
La Commission nationale de l’informatique et des libertés (Cnil) a publié, le 27 avril 2026, un modèle de rapport d’activité du DPO destiné à faciliter l’élaboration d’un reporting structuré, à renforcer la traçabilité des actions conduites et à valoriser le rôle du DPO au sein de l’organisme.
Un outil sans caractère obligatoire, mais constituant une base de travail solide
Le modèle de rapport d’activité du DPO est présenté par la Cnil comme un outil méthodologique dépourvu de caractère obligatoire : les organismes peuvent continuer à structurer le reporting de leur DPO selon la méthode de leur choix.
Il constitue néanmoins une base de travail utile, en ce qu’il contribue à préciser les bonnes pratiques attendues en matière de gouvernance des données, de pilotage de la conformité et de reporting auprès de la direction.
Il est recommandé de l’appréhender comme un document vivant, alimenté progressivement au fil des activités du DPO, plutôt que comme un document rédigé uniquement en fin d’année.
Le modèle de rapport d’activité du DPO, un outil répondant aux exigences d’accountability prévues par le RGPD
Le modèle s’inscrit dans le cadre des obligations issues de l’article 5 du RGPD, qui impose au responsable du traitement, non seulement de respecter les principes applicables en matière de protection des données, mais également d’être en mesure d’en démontrer le respect.
Une structuration en trois axes principaux
La Cnil recommande d’articuler le rapport autour de trois axes :
• les actions menées ;
• les difficultés rencontrées ;
•le plan d’action à venir.
Cette structuration permet d’éviter une approche purement descriptive et de produire un document directement exploitable par les instances dirigeantes.
Pour faciliter la lecture et assurer la continuité du suivi d’une année sur l’autre, il est recommandé de structurer les informations par catégories d’activités : sensibilisation, conseil, gestion des demandes d’exercice des droits, gestion des violations de données, analyses d’impact, audits, documentation et gouvernance.
Le modèle de rapport d’activité du DPO permet ainsi de répondre à plusieurs questions structurantes :
• Les actions prioritaires ont-elles été réalisées ?
• Quels traitements ou projets nécessitent une attention particulière ?
• Les mesures techniques et organisationnelles sont-elles adaptées aux enjeux des traitements ?
• Les moyens alloués au DPO sont-ils suffisants ?
Des indicateurs clés pour objectiver le reporting auprès de la direction
Le RGPD prévoit que le DPO rend compte directement au niveau le plus élevé de la direction de l’organisme. Dans ce cadre, le rapport peut utilement intégrer des indicateurs chiffrés portant sur le nombre de demandes d’exercice des droits reçues et les délais de réponse, le nombre de violations de données identifiées ou notifiées, les analyses d’impact réalisées ou en cours, les audits conduits, ainsi que les documents de conformité produits ou mis à jour.
La Cnil précise que la direction peut demander la production d’un tel rapport sans porter atteinte à l’indépendance du DPO et recommande, lorsque cela est possible, une présentation formelle en réunion.
Précautions à prendre lors de l’utilisation de ce modèle
Le rapport d’activité ne remplace pas les autres obligations documentaires prévues par le RGPD mais a vocation à les synthétiser et à en faciliter l’appropriation par la direction.
Une attention particulière doit être portée au contenu des annexes : les documents produits au titre de la conformité étant susceptibles d’être consultés en cas de contrôle, il convient de veiller à leur exactitude, à leur cohérence et à leur caractère suffisamment étayé, sans multiplier inutilement les documents incomplets, contradictoires ou non actualisés.

Avocate
Directrice du pôle Contentieux du numérique

Avocate
Collaboratrice du département Contentieux du numérique

