La CNIL publie un modèle de rapport d'activité du DPO

Si aux termes de l’article 39 du RGPD, le DPO n’est pas contraint à la rédaction d’un rapport d’activité, la CNIL en préconise néanmoins l’élaboration, qu’elle érige au rang de bonne pratique.

Dans ces circonstances, le 27 avril 2026, la CNIL a publié un modèle de rapport d’activité du DPO adaptable à une variété d’organisations.

La CNIL rappelle que le DPO qui souhaite rédiger son rapport d’activité dispose d’une grande liberté quant à son contenu, son format, sa structure et sa temporalité.

La CNIL préconise toutefois que ce rapport soit un document vivant, élaboré au fil du temps, au gré des activités du DPO et qu’il soit rédigé dans un style clair et concis et inclue, si possible, des éléments chiffrés, visuels et graphiques afin d’en faciliter la lecture.

Il convient de garder à l’esprit que la production par le DPO d’un rapport d’activité est un outil stratégique de pilotage favorisant un reporting clair et structuré à l’adresse de la direction de l’organisation concernée.

Un tel rapport s’analyse par ailleurs en un instrument d’évaluation et de suivi quant à la maturité de l’organisation en matière de protection des données à caractère personnel, mais il est également un support de communication efficace et adaptable qui permet de valoriser la conformité en interne comme en externe.

Cet article est mis en ligne à des fins d’information du public et ne constitue pas une consultation juridique. En raison de l’évolution constante de la législation et de la jurisprudence, le cabinet ne peut pas garantir son application permanente et actuelle. En conséquence, nous vous invitons à nous interroger pour toute question juridique relative au thème évoqué. En aucun cas, le cabinet d’Anne-Sophie Hutteau-Hiltzer ne pourra être tenu responsable de l’inexactitude ou de l’obsolescence des articles publiés sur le présent site.

Menu principal

Légal