN-2025-004 du 1er septembre 2025 – sanction de 325 millions d’euros contre Google ; délibération SAN-2025-005 du 1er septembre 2025 – sanction de 150 millions d’euros contre SHEIN.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of Haas Avocats
Haas Avocats
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More