En 2026, la CNIL poursuit son accompagnement des acteurs publics et privés dans leur mise en conformité avec le RGPD et de certaines dispositions du RIA. S’appuyant sur un dialogue régulier avec les représentants des différents secteurs, elle présente les principaux travaux et ressources qu’elle prévoit de publier ou soumettre à consultation.
Depuis plusieurs années, la CNIL entretient un dialogue constant avec les acteurs publics, les acteurs économiques et la société civile.
Afin de bien guider les professionnels, la CNIL consulte régulièrement des interlocuteurs clés (représentants de fédérations professionnelles, de groupes d’intérêt et d’associations) pour identifier les enjeux, éclairer les obligations légales et promouvoir des bonnes pratiques. Ces documents offrent un cadre clair pour une mise en conformité opérationnelle.
En 2026, la CNIL renforce sa démarche de transparence en présentant les ressources qu’elle prévoit de soumettre à consultation publique ou de publier afin de permettre aux parties prenantes de se préparer aux futures concertations et consultations et d’anticiper les évolutions.
Le programme présenté ci-dessous est donné à titre indicatif et pourra évoluer, notamment en fonction de l’actualité.
Après ses recommandations sur le recueil du consentement multi-terminaux, la CNIL lancera, en 2026, des travaux sur le recueil du consentement « multipropriétés », c’est-à-dire les conditions permettant le recueil d’un consentement unique pour plusieurs sites ou médias, notamment lorsqu’ils appartiennent à un même groupe.
L’enjeu est d’offrir un cadre permettant de limiter les demandes multiples pour les internautes, notamment dans les groupes médias ou les univers multi-marques, tout en protégeant la vie privée et la liberté de choix des utilisateurs.
Après avoir publié des fiches pratiques sur le déploiement de l’IA dans le secteur de l’éducation, la CNIL finalisera ses travaux concernant les utilisations de l’IA dans les secteurs du travail et de la santé. Ces documents aborderont notamment les risques de biais algorithmiques et les garanties à mettre en place pour protéger les droits des salariés et des patients.
S’agissant du secteur de la santé, la CNIL a lancé, en partenariat avec la HAS, une consultation publique jusqu’au 16 avril 2026 afin de définir les bonnes pratiques sur le recours à l’IA dans un contexte de soins.
Afin d’accompagner le développement des outils de transcription et d’analyse automatique au sein des centres d’appels ou des logiciels de visioconférence notamment, la CNIL lancera des travaux destinés à clarifier les conditions dans lesquelles ces outils peuvent être mis en œuvre à travers des cas d’usages correspondant aux pratiques des acteurs.
Les délégués à la protection des données (DPO) jouent un rôle clé dans la conformité des traitements de données personnelles. Leur rôle de conseil est essentiel quant aux usages de l’IA dans les organisations qui les ont désignés.
En lien avec les associations de délégués à la protection des données, la CNIL prévoit de produire plusieurs contenus opérationnels sur des sujets intéressant le quotidien de ces acteurs de la conformité (gouvernance, feuille de route, organisation de la documentation, etc.).
La qualification des responsabilités des acteurs de la chaîne de création d’un système d’IA (concepteurs de modèles, déployeurs, etc.) est essentielle pour assurer une gouvernance équilibrée.
La CNIL précisera les conséquences de l’application du RGPD aux modèles d’IA soumis au RGPD car non anonymes.
Le règlement sur l’IA, qui entre progressivement en application depuis 2024, détaille des niveaux d’exigence que les systèmes d’IA doivent suivre, en fonction de leur impact potentiel (minimal, modéré et inacceptable).
Dans ce contexte, la CNIL se prépare à être désignée autorité de surveillance de marché au titre du règlement européen sur l’intelligence artificielle, en plus de ses fonctions d’autorité de protection des droits fondamentaux.
L’un des enjeux principaux est de mettre en œuvre cette régulation en cohérence avec celles existantes pour concilier accompagner l’innovation et la transformation des entreprises et des administrations, tout en maintenant un haut niveau de confiance dans les usages de l’IA.
Après une période de consultation en 2025, la CNIL proposera une série d’outils dédiés aux acteurs du logement social. Il sera question ici d’apporter des clarifications sur l’application des grands principes « informatique et libertés » (finalité, minimisation, etc.) et sur des thématiques spécifiques (vidéosurveillance et contrôle d’accès, enquêtes, etc.). S’ajouteront des productions sur les traitements couramment mis en œuvre par les acteurs du secteur (gestion des demandes de logement social, de relogement et de mutation, la gestion locative et l’accession sociale à la propriété).
La CNIL actualisera certaines de ses méthodologies de référence permettant de réaliser des recherches dans le domaine de la santé de façon simplifiée sur la base d’une déclaration de conformité, sans avoir à demander une autorisation préalable. Elle souhaite ainsi proposer des outils adaptés aux évolutions règlementaires, aux besoins des acteurs et aux pratiques professionnelles.
Elle mettra également en ligne sa position sur les modalités d’information des personnes concernées en cas de réutilisation de leurs données à des fins de recherche.
La sécurité des données de santé est au cœur des travaux menés par la CNIL depuis plusieurs années. Le dossier patient informatisé (DPI) ou dossier médical fait l’objet d’une attention particulière car il centralise l’ensemble des données des patients pris en charge au sein d’un établissement de santé.
La CNIL publiera en 2026 un document consolidant les règles applicables au DPI ainsi que ses recommandations juridiques et techniques, après une consultation publique en 2025. La recommandation est destinée en particulier aux délégués à la protection des données et à leurs conseils, aux responsables de systèmes d’information (DSI, RSSI) et aux directions générales des établissements de santé publics et privés.
Le droit d’accès fait partie des droits prévus par le RGPD (droit d’information, opposition, etc.). Un salarié peut ainsi demander à son employeur l’accès et la communication des données personnelles qu’il a en sa possession, y compris celles contenues dans les courriels. Ce droit connaît cependant des limites.
La CNIL poursuivra sa réflexion en s’intéressant particulièrement aux difficultés pratiques rencontrées lors de l’étude de telles demandes par l’employeur et/ou le délégué à la protection des données (périmètre de la demande, volume important de données à rechercher, appréciation délicate des atteintes aux droits des tiers).
Dans un contexte d’accroissement des violations de données de grande ampleur, la CNIL :
Avec la menace cyber croissante et l’élévation des exigences s’imposant aux organismes (via la transposition à venir de la directive NIS 2, notamment), les organismes déploient des solutions de sécurité toujours plus avancées.
Dans ce contexte, la CNIL poursuivra son accompagnement des acteurs pour concilier sécurité et protection des données. Elle publiera une recommandation sur les passerelles de filtrage web et mettra en consultation publique un projet de recommandation sur les services de détection et de réponse pour les terminaux (EDR ou endpoint detection & response).