Feuille de route 2026 de la CNIL : cinq chantiers à garder en tête pour les entreprises

Un encadrement renforcé de l’intelligence artificielle

L’IA occupe une place centrale dans les travaux de la CNIL pour 2026. L’autorité entend finaliser ses orientations sur l’utilisation de l’intelligence artificielle dans deux secteurs sensibles : le monde du travail et la santé. Ces documents traiteront notamment des risques de biais algorithmiques ainsi que des garanties nécessaires à la protection des droits des salariés et des patients. Dans le secteur de la santé, une consultation publique a été lancée en partenariat avec la Haute Autorité de Santé (HAS), ouverte jusqu’au 16 avril 2026, afin de définir les bonnes pratiques applicables à l’IA en contexte de soins.

La CNIL s’attachera également à clarifier les responsabilités des différents acteurs intervenant dans la chaîne de valeur de l’IA – concepteurs de modèles, déployeurs, etc.

Par ailleurs, l’autorité se prépare à être désignée autorité de surveillance de marché au titre du règlement européen sur l’IA (RIA), dont l’entrée en application est progressive depuis 2024.

Des outils à destination des délégués à la protection des données (DPO) sont également prévus, portant sur la gouvernance, l’organisation documentaire et la feuille de route dans le contexte de l’essor de l’IA au sein des organisations.

Sécurité des données et cybersécurité

Face à la multiplication des violations de données de grande ampleur, la CNIL intensifie ses travaux en matière de cybersécurité. Plusieurs recommandations sont prévues : une version finale sur les systèmes de vote électronique à distance, un projet sur la sécurisation des échanges via messageries électroniques, ainsi qu’un texte sur la vérification d’identité à distance. Une recommandation sur les passerelles de filtrage web sera également publiée, et un projet relatif aux services de détection et de réponse pour les terminaux (EDR) sera mis en consultation.

Dans le domaine de la santé, la CNIL publiera une recommandation consolidant les règles applicables au dossier patient informatisé (DPI), à destination des DPO, des responsables de systèmes d’information et des directions d’établissements de santé.

Autres chantiers sectoriels

Le programme 2026 couvre également plusieurs chantiers sectoriels. En matière de mercatique, la CNIL lancera des travaux sur le consentement « multipropriétés », visant à encadrer le recueil d’un consentement unique pour plusieurs sites ou médias d’un même groupe, dans le respect de la vie privée des internautes.

Dans le secteur du logement social, une série d’outils pratiques sera proposée aux acteurs du secteur, portant sur les principes fondamentaux du droit des données personnelles et des traitements spécifiques tels que la gestion des demandes de logement ou la gestion locative.

Enfin, la CNIL actualisera ses méthodologies de référence pour la recherche en santé, afin d’adapter ses outils aux évolutions réglementaires et aux besoins des professionnels.

Les trois points clés à retenir

L’IA au cœur des priorités 2026 : la CNIL publie des orientations sur le déploiement de l’IA dans le travail et la santé, clarifie les responsabilités dans la chaîne de valeur de l’IA et se prépare à exercer un rôle de surveillance de marché au titre du règlement européen sur l’IA.
Cybersécurité et protection des données renforcées : plusieurs recommandations sont prévues sur le vote électronique, les messageries, la vérification d’identité à distance et les outils EDR.
Accompagnement sectoriel ciblé : des outils pratiques sont prévus pour les DPO, les acteurs du logement social et les professionnels de santé, avec notamment une recommandation consolidée sur le dossier patient informatisé.