Blog
News

Actualités RGPD & AI Act : ce qu'il faut retenir d'avril 2026

Avril 2026 marque un mois dense pour la conformité : l'EDPB lance une action coordonnée sur la transparence des traitements et adopte un modèle harmonisé d'AIPD, la CNIL publie ses priorités de contrôle 2026 et une recommandation finale sur les pixels de suivi dans les emails, Google déploie le chiffrement de bout en bout sur Gmail sous conditions, et la CJUE précise les limites des demandes d'accès abusives. Voici l'essentiel à retenir.

By
Guillemette Songy
1
Min
Share this article
RGPD AI Act actualité avril 2026
Summary
Heading 2

Avril 2026 marque un mois dense pour la conformité : l'EDPB lance une action coordonnée sur la transparence des traitements et adopte un modèle harmonisé d'AIPD, la CNIL publie ses priorités de contrôle 2026 et une recommandation finale sur les pixels de suivi dans les emails, Google déploie le chiffrement de bout en bout sur Gmail sous conditions, et la CJUE précise les limites des demandes d'accès abusives. Voici les actualités RGPD d'avril 2026 à ne pas manquer.

Action coordonnée de l'EDPB sur la transparence des traitements

En avril 2026, le Comité européen de la protection des données (EDPB) a lancé un mécanisme d'application coordonné (CEF 2026) focalisé sur la transparence des traitements RGPD.

L'objectif : examiner comment les organisations informent réellement les personnes sur l'usage de leurs données, et détecter les zones d'opacité trop fréquentes dans les mentions d'information et politiques de confidentialité.

Cette action regroupe 25 autorités nationales de protection des données qui mutualisent leurs constats pour produire un rapport commun en fin d'année. Un signal fort adressé aux organisations qui négligent encore la qualité de leurs obligations d'information RGPD.

Modèle harmonisé d'AIPD : l'EDPB standardise les DPIA

Dans la même logique d'harmonisation, l'EDPB a adopté un modèle européen pour les Analyses d'Impact sur la Protection des Données (AIPD).

Ce template standardisé vise à faciliter la structuration des DPIA et à renforcer la cohérence des évaluations de risques entre États membres. Une avancée importante pour les DPO et équipes compliance qui gèrent des traitements sensibles ou à risque élevé, et qui pourront désormais s'appuyer sur un cadre commun reconnu à l'échelle européenne.

CNIL : priorités de contrôle 2026 et accompagnement renforcé

La CNIL a détaillé ses axes prioritaires de contrôle pour 2026, avec un focus sur :

  • les pratiques de recrutement
  • les traitements électoraux
  • les fédérations sportives

Ces thèmes orientent plusieurs centaines d'audits et d'inspections planifiés cette année. Les organisations concernées ont tout intérêt à anticiper ces contrôles en auditant leurs traitements dans ces domaines.

En parallèle, le programme de travail CNIL 2026 renforce l'accompagnement des acteurs publics et privés dans leur conformité au RGPD et au Règlement sur l'IA (RIA), via des ressources et actions pédagogiques dédiées.

Pixels de suivi dans les emails : la recommandation finale de la CNIL

En avril, la CNIL a publié une recommandation finale sur l'usage des pixels de suivi dans les emails. Ce texte clarifie deux points essentiels :

  • les règles applicables au regard des obligations d'information prévues par le RGPD
  • les conditions dans lesquelles le consentement préalable est requis pour ces dispositifs de tracking

Cette recommandation constitue une nouvelle balise pratique pour toutes les organisations qui envoient des communications électroniques intégrant des mesures d'engagement des destinataires (taux d'ouverture, clics, etc.).

Chiffrement des emails sur Gmail : avancée réelle, mais sous conditions

Google a récemment déployé des options de chiffrement de bout en bout sur Gmail mobile, ce qui représente une avancée pour la protection des communications. Toutefois, ce chiffrement reste soumis à des conditions techniques strictes et son adoption demeure limitée à ce stade.

Un sujet d'attention pour les responsables privacy, qui devront adapter leurs politiques internes et leurs explications aux utilisateurs sur les garanties réelles offertes par cet outil.

Digital Omnibus : le débat sur la fragmentation du RGPD

Alors que l'économie des données en Europe pèse des centaines de milliards d'euros, des voix s'élèvent contre certaines réformes perçues comme amoindrissant des garde-fous fondamentaux du RGPD. Le débat autour du Digital Omnibus illustre les tensions persistantes entre simplification réglementaire et protection des droits fondamentaux des personnes concernées.

Un dossier à suivre de près pour les professionnels de la protection des données, dont les pratiques pourraient être impactées selon l'issue de ces négociations.

CJUE : quand une demande d'accès devient abusive

Une décision récente de la Cour de justice de l'Union européenne (CJUE) apporte un éclairage important sur la gestion des demandes d'accès RGPD : une demande peut être qualifiée d'excessive ou abusive si elle ne vise pas la protection des données personnelles, mais une exploitation stratégique du cadre réglementaire.

Un nouveau point de vigilance pour les DPO, qui disposent désormais d'un appui jurisprudentiel pour traiter ce type de sollicitations.

Pour aller plus loin sur ces sujets, retrouvez nos analyses et ressources sur le blog Adequacy.

FAQ - vos questions sur les actualités RGPD d'avril 2026

Qu'est-ce que le CEF 2026 de l'EDPB ?

Le CEF 2026 (Coordinated Enforcement Framework) est une action coordonnée lancée par l'EDPB regroupant 25 autorités nationales de protection des données. Son objectif est d'examiner la transparence des traitements RGPD, notamment la qualité des mentions d'information et des politiques de confidentialité.

Qu'est-ce qu'un modèle harmonisé d'AIPD adopté par l'EDPB ?

Il s'agit d'un template européen standardisé pour la réalisation des Analyses d'Impact sur la Protection des Données (AIPD ou DPIA). Il vise à homogénéiser la structure des évaluations de risques entre les États membres de l'UE et à faciliter le travail des DPO.

Quelles sont les priorités de contrôle de la CNIL en 2026 ?

La CNIL a ciblé en 2026 les pratiques de recrutement, les traitements électoraux et les fédérations sportives. Ces axes orientent plusieurs centaines d'audits et d'inspections planifiés cette année.

Les pixels de suivi dans les emails sont-ils autorisés par le RGPD ?

Selon la recommandation finale de la CNIL publiée en avril 2026, l'usage des pixels de suivi dans les emails est encadré par le RGPD et nécessite le respect des obligations d'information ainsi que, dans certains cas, le recueil du consentement préalable des destinataires.

Une demande d'accès RGPD peut-elle être refusée ?

Oui. La CJUE a confirmé qu'une demande d'accès peut être qualifiée d'excessive ou abusive si elle ne vise pas la protection des données personnelles mais une exploitation stratégique du RGPD. Les DPO peuvent alors refuser ou facturer le traitement de ces demandes.

Qu'est-ce que le Digital Omnibus en lien avec le RGPD ?

Le Digital Omnibus est un projet législatif européen visant à simplifier certaines obligations réglementaires. Il fait l'objet d'un débat entre partisans de la simplification et défenseurs des droits fondamentaux, certains estimant qu'il pourrait affaiblir des garde-fous essentiels du RGPD.

The latest news

GDPR compliance and best practices

Anonymisation vs pseudonymisation : les enjeux de l'approche relative de la CJUE

Depuis l'arrêt de la CJUE du 4 septembre 2025, une donnée peut changer de nature juridique selon les moyens réellement disponibles pour la réidentifier. Cette approche dite "relative" redéfinit la frontière entre anonymisation et pseudonymisation — avec des implications directes pour les stratégies de conformité RGPD, les secteurs de la santé, de la recherche et de l'IA Act. Tour d'horizon des enjeux techniques, juridiques et éthiques, et des précautions à prendre dans un cadre législatif encore en mutation.

Calixte Descamps
News

Actualités RGPD & AI Act : ce qu'il faut retenir d'avril 2026

Avril 2026 marque un mois dense pour la conformité : l'EDPB lance une action coordonnée sur la transparence des traitements et adopte un modèle harmonisé d'AIPD, la CNIL publie ses priorités de contrôle 2026 et une recommandation finale sur les pixels de suivi dans les emails, Google déploie le chiffrement de bout en bout sur Gmail sous conditions, et la CJUE précise les limites des demandes d'accès abusives. Voici l'essentiel à retenir.

Guillemette Songy
GDPR compliance and best practices

Digital governance and privacy: why we need to treat the causes rather than the symptoms

Faced with the omnipresence of screens and AI, current regulations often simply treat symptoms rather than causes. For data professionals, the challenge goes beyond simple compliance with the GDPR: it is a question of restoring real attentional and decision-making sovereignty. This summary analyzes why systemic governance is essential to protect human balances and collective performance.

Guillemette Songy

They have trusted us for years

Used by over 10,000 legal entities

Discover Adequacy

One of our experts introduces Adequacy to you in a real situation.
Request a quote