Actualités Conformité Juin 2026 : IA Act, Cour des comptes et séisme sur le démarchage téléphonique
Juin 2026 marque un tournant réglementaire pour les DPO et juristes : la Cour des comptes dresse un bilan sans concession de la CNIL, tandis que la loi du 30 juin 2025 impose le basculement vers l'opt-in strict pour le démarchage téléphonique en B2C dès le 11 août 2026. Côté intelligence artificielle, l'AI Office finalise ses Codes de conduite pour les fournisseurs de modèles GPAI, avec des implications directes sur l'audit de vos sous-traitants IA. Enfin, le G7 Privacy à Paris et l'aveu de Microsoft France sur le Cloud Act relancent le débat sur la souveraineté numérique. Voici l'essentiel à retenir pour piloter votre conformité RGPD et IA Act ce mois-ci.

Chaque mois, Adequacy décrypte les actualités réglementaires marquantes en matière de protection des données et d’intelligence artificielle. Au programme de cette revue de conformité de juin 2026 : le grand oral de la CNIL devant la Cour des comptes, la fin programmée du démarchage téléphonique en B2C, la publication des grilles d'audit de l'AI Office, le sommet du G7 à Paris et l'aveu de Microsoft sur le Cloud Act à VivaTech.
Voici ce qu’il faut retenir pour piloter efficacement votre conformité ce mois-ci.
1. Institutionnel : la CNIL face au miroir de la Cour des comptes
Le 4 juin 2026, la Cour des comptes a publié un rapport public thématique d'évaluation de la CNIL qui fera date. Si l’institution de la rue Cambon salue la trajectoire historique de la Commission et sa capacité d’adaptation face à la déferlante du RGPD, elle pose un diagnostic sans concession sur ses limites opérationnelles actuelles. La Cour épingle sévèrement l’allongement des délais de traitement des plaintes et exige une refonte immédiate des processus internes, doublée d’un renforcement des habilitations juridiques et des compétences techniques des agents.
Pour les directions juridiques et les DPO, ce rapport sonne comme un avertissement : poussée à l'efficacité administrative, la CNIL va devoir industrialiser et automatiser la gestion des litiges de masse. Les contrôles de demain seront techniquement plus incisifs, plus automatisés sur les flux de plaintes, et sans concession pour les entreprises dont la documentation ou la gestion des droits des personnes manque de rigueur.
2. Marketing : le glas du démarchage téléphonique en B2C
Le 10 juin 2026, la CNIL a mis à jour ses lignes directrices sur la prospection commerciale, officialisant un séisme que beaucoup d'entreprises feignaient de ne pas voir venir : le basculement complet vers l'Opt-in strict (le consentement préalable obligatoire) pour les appels vers les particuliers, en application de la loi du 30 juin 2025. Concrètement, au 11 août 2026, le système historique "Bloctel" basé sur le droit d'opposition est mort. Si un client potentiel n'a pas explicitement coché une case non pré-cochée pour dire « Oui, j'accepte qu'on m'appelle », il est légalement interdit de composer son numéro. Les seules exceptions ? Un contrat en cours, et strictement pour un objet lié à ce contrat.
Pour être tout à fait honnête, c'est la fin d'une époque et un immense coup de balai pour les centres d'appels et les courtiers en données (data brokers). Les entreprises qui comptaient sur l'achat de fichiers de "prospects qualifiés" vont devoir auditer leurs partenaires de toute urgence : la CNIL a rappelé qu'un consentement ne se transmet pas de partenaire en partenaire comme une patate chaude. Si vos équipes marketing continuent d'appeler "dans le flou" après le 11 août, vous ne risquez pas seulement une amende CNIL, mais la nullité de plein droit de tous les contrats signés à la suite de ces appels. Il reste moins de deux mois pour basculer vos tunnels de collecte en conformité ; le compte à rebours est lancé.
3. Intelligence Artificielle : les Codes de conduite de l’AI Office s'invitent dans les audits DPO
Les consultations majeures menées par le Bureau européen de l'IA (AI Office) se sont achevées ce mois-ci, notamment les 3 et 23 juin 2026. L'objectif de cette intense activité réglementaire est clair : finaliser la première mouture des Codes de conduite pour les fournisseurs de modèles d'IA à usage général (GPAI), c'est-à-dire les grands modèles de langage (LLM) que tout le monde utilise aujourd'hui. Ce document ne fait pas dans la littérature juridique : il liste des exigences techniques ultra-précises en matière de transparence des données d'entraînement, de respect du droit d'auteur européen et de documentation des risques systémiques.
Soyons clairs : si ce texte vise d'abord les géants de la Tech, il modifie radicalement le quotidien des DPO et des directeurs juridiques en entreprise dès ce mois-ci. Les exigences de l'AI Office se transforment immédiatement en une grille d'audit obligatoire pour vos sous-traitants. L'émergence d'outils d'évaluation technique et juridique (comme les référentiels d'audit LARA) prouve que le marché s'organise déjà. Si votre entreprise intègre un LLM dans ses outils métiers, vous ne pouvez plus vous contenter d'une simple clause de confidentialité dans votre contrat informatique. Vous devez exiger de vos prestataires les pièces justificatives alignées sur ces nouveaux Codes de conduite pour valider la conformité de vos déploiements.
4. International : la CNIL accueille les autorités de protection des données du G7 à Paris
Du 23 au 26 juin 2026, la CNIL préside et accueille à Paris la table ronde des autorités de protection des données et de la vie privée des pays du G7. Ce sommet institutionnel au plus haut niveau intervient dans un contexte de tensions géopolitiques fortes autour de la souveraineté numérique et de l’accélération fulgurante de l’intelligence artificielle à l'échelle mondiale.
Pour nos métiers, ce n’est pas qu’une simple photo de diplomates. Les discussions de cette semaine se concentrent sur la convergence opérationnelle des contrôles et la fluidification sécurisée des flux transfrontaliers de données. Les régulateurs cherchent à harmoniser leurs méthodes pour que les enquêtes internationales sur les grands acteurs de la Tech ou de l’IA ne butent plus sur les frontières nationales. Ce que cela annonce pour vous ? Un partage d’informations de plus en plus fluide entre les autorités mondiales. Si une faille ou un biais algorithmique est détecté à l’étranger, l’alerte remontera beaucoup plus vite sur le bureau de votre régulateur national.
5. Cloud & Souveraineté : l’aveu de Microsoft France face au Cloud Act américain lors de VivaTech
C'est une vérité crue qui est revenue animer les débats juridiques de ce mois de juin 2026. Interrogée publiquement lors des panels de l'édition anniversaire de VivaTech 2026 à Paris, la direction de Microsoft France a explicitement reconnu son incapacité juridique à s'opposer à une injonction de saisie de données émise par la justice américaine en vertu du Cloud Act, même si les données sensibles de ses clients sont physiquement stockées sur le territoire national.
Soyons parfaitement transparents : cet aveu ne surprend aucun juriste rigoureux, mais il a le mérite de dissiper le brouillard marketing. It confirme qu'aucune certification de localisation de données en Europe ne peut faire écran à la législation extraterritoriale américaine si la maison-mère y est soumise. Pour les DPO, c'est une pièce essentielle à intégrer d'urgence dans vos analyses de risques de transfert de données hors Union européenne (les fameuses TIA). Si votre entreprise manipule des données hautement stratégiques, de santé ou de souveraineté, la dépendance à un acteur soumis au Cloud Act comporte un risque résiduel que vous devez cartographier et assumer politiquement en comité de direction.
FAQ - conformité RGPD et IA Act en juin 2026
Pourquoi la Cour des comptes a-t-elle audité la CNIL en juin 2026 ?
La Cour des comptes a publié son rapport le 4 juin 2026 pour évaluer l'efficacité de la CNIL face à ses missions. Elle demande notamment une réduction des délais de traitement des plaintes et une modernisation des habilitations juridiques des agents pour faire face aux enjeux de l'intelligence artificielle.
Quelle est la date limite pour se conformer aux nouvelles règles du démarchage téléphonique ?
La date butoir est fixée au 11 août 2026. Après cette date, le démarchage téléphonique en B2C bascule sous le régime strict de l'Opt-in (consentement préalable obligatoire).
Un hébergement de données en France protège-t-il du Cloud Act américain ?
Non. Comme l'a rappelé la direction de Microsoft France à VivaTech ce mois-ci, si le fournisseur de cloud est une filiale d'un groupe américain, il reste soumis aux injonctions du Cloud Act, peu importe le lieu d'implantation physique des serveurs.
Sources officielles & Références juridiques
- Rapport d'évaluation de la CNIL : Rapport public de la Cour des comptes (juin 2026)
- Sommet du G7 Privacy : Espace International de la CNIL & Table ronde du G7 (23-26 juin 2026)
- Directives Démarchage Téléphonique : Prospection commerciale par téléphone (hors automate d’appel) : quelles sont les règles ? - CNIL
- Clôture des consultations de l'AI Office : Actualité et calendrier du Bureau européen de l'IA (juin 2026)Vous souhaitez structurer votre gouvernance RGPD et AI Act sans subir l'empilement réglementaire ? Découvrez comment la plateforme SaaS Adequacy centralise vos analyses de risques et automatise votre conformité.

