Programme CEPD 2026–2027 : vers un RGPD de maturité
Une stratégie structurée pour les deux ans à venir
Harmonisation et conformité
L'enjeu est de clarifier des notions que les DPO manipulent au quotidien mais qui restent encore floues ou interprétées différemment selon les pays.
Anonymisation, pseudonymisation, intérêt légitime, consent or pay, protection des données des enfants, traitement à des fins de recherche : autant de sujets qui appellent des lignes directrices communes pour mettre fin aux divergences d'interprétation.
Culture du contrôle
Le CEPD entend également renforcer la coopération entre les autorités nationales de protection des données. Cela passe par une harmonisation des procédures, notamment celles des articles 60, 61 et 66 et par une convergence des pratiques en matière d'amendes, de statistiques, de task forces et d'inspections.
Articulation avec l'écosystème numérique
C'est peut-être le chantier le plus ambitieux. Alors que les textes se sont multipliés ces dernières années, l'objectif est d'éviter que chaque nouveau règlement ne crée sa propre logique parallèle : IA Act, DMA, DSA, publicité politique, lutte contre le blanchiment, télémétrie, blockchain doivent tous trouver leur cohérence avec le RGPD.
Dialogue mondial
Enfin, le regard se tourne vers l'international, avec la consolidation des mécanismes de transferts (BCR, CCT, certifications, décisions d'adéquation) et le renforcement de la coopération avec les pays reconnus adéquats.
Des outils concrets pour faciliter votre conformité
Au-delà de la doctrine, le CEPD annonce une montée en puissance de l'outillage pratique.
Des templates européens sont attendus pour vos documents clés : registre des traitements, AIPD (DPIA), analyses d'intérêt légitime (LIA), notifications de violation, mentions d'information et politiques de confidentialité. Des guides "How-to", FAQ et checklists viendront compléter l'existant, avec une extension des contenus didactiques destinés aux non-experts, aux PME et aux personnes concernées, dont les enfants.
Sur le volet doctrinal, les chantiers sont nombreux. Des lignes directrices dédiées au consent or pay clarifieront les modèles d'accès payant sans publicité comportementale. Les lignes directrices sur la pseudonymisation et l'anonymisation seront finalisées et mises à jour après consultation publique.
Et sur l'IA, des lignes directrices conjointes viendront préciser l'interaction entre l'IA Act et le RGPD, avec un focus particulier sur l'entraînement des modèles, le data scraping et les risques de ré-identification.
Ce qu'il faut retenir pour les DPO & Privacy
Huit ans après l'applicabilité du RGPD, le CEPD assume une nouvelle étape : non plus expliquer le texte, mais outiller. Cette montée en puissance s'accompagne d'une recherche de meilleure sécurité juridique. Les efforts d'harmonisation procédurale et les nouvelles règles de coopération entre autorités devraient limiter les divergences de traitement sur les dossiers complexes d'un pays à l'autre.
En parallèle, les prochaines lignes directrices (consent or pay, IA, enfants, recherche…) vont mécaniquement augmenter la charge de conformité en imposant une mise à jour rapide de votre documentation interne.
💡 Conseil Inkivari : Plutôt que d'attendre les contrôles, c'est maintenant qu'il faut préparer vos processus pour intégrer ces futurs standards : registre, AIPD, LIA, notifications, mentions dès leur publication.
Data Privacy Framework : les nouvelles règles du jeu
Ce qui change dans les FAQ du DPF
Le CEPB a mis à jour ses FAQ sur le DPF avec désormais une version dédiée aux entreprises et une autre aux personnes concernées, afin de clarifier obligations, droits et voies de recours. On y trouve aussi des modèles de plaintes prêts à l'emploi, utilisables aussi bien pour les transferts commerciaux que pour les questions de sécurité nationale, ainsi que des explications plus concrètes sur les mécanismes de redressement côté UE et côté États-Unis.
L'idée n'est pas de tout changer, mais de rendre le cadre plus strict et plus lisible pour sécuriser vos flux transatlantiques tout en garantissant des recours effectifs aux résidents européens.
La certification ne fait pourtant pas tout
Utiliser le DPF suppose une vraie rigueur documentaire. Il faut être capable d'expliquer clairement aux personnes concernées que vous utilisez ce mécanisme, vers quels destinataires partent les données et quels droits elles conservent, tout en articulant proprement DPF, CCT et BCR pour éviter les montages incompréhensibles.
Votre documentation interne doit démontrer que vous maîtrisez vos flux, vos fondements juridiques et l'exercice des droits. Cela suppose de vérifier régulièrement dans la liste du Department of Commerce que vos partenaires sont bien certifiés, d'anticiper le cas où l'un d'eux sortirait du DPF tout en restant tenu par les principes pour les données déjà reçues et de ne jamais oublier que ce cadre ne vous dispense pas de respecter les fondamentaux du RGPD : minimisation, sécurité, information des personnes, droits et durées de conservation maîtrisées.
Comment Inkivari sécurise ses transferts vers les États-Unis
Comme beaucoup d'organisations, nous sommes en train de renforcer notre propre maîtrise des flux transatlantiques.
Plutôt que viser d'emblée un modèle parfait, nous vous recommandons de commencer par trois réflexes très concrets :
Intégrer un "check DPF" dans la qualification fournisseur, même de façon pragmatique au départ : vérification régulière de la certification et de son périmètre.
Distinguer clairement dans le registre des traitements les flux couverts par le DPF de ceux qui reposent sur les CCT ou les BCR, et d'associer progressivement à ces flux une analyse de transfert (TIA) à jour, en priorisant les données et services les plus sensibles.
Et préparer un mode opératoire de base pour traiter une plainte ou une demande liée au DPF : qui répond, quelles informations donner, quand et comment escalader vers les mécanismes prévus côté États-Unis.
Peu d'organisations sont aujourd'hui au niveau idéal sur le DPF. L'enjeu n'est pas d'être parfait, mais de montrer une trajectoire claire : des flux identifiés, des mécanismes assumés, une documentation qui progresse et une capacité réelle à répondre aux personnes concernées.
Preuve du consentement : la CNIL hausse le ton
Des zones grises que la concertation vient cibler
Sur le terrain, on le voit tous les jours : entre email, SMS, cookies, prospection téléphonique et achats de bases, beaucoup d'organisations seraient bien en peine de reconstituer une preuve de consentement propre de bout en bout. La concertation lancée par la CNIL le 22 janvier 2026 vise justement ces zones grises : les chaînes de sous-traitants, les écosystèmes adtech, les intermédiaires multiples.
L'objectif annoncé est double : encadrer les chaînes complexes (annonceurs, courtiers, plateformes de gestion du consentement, DMP, régies, intermédiaires techniques) avec des attentes plus lisibles, et clarifier ce que la CNIL attend en matière de traçabilité et de conservation des choix, notamment dans les contextes omnicanaux où une même personne est sollicitée sur plusieurs supports. En filigrane, le message est clair : le temps des consentements "présumés" ou impossibles à prouver touche à sa fin.
La fin des "preuves papier"
La CNIL rappelle les fondamentaux du consentement : libre, spécifique, éclairé, univoque, mais surtout elle insiste sur la capacité à en apporter la preuve. Concrètement, une clause dans un contrat avec un prestataire ou un broker ne suffit plus : il faut des faits. Autrement dit, si vous ne pouvez pas montrer comment et quand la personne a cliqué, vous êtes en zone de risque.
Cela signifie être capable de produire des éléments concrets tel que les horodatages, identifiants, versions de bandeau ou de formulaire, contexte de collecte montrant comment la personne a exprimé son choix. Et cette preuve doit suivre l'individu quel que soit le canal : site web, application, téléphone, papier, point de vente.
Les futurs points d'attention annoncés sont particulièrement structurants : d'un côté, la capacité de partage de la preuve entre les différents acteurs d'une même chaîne dans un format réellement exploitable ; de l'autre, des durées de conservation alignées sur la réalité des usages marketing, pour éviter d'exploiter encore des consentements dont on ne maîtriserait plus ni le cadre ni la preuve. Et si vous achetez ou louez des fichiers, le message est sans ambiguïté : même si vous n'êtes pas à l'origine de la collecte, vous restez responsable de vérifier la validité du consentement et de la preuve associée.
Sécurisez votre preuve du consentement grâce aux préconisations de nos experts
Peu d'organisations ont aujourd'hui une chaîne de consentement vraiment maîtrisée, surtout dès qu'il y a plusieurs partenaires ou outils marketing en jeu. Plutôt que viser un système parfait du jour au lendemain, nous recommandons de commencer par trois réflexes très concrets.
Commencer par cartographier qui détient vraiment la preuve est souvent le point de départ le plus utile. Pour chaque canal utilisé (site web, application, call-center, papier, point de vente), il s'agit d'identifier précisément où se trouvent les preuves de consentement : plateforme de gestion du consentement, routeur email/SMS, éditeur, broker, intégrateur. Chaque "on ne sait pas trop où c'est" aujourd'hui est un point faible demain en cas de contrôle.
Il faut vérifier si vous n'exploitez pas encore des consentements dont la preuve est trop ancienne, incomplète ou plus cohérente avec vos pratiques actuelles. Une bonne question à se poser : "Est-ce qu'on serait à l'aise de présenter cette preuve telle quelle à la CNIL ?" Si la réponse est non, il faut ajuster.
Rendez vos pratiques plus lisibles pour les personnes est souvent le réflexe le plus négligé. Il s'agit d'harmoniser votre vocabulaire dans les mentions d'information et les formulaires pour expliquer simplement comment vous tracez, conservez et, le cas échéant, partagez ces preuves de consentement avec vos partenaires. Ce n'est pas uniquement un sujet de conformité : c'est aussi ce qui conditionne la confiance lorsque les personnes commencent à poser des questions et à demander des comptes.
En filière marketing comme côté DPO, le sujet n'est plus seulement "avoir un bandeau" ou une case à cocher. C'est être capable, demain, de montrer qui a consenti, à quoi, quand, et sur quelle base vous continuez à le solliciter.
