Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mardi 2 juin 2026
Accueil/RGPD/Article 59 RGPD : le rapport annuel des autorités
RGPD

Article 59 RGPD : le rapport annuel des autorités

Article 59 RGPD : le rapport annuel de la CNIL, son contenu et comment l'exploiter pour anticiper les contrôles et thématiques prioritaires.

Par Thiebaut DevergrannePublie le 31 mai 2026Mis a jour le 31 mai 20269 min de lecture
Sommaire
  1. Ce que dit l’article 59 du RGPD
  2. Un contenu à géométrie variable
  3. Pourquoi ce rapport est un outil de veille stratégique
  4. La transposition française : l’article 8 de la loi Informatique et Libertés
  5. Comment exploiter le rapport annuel en pratique
  6. Ce qu’il faut retenir
  7. FAQ

En 2025, la CNIL a prononcé près de 487 millions d’euros d’amendes — environ neuf fois le cumul de 2024 — reçu un record de 20 150 plaintes et recensé 6 167 notifications de violations de données. Ces chiffres ne sont pas une fuite : ils sont publiés chaque année dans un document que l’article 59 du RGPD oblige la CNIL à produire. Dans ma pratique, je considère le rapport annuel comme la meilleure source de veille gratuite qui existe pour anticiper les contrôles. Voici pourquoi, et comment l’exploiter.

Ce que dit l’article 59 du RGPD

L’article 59, intitulé « Rapports d’activité », est l’un des plus courts du règlement : un seul paragraphe. Mais il referme un dispositif de transparence qui structure tout le rapport de force entre les autorités de contrôle et les responsables de traitement.

Le texte pose trois obligations distinctes. D’abord, chaque autorité de contrôle établit un rapport annuel sur ses activités. Ensuite, ce rapport est transmis au parlement national, au gouvernement et aux autres autorités désignées par le droit d’un État membre. Enfin, il est mis à la disposition du public, de la Commission et du comité — le comité étant le Comité européen de la protection des données (CEPD/EDPB).

Cet article clôt la section 2 du chapitre VI consacrée aux missions et pouvoirs des autorités. Il faut le lire en prolongement direct de l’article 57 RGPD sur les missions et de l’article 58 RGPD sur les pouvoirs : le rapport annuel est le compte rendu public de la manière dont l’autorité a exercé, sur une année, les prérogatives que ces deux textes lui confient. Il prolonge aussi la logique d’indépendance posée par l’article 51 RGPD : une autorité indépendante du pouvoir exécutif doit rendre des comptes, et c’est au parlement et au public qu’elle les rend.

Un contenu à géométrie variable

La rédaction de l’article 59 mérite l’attention sur un point de méthode juridique. Le rapport « peut comprendre une liste des types de violations notifiées et des types de mesures prises conformément à l’article 58, paragraphe 2 ». Le verbe est au conditionnel de faculté, non d’obligation.

Concrètement, le RGPD impose l’existence d’un rapport annuel, mais ne fige pas son contenu détaillé. Il laisse à chaque autorité une marge d’appréciation sur ce qu’elle y publie. La seule indication de contenu est facultative et porte sur deux éléments : les types de violations de données notifiées au titre de l’article 33 RGPD, et les types de mesures correctrices adoptées (mises en demeure, rappels à l’ordre, injonctions, limitations de traitement, amendes administratives) au titre de l’article 58(2).

Cette souplesse explique l’hétérogénéité des rapports d’une autorité européenne à l’autre. La CNIL a fait le choix d’un document riche et pédagogique, bien au-delà du minimum suggéré. Dans mon expérience, c’est précisément cette richesse qui transforme une obligation administrative en outil stratégique.

Pourquoi ce rapport est un outil de veille stratégique

La plupart des DPO que j’accompagne lisent les sanctions de la formation restreinte au fil de l’eau, mais négligent le rapport annuel. C’est une erreur. Le rapport ne fait pas qu’établir un bilan : il annonce les priorités, révèle les statistiques agrégées et signale la doctrine émergente. Lu correctement, il permet d’anticiper où la CNIL portera son attention dans les douze mois à venir.

Les chiffres clés du rapport 2025

Le rapport annuel 2025, publié en mai 2026, donne la mesure de l’intensification de l’action répressive. La CNIL a reçu 20 150 plaintes, un record en hausse de 10 % sur 2024. Elle a mené 323 contrôles et rendu 259 décisions, dont 83 sanctions pour un montant total de près de 487 millions d’euros — soit près de neuf fois le cumul de l’année précédente. Les principaux motifs de sanction concernent les cookies, la surveillance des salariés et la sécurité des données.

Côté violations, 6 167 notifications ont été enregistrées au titre de l’article 33, et un incident déclaré sur deux relève d’un piratage. Ces données, mises en perspective avec les analyses de l’article 83 RGPD sur le calcul des amendes, dessinent une tendance nette : la sécurité informatique est devenue le premier terrain de contentieux.

Les thématiques prioritaires 2026

Chaque année, la CNIL définit des thématiques prioritaires de contrôle, qui représentent environ 20 % de ses contrôles. Pour 2026, elle a retenu trois axes : le recrutement (avec une attention particulière aux systèmes de décision automatisée et aux durées de conservation, en visant prioritairement les grandes entreprises et les cabinets de recrutement), le répertoire électoral unique et les fédérations sportives.

À cela s’ajoute une orientation transversale décisive : la CNIL consacrera la moitié de ses contrôles et de ses actions répressives à la sécurité des données en 2026. Le déploiement d’outils d’IA générative traitant des données personnelles reste par ailleurs un axe de vigilance majeur, avec une attente claire de documentation des traitements, d’identification des bases légales et d’information des personnes concernées.

Pour une entreprise, l’enseignement est immédiat : si vous recrutez avec des outils algorithmiques, si vous gérez un fichier électoral ou si vous opérez dans le secteur sportif, vous savez désormais que vous êtes statistiquement plus exposé en 2026. Et quelle que soit votre activité, la sécurité de vos traitements est devenue la première ligne de défense.

La transposition française : l’article 8 de la loi Informatique et Libertés

En France, l’obligation de rapport annuel précède largement le RGPD : elle figurait déjà dans la loi du 6 janvier 1978, qui a fait de la CNIL la première autorité de protection des données en Europe. Aujourd’hui, c’est l’article 8-I-7° de la loi Informatique et Libertés qui prévoit que la CNIL présente chaque année un rapport public rendant compte de l’exécution de sa mission.

Conformément à l’article 59, ce rapport est remis aux pouvoirs publics — Président de la République, Premier ministre, Parlement — et rendu accessible à tous. La CNIL le publie intégralement sur son site, le PDF étant librement téléchargeable. Cette transmission au Parlement n’est pas une formalité : elle matérialise le contrôle démocratique sur une autorité administrative indépendante qui n’est, par construction, soumise à aucune instruction de l’exécutif. Le rapport est ainsi le pendant logique de l’indépendance organique que j’ai détaillée à propos de l’article 52 RGPD.

Comment exploiter le rapport annuel en pratique

Ayant travaillé six ans au sein des services du Premier ministre avant de conseiller des entreprises sur leur conformité, j’ai pris l’habitude de traiter ce document comme un instrument de pilotage. Voici la méthode que je recommande.

D’abord, lisez la section sur les thématiques prioritaires de contrôle dès sa publication et confrontez-la à votre cartographie des traitements. Si l’un de vos traitements relève d’une thématique annoncée, c’est le moment de prioriser un audit interne, avant que la CNIL ne s’en charge.

Ensuite, analysez la typologie des sanctions et des manquements récurrents. Le rapport ne se contente pas de chiffres : il explique les motifs qui reviennent. Sécurité défaillante, cookies non conformes, durées de conservation excessives, surveillance disproportionnée des salariés — autant de signaux sur les attentes concrètes du régulateur.

Troisièmement, suivez les statistiques de violations de données. Un incident sur deux relevant d’un piratage, la robustesse de votre dispositif de notification au titre de l’article 33 RGPD et de votre procédure de réponse à incident devient un enjeu central. C’est exactement ce que documente notre guide sur la procédure de notification de violation en 72 heures.

Enfin, croisez le rapport avec les décisions individuelles. Le bilan annuel donne la tendance ; les délibérations de la formation restreinte donnent le détail du raisonnement. Les deux se complètent. C’est ce travail de veille structurée — relier les orientations macro aux décisions concrètes — que Legiscope automatise pour suivre l’évolution de la doctrine sans y consacrer des heures chaque semaine.

Au-delà du cas français, n’oubliez pas que l’article 59 impose la même obligation à toutes les autorités européennes, et que leurs rapports sont publics. Pour un groupe opérant dans plusieurs États membres, lire les rapports de l’autorité chef de file et des autorités concernées est un complément utile à la lecture de la procédure de coopération de l’article 60.

Ce qu’il faut retenir

  • L’article 59 RGPD impose à chaque autorité de contrôle d’établir un rapport annuel d’activité, transmis au parlement et au gouvernement, et mis à la disposition du public, de la Commission et du CEPD.
  • Le contenu détaillé est laissé à l’appréciation de chaque autorité : seule une liste des types de violations notifiées et des mesures correctrices prises (article 58(2)) est mentionnée, à titre facultatif.
  • Le rapport 2025 de la CNIL fait état de 20 150 plaintes, 323 contrôles, 83 sanctions pour près de 487 M€, et 6 167 violations de données notifiées.
  • Pour 2026, les thématiques prioritaires sont le recrutement, le répertoire électoral unique et les fédérations sportives, avec 50 % des contrôles consacrés à la sécurité des données.
  • En France, l’obligation est transposée par l’article 8-I-7° de la loi Informatique et Libertés. Le rapport est un outil de veille gratuit pour anticiper les contrôles.

FAQ

L’article 59 RGPD impose-t-il un contenu précis au rapport annuel ?

Non. L’article 59 impose seulement l’existence d’un rapport annuel et sa transmission au parlement, au gouvernement et au public. Le contenu détaillé relève de l’appréciation de chaque autorité. Le texte mentionne uniquement, et à titre facultatif, une liste des types de violations notifiées et des mesures correctrices prises au titre de l’article 58(2).

Où trouver le rapport annuel de la CNIL ?

La CNIL publie son rapport annuel intégralement sur son site cnil.fr, généralement au mois de mai, le PDF étant librement téléchargeable. L’article 59 RGPD et l’article 8-I-7° de la loi Informatique et Libertés imposent cette mise à disposition du public, en complément de la transmission au Parlement et au gouvernement.

À quoi sert le rapport annuel pour une entreprise ?

C’est un outil de veille stratégique. Il annonce les thématiques prioritaires de contrôle de l’année à venir, révèle les statistiques de plaintes, de contrôles et de sanctions, et identifie les manquements les plus fréquents. Le lire permet d’anticiper où la CNIL portera son attention et de prioriser ses propres audits internes.

Toutes les autorités européennes publient-elles un rapport annuel ?

Oui. L’article 59 RGPD impose la même obligation à toutes les autorités de contrôle de l’Union et de l’EEE. Leurs rapports sont publics et transmis au CEPD. Pour un groupe transnational, la lecture des rapports de l’autorité chef de file et des autorités concernées complète utilement la veille nationale.

Articles lies

RGPD

Article 68 RGPD : le Comité européen décrypté

1 juin 2026 · 12 min
RGPD

Article 70 RGPD : les missions du CEPD décryptées

1 juin 2026 · 11 min
RGPD

Article 67 RGPD : l'échange d'informations décrypté

31 mai 2026 · 13 min