Priorités de contrôle 2026 : la Cnil place le recrutement et l'intelligence artificielle sous haute surveillance

Le 3 avril 2026, la Commission nationale de l’informatique et des libertés (ci-après la « Cnil ») a dévoilé ses trois thématiques prioritaires de contrôle pour l’année en cours. Cette annonce intervient dans un écosystème numérique en pleine mutation, marqué par l’entrée en application de l’IA Act et une recrudescence sans précédent des cyberattaques visant les structures associatives et républicaines.  En ciblant le recrutement, le répertoire électoral unique et les fédérations sportives, l’autorité de contrôle entend passer d'une phase de pédagogie à une phase de sanction rigoureuse, garantissant l'effectivité du Règlement général sur la protection des données (ci-après le « RGPD »). 

Le recrutement à l'épreuve de l'intelligence artificielle 

Le secteur des ressources humaines (ci-après les « RH ») constitue le premier pilier de ce programme de contrôle. Si la Cnil avait publié un guide pratique dès janvier 2023, elle estime désormais que les acteurs tels que les cabinets de recrutement, grandes entreprises et plateformes de mise en relation ont disposé d'un délai suffisant pour mettre en conformité leurs processus. 

Si les grands comptes sont visés, les TPE/PME (Très petites entreprises / Petites et moyennes entreprises) ne sont pas exonérées. La Cnil a réitéré ses « cinq questions incontournables » pour ces structures, rappelant que la sécurité des accès et la limitation de la collecte sont les meilleurs remparts contre les sanctions. Dans un environnement marqué par des amendes records, comme celle infligée à Free en janvier 2026, la négligence en matière de protection des données devient un risque financier et réputationnel majeur. 

L’autorité focalisera ses investigations sur l'usage croissant de l’intelligence artificielle (ci-après l’« IA ») dans le tri et la sélection des candidatures. Les agents vérificateurs s’attacheront à contrôler : 

• la loyauté des algorithmes : les outils logiciels ne doivent pas induire de discriminations, qu'elles soient directes ou indirectes ; 

• l’information des candidats : chaque postulant doit être clairement informé de l'existence d'un traitement algorithmique et des critères essentiels de l'évaluation ; 

• la maîtrise des durées de conservation : le stockage indéfini de CV au sein de « viviers » sans purge régulière est désormais une ligne rouge. 

À ce titre, le nouveau référentiel publié le 2 avril 2026 relatif aux durées de conservation des données RH offre une boussole précise. Toutefois, ce texte n'est pas une liste exhaustive. Il appartient aux responsables de traitement de mener une appréciation concrète de ses besoins opérationnels. La conformité ne doit plus être perçue comme une contrainte administrative, mais comme un levier structurant de la confiance entre l'employeur et le futur collaborateur. 

Le Répertoire Électoral Unique : protéger le socle de la démocratie 

Le second axe de contrôle porte sur le Répertoire Électoral Unique (ci-après le « REU »). Géré par l’Insee et utilisé par les collectivités territoriales ainsi que l’administration centrale, ce fichier centralise tous les électeurs français ainsi que leurs données et sert à gérer les listes électorales, les procurations ou encore les soutiens citoyens à des propositions de loi. Compte tenu de sa nature hautement politique et sensible, la Cnil souhaite s’assurer qu’aucun détournement de finalité n'est opéré. 

Les contrôles viseront à identifier les éventuels usages abusifs des listes électorales, notamment à des fins de ciblage partisan non sollicité ou de profilage commercial. L’intégrité du REU est une condition sine qua non de la sincérité des scrutins et de la protection de la vie privée des électeurs. Dans un contexte où les données citoyennes sont de plus en plus convoitées, l’autorité de contrôle rappelle que l’accès à ce fichier doit rester strictement cantonné aux missions de service public définies par le Code électoral. 

Fédérations sportives : sécuriser l'héritage des grands événements 

Enfin, les fédérations sportives, toutes disciplines confondues, font l’objet d’une surveillance inédite. Depuis le succès des Jeux olympiques de Paris 2024, il y a eu une augmentation des inscriptions dans les clubs de sport, depuis ces structures gèrent un volume de données personnelles sans précédent, notamment des certificats médicaux, données de mineurs, antécédents judiciaires et coordonnées bancaires. Or, plusieurs fédérations majeures ont documenté des cyberattaques massives ayant paralysé leurs systèmes fin 2025. 

La Cnil examinera avec une attention particulière : 

• la pertinence des données : les clubs ne doivent collecter que ce qui est strictement nécessaire à la pratique sportive ; 

• leur durée de conservation ; 

• ainsi que la sécurité des systèmes d'information : en lien avec les recommandations de l'Agence nationale de la sécurité des systèmes d'information (l’« ANSSI»), les structures devront prouver la mise en place de mesures techniques robustes (chiffrement, double authentification) pour parer aux tentatives d'exfiltration. 

LOCK-T  

Avec la participation de Célia HAPPI, stagiaire.