Saisie par une initiative citoyenne en 2024, la Cour des comptes livre un bilan de l’activité de la Cnil depuis l’entrée en vigueur du RGPD. Son verdict ? « Une montée en puissance inachevée ». Si l’autorité, qui emploie près de 300 agents pour un budget de 28 millions d’euros (+72% entre 2017 et 2024) a su faire face, la Cour note des tensions et des manques alors que l’autorité se voit confier de nouvelles missions.
Une adaptation globalement réussie
Avec le RGPD, la Cnil est passée d’un régime d’autorisation a priori à une logique d’accompagnement et de responsabilisation. La Cour juge cette transformation majeure du rôle de régulateur « réussie », son accompagnement étant « apprécié » par les responsables de traitement du secteur public comme du privé. La Commission peine cependant à gérer les plaintes dont le volume a plus que doublé depuis 2017 pour atteindre près de 18.000 en 2024. Le délai de réponse aux plaintes recevables est passé de 256 jours en 2017 à 309 jours en 2024. Face à l’accumulation du stock de plaintes – largement imputable à l’explosion des fuites de données personnelles – la Cour invite à les « prioriser » selon de nouveaux indicateurs.
Des territoires plus contrôlés que d’autres
La Commission mène 300 à 350 contrôles par an, un chiffre stable. Les collectivités représentent un 1/4 des entités publiques contrôlées à ce jour. La Cour note cependant des déséquilibres géographiques : 65% des contrôles sur place ont été diligentés en Île-de-France, 35% en dehors, aucun département d’outre-mer ne figurant dans la liste. La Cnil a justifié la stabilité du nombre de contrôles comme le déséquilibre géographique par des contraintes budgétaires.
La Cour relève également l’absence de « vision d’ensemble » sur le réseau des 36.777 délégués à la protection des données (DPD) publics et privés chargés de mettre en œuvre le RGPD dans leur organisation. Elle recommande d’en cartographier les effectifs d’ici fin 2027 et de créer une procédure permettant aux DPD des ministères d’obtenir une position écrite de la Cnil sur des questions de principe, inexistante à ce jour.
Les petites sanctions mal recouvrées
La Cour constate ensuite le renforcement du volet répressif. Entre 2017 et 2024, la Cnil a plus que triplé le nombre de mesures correctrices et sanctions prononcées annuellement, certaines se chiffrant en millions d’euros (100 millions pour Google, 60 pour Facebook…).
Sur les 649 millions d’euros de sanctions prononcées en 8 ans, 621 millions ont été recouvrés (96%). Ce taux tend cependant à se détériorer. Depuis la création en 2023 d’une procédure simplifiée, plafonnée à 20.000 euros, les petites amendes se multiplient mais peinent à être recouvrées. En 2024, le nombre d’amendes non payées dépasse ainsi celles effectivement recouvrées. Une situation, imputable en partie à un problème Chorus/DGFiP, que la Cour appelle à résorber au plus vite.
AI Act : un risque de submersion ?
Enfin, la Cour ne peut que constater que la Cnil est de plus en plus sollicitée. Le règlement européen sur l’IA (RIA) a abouti à désigner la Cnil comme « autorité de surveillance du marché » pour certains systèmes à haut risque. La loi SREN de 2024 lui confie le filtre anti-arnaque avec jusqu’à 300.000 sites malveillants à surveiller. Le Data Act, applicable depuis septembre 2025, lui attribue une présomption de compétence dès que des données personnelles sont en jeu. Ces nouvelles responsabilités exigent des compétences pointues et induisent davantage de coordination avec d’autres régulateurs comme l’Arcom, la DGCCRF ou l’Arcep.
La Cour reconnaît qu’il sera difficile pour la Cnil de faire face sans moyens supplémentaires. A court terme, elle l’invite à se donner davantage de marge de manœuvre en ne recrutant pas systématiquement ses agents contractuels en CDI.
.
