France’s data protection authority, the CNIL, faces sharp criticism from the Court of Auditors over financial sustainability and management practices. The audit highlights a payroll-driven budget trajectory, rigid employment policies, weak internal controls, and operational inefficiencies at a time when its workload is surging.

Payroll accounts for 86% of CNIL’s budget, which grew from €17 million in 2017 to €28.2 million in 2024, alongside an expansion from 195 to 277 full-time equivalent positions. The Court attributes a significant share of cost growth to a 2019 policy of systematically hiring contract staff on permanent contracts (CDI). CNIL says this is essential to attract data protection specialists in a competitive post-GDPR market, but the Court counters that the authority already draws an average of 245 external applications for each non-managerial vacancy. Many roles—particularly legal posts, which outnumber technical ones by 125 to 57—do not require rare skills. Yet the CNIL has bypassed standard pay scales, placing at least ten freshly graduated lawyers on the fourth step of the A3 grade in 2023–2024.

Permanent contracts also bring rigidity: employees can take two career breaks of up to three years and then reclaim their posts. The Court says this hampers workforce flexibility.

On working time, the auditors found that CNIL incorrectly credits reduced-time (RTT) days. An annual advance of RTT entitlements is only partially corrected through a six-monthly decrement for sick leave, but the rules require all non-worked days—except special trade-union authorisations—to be deducted. In 2024, 223 days were wrongly retained, and parental absences were not docked at all.

The authority’s insistence on maintaining its own on-site reprography workshop drew particular scorn. Located in a building shared with other Prime Minister’s services and independent authorities, the workshop employs one person and cost €7,800 in equipment rental in 2024, producing around 50,000 pages a month. Meanwhile, CNIL spent an additional €15,400 on external printing last year, partly for rush jobs ahead of its Thursday morning college meetings. It resists a shared service just “a few dozen metres away” on grounds of responsiveness and independence—it sometimes prints draft opinions on government actions or sanctions against the state. The Court counters that the Prime Minister’s print shop already handles confidential work for other independent authorities and ministerial cabinets.

Travel expenses for commissioners living outside the Paris region also raise eyebrows. The report questions taxi use when intercity public transport is readily available at normal hours. More significantly, CNIL routes bookings through a private travel agency under contract with the Prime Minister’s administrative and financial directorate (DSAF). The process uses the Chorus-Déplacements Temporaires software, but the Court sees no added value over direct booking, notes the arrangement is far more expensive, and points out that the supplier’s contract lacks any price schedule or control mechanism.

The CNIL’s college of 18 members—one of the largest among French independent authorities—complicates governance. Only the president serves full-time; all other members have other roles, straining their availability as the technical demands of data protection grow. The Court recommends borrowing from the Competition Authority, which has four full-time vice-presidents among its 17 members. It also flags unjustified double pay for some commissioners: morning plenary sessions that run into the afternoon are compensated as two half-day meetings, despite being a single session with one set of minutes and one chair.

Conflict-of-interest monitoring is patchy. While recusals are noted in minutes, there is no centralised register of pre-appointment checks by the public transparency watchdog HATVP or of pre-hiring declarations. The CNIL also fails to track incoming staff’s previous affiliations, making it impossible to systematically flag revolving-door risks. Security vetting for inspection agents is limited to checking for criminal convictions—an insufficient procedure, according to the Court.

The authority is struggling to meet statutory deadlines for advisory opinions on draft laws and government requests involving personal data. In 2023, the average procedure took 114 calendar days; in 2024, 75 days. Over both years, 55% of requests exceeded the 60-working-day window, though the CNIL insists working days are the proper metric—a reading the Court rejects, calling for the calculation method to be overhauled.

Complaint handling shows signs of strain. Admissible complaints rose 77% between 2017 and 2024, and data breach notifications surged from 2,284 in 2019 to 5,629 in 2024. A dedicated pre-screening contractor (one full-time equivalent) processed 3,450 complaints in 2024 at a flat fee of €168,564—about €49 per case—but the Court wants the contract renegotiated in 2026. Despite efforts, the average response time for admissible complaints reached 309 days last year, and the CNIL cannot provide reliable data on outcomes, notices to offenders, or closure reasons. Because complaint and sanction processes are deliberately separated, there is no way to track how long cases that lead to corrective measures actually take.

The CNIL’s relationship with Data Protection Officers (DPOs) remains transactional rather than strategic. DPOs are inconsistently informed about audits, complaints, or questionnaires sent to their organisations, and they struggle to obtain firm guidance or a single point of contact from the authority. The CNIL’s DPO database is incomplete, and it lacks a comprehensive map of state data processing activities.

In response, the CNIL’s president acknowledges the need for better management and notes that, since mid-February, the interministerial transformation directorate (DITP) has been providing support at the authority’s request. The Court’s overarching message is clear: without significant reforms, the authority’s financial model and operational practices are unsustainable.

Depuis 2019, la CNIL recrute systématiquement ses agents contractuels en CDI… et c’est discutable.

Tel est l’avis de la Cour des comptes. Ce choix, estime-t-elle, a contribué à un accroissement de masse salariale dont le rythme n’est plus tenable vu la situation générale des finances publiques.

D’autres éléments de politique RH l’ont interpellée à ce même titre. Par exemple, une tendance à contourner les grilles indiciaires au moment du recrutement. La CNIL positionne en l’occurrence ses agents sur des catégories plus favorables. Il en a été ainsi d’au moins 10 juristes – compétence pourtant non rare, souligne la Cour des comptes – recrutés en CDI en 2023-2024. On les a positionnés d’office sur le 4e échelon de la catégorie A3 alors qu’ils sortaient d’études supérieures ou avaient moins d’un an d’expérience professionnelle.

« CDI = attractivité » : dans le cas de la CNIL, la Cour des comptes ne reçoit pas l’argument

Autre sujet : le décompte des RTT. Chaque année, les journées sont créditées par anticipation. Une campagne semestrielle de décrémentation permet de retirer les RTT perdues du fait de l’absence pour maladie. Ce n’est pas suffisant, affirme la Cour des comptes. La réglementation prévoit effectivement de défalquer l’ensemble des jours non travaillés, sauf autorisations spéciales d’absence pour raisons syndicales. Dans ce contexte, 223 jours attribués en 2024 auraient du être pris en compte pour la réduction des RTT mais ne l’ont pas été. En parallèle, la CNIL a choisi, à tort, de ne pas décompter les absences liées à la parentalité.

Le recours systématique au CDI pour les agents contractuels figure dans le règlement de gestion depuis 2019. La CNIL le présente comme un argument d’attractivité, l’impact du RGPD ayant créé un marché concurrentiel parmi les spécialistes de la protection des données.

Même si la commission rédige ses contrats pour permettre une certaine flexibilité dans l’allocation des agents aux postes, cette pratique rigidifie la gestion RH. Elle permet par ailleurs aux agents de prendre un congé pour mobilité de deux fois 3 ans maximum (ils peuvent suspendre leur CDI pour travailler dans une autre structure tout en bénéficiant d’un droit de retour).

La CNIL est déjà attractive, considère la Cour des comptes. Elle en veut pour preuve les 245 candidatures externes reçues en moyenne pour chacun des 50 postes ouverts au recrutement en 2024 et au premier semestre 2025 (hors emploi d’encadrement). De surcroît, une partie des postes ne correspond pas à des compétences en tension. La commission compte, notamment, assez peu de postes à dominante technique (57, vs 125 à dominante juridique).

Masse salariale : l’atelier de repro pour exemple

La masse salariale représente 86 % du budget de la CNIL. Celui-ci a connu une hausse significative entre 2017 (17 M€) et 2024 (28,2 M€), porté par un relèvement du plafond d’emplois exécutés (passage de 195 à 277 ETP).

Depuis 2017, la CNIL occupe un bâtiment à Paris où sont regroupés des services du Premier ministre et des autorités administratives indépendantes. Elle a maintenu son propre atelier de reprographie alors qu’un atelier mutualisé « se trouve à quelques dizaines de mètres », pour reprendre les mots de la Cour des comptes.

Cet atelier occupe un agent. Il a coûté 7800 € de location de matériel d’impression en 2024, alors que son activité est plutôt modeste (environ 50 000 pages par mois en 2023). Cela n’empêche pas la CNIL d’externaliser des impressions (27 500 € en 2023, puis 15 400 € en 2024), justifiées par des besoins à courte échéance (avant chaque collège du jeudi matin) et par la réalisation de formats originaux en interne (affiches, cartes postales…). Elle n’est pas favorable à une mutualisation au nom de la réactivité, mais aussi de l’indépendance : il lui faut imprimer des projets d’avis sur des textes du Gouvernement, voire des sanctions à son encontre.

La Cour des comptes relève que les services du Premier ministre se disent en capacité d’absorber le volume de la CNIL. Elle note aussi qu’ils assurent déjà les impressions d’autres autorités administratives indépendantes et de cabinets ministériels, dont les documents ne sont pas moins confidentiels.

Un voyagiste privé à la plus-value incertaine

La CNIL rembourse les frais de déplacement des commissaires dont la résidence familiale et administrative est hors Île-de-France. Pour certains, a Cour des comptes juge discutable le recours au taxi à des horaires « ni matinaux ni tardifs », vu la disponibilité de transports interurbains.

Autre point qui l’alerte : le recours au voyagiste privé dont disposent les services du Premier ministre. Leur DSAF (direction des services administratifs et financiers) réceptionne les demandes de la CNI et les rentre dans le logiciel Chorus-Déplacements Temporaires. Elle accède alors à l’offre et peut réserver instantanément, comme sur une plate-forme de voyages grand public. La Cour des comptes s’interroge ainsi sur la plus-value du voyagiste, d’autant plus que le système s’avère bien plus coûteux que la réservation directe. Et que le marché passé avec ce prestataire ne prévoit aucun bordereau de prix ni mécanisme de contrôle de ces prix.

La CNIL invitée à s’inspirer du collège de l’Autorité de la concurrence

La taille du collège – 18 membres, ce qui place la CNIL dans le peloton de tête des autorités administratives indépendantes – complique la gestion. Elle peut engendrer des débats plus longs et des enjeux en termes d’harmonisation des connaissances et des pratiques.

À l’exception de la présidente, aucun membre n’est affecté à temps plein à la CNIL. Dans un contexte de croissance de l’activité, cela pose la question de leur disponibilité pour siéger. A fortiori à mesure que croît le besoin de professionnalisation sur des aspects de plus en plus techniques. La Cour des comptes appelle à s’inspirer de l’Autorité de la concurrence. Sur 17 membres, son collège comprend 4 vice-présidents qui sont à temps plein.

Chaque année, certains commissaires ont été payés davantage de vacations que le nombre de séances. La CNIL a effectivement doublé la rémunération pour les séances plénières prévues le matin mais qui se sont poursuivies dans l’après-midi. Ce par analogie avec d’autres activités payées à la demi-journée (activités européennes, exercice de droit indirect). Or, selon la Cour des comptes, il s’agit matériellement d’une seule et même séance, dotée d’un unique procès-verbal et d’une unique présidence. En l’état, le doublement de la rémunération n’est pas fondé.

Habilitation des agents : une procédure d’enquêtée jugée insuffisante

En cas de conflit d’intérêts, les membres du collège doivent s’abstenir de siéger. Les agents doivent quant à eux informer leur supérieur hiérarchique, qui les dessaisit.

Les déports sont bien recensés au fil de l’eau dans les PV de la séance plénière et de la formation restreinte. Mais la CNIL n’a pas de registre centralisé des déports édictés ex ante, soit par la HATVP (avant nomination d’un membre, d’un secrétaire général ou de son adjoint), soit par le supérieur hiérarchique (préalablement à l’embauche d’un agent) Elle n’a par ailleurs pas de suivi des provenances des agents recrutés. Ce qui rend impossible le recensement des mobilités entrantes susceptibles de présenter un risque de conflit d’intérêts.

La Cour des comptes s’arrête aussi sur l’habilitation des agents chargés des vérifications. Elle regrette que l’enquête de sécurité se limite à la vérification de l’absence de condamnation à une peine correctionnelle ou criminelle inscrite au bulletin no 2 du casier judiciaire.

Saisines pour avis : la CNIL à la peine sur le respect des délais

La mise en œuvre de certains traitements de données suppose une saisine préalable de la CNIL. Celle-ci formule un avis simple non contraignant. La démarche concerne exclusivement le secteur public.

Saisie d’une demande d’avis sur un projet de loi ou de décret touchant à la protection des données personnelles, la CNIL a 2 mois pour se prononcer (délai prolongeable par la présidence). Même timing pour les demandes d’avis spontané de la part des pouvoirs publics. Pour les traitements relatifs à la sécurité, la sûreté et la recherche d’infractions, le délai de base est de 8 semaines.

La commission peine à tenir les délais. En 2023, la durée moyenne de procédure fut de 114 jours calendaires. En 2024, de 75 jours.

Sur ces deux années, 55 % des saisines ont dépassé le délai de 60 jours… ouvrés. C’est effectivement la métrique que retient la CNIL, arguant qu’elle seule compte du point de vue des personnes morales. La Cour des comptes rétorque que cela ne correspond pas aux règles. Et invite par conséquent la commission à réformer sa méthode de calcul.

Une vision incomplète de l’écosystème des DPD

Les circuits de diffusion de l’information auprès des DPD (délégués à la protection des données) ne sont pas toujours clairs. Selon les cas, ils sont sont ou non informés des contrôles, plaintes ou questionnaires adressés aux directions métiers.

Sur des demandes précises, il leur est difficile d’obtenir une position ferme de la CNIL. Ainsi qu’un interlocuteur unique (la permanence téléphonique peut, à l’occasion, apporter des réponses contradictoires, précise la Cour des comptes).

La relation avec les DPD se caractérise plus globalement par une logique de flux. La CNIL n’a pas les outils pour développer une vision plus stratégique. Sa base de données des DPD est incomplète. Elle est dépourvue d’une carte sur les traitements de données de l’État.

Préinstruction des plaintes : un contrat de prestation à renégocier

Entre 2017 et 2024, le volume annuel de plaintes adressées à la CNIL a progressé de 113 % (le nombre de plaintes recevables augmentant de 77 %). Les notifications de violation de données personnelles ont connu une croissance similaire (de 2284 en 2019 à 5629 en 2024).

Dans le même temps, le nombre d’agents chargés du suivi des plaintes a augmenté de 70 %. En parallèle, la CNIL a engagé un prestataire chargé de la préinstruction (tri des plaintes les plus simples selon 18 scénarios de réponses-types). Ce prestataire (1 personne à temps plein) a traité 3228 plaintes en 2023 puis 3450 en 2024. Coût forfaitaire : 168 564 € par an, soit 49 € par saisine en 2024. Un contrat correctement exécuté, mais dont la Cour des comptes invite à renégocier le contenu et le prix lors du renouvellement du marché en 2026.

Un suivi parcellaire du traitement des plaintes

Depuis 2022, le délai moyen de réponse définitive s’est stabilisé, à un peu plus de 6 mois. Ce qui reste relativement élevé, d’après la Cour des comptes. D’autant que si on se limite aux plaintes recevables, le délai moyen a atteint 309 jours en 2024.

Le pilotage de l’activité n’aide pas. La CNIL n’est pas en mesure de distinguer, sur l’ensemble des plaintes, celles qui font l’objet d’un traitement par la direction des contrôles et des sanctions. Elle ne comptabilise pas le nombre de rappels à la loi envoyés aux mis en cause. Et ne documente pas, dans son outil de gestion, les raisons de la clôture du dossier. Il n’est donc pas possible d’analyser de manière fiable le traitement de la majorité des plaintes recevables, en termes d’objet, de suites données et de délais de traitement.

Pas possible non plus de connaître le délai de traitement moyen des plaintes ayant donné lieu à mesure correctrice ou sanction, du fait de la dissociation des activités de plainte et de contrôle et sanction.

La présidente de la CNIL reconnaît le besoin d’intensifier le pilotage. Elle souligne que depuis mi-février, la commission bénéficie – à sa demande – d’un accompagnement de la DITP (direction interministérielle de la transformation publique).

Illustration générée par IA

The post La soutenabilité budgétaire de la CNIL questionnée appeared first on Silicon.fr.