Les services de la Commission nationale de l'informatique et des libertés sont organisés en sept directions et un secrétariat général :

- la direction des relations avec les publics ;
- la direction de l'accompagnement juridique ;
- la direction des technologies, de l'innovation et de l'intelligence artificielle ;
- la direction de l'exercice des droits et des plaintes ;
- la direction des contrôles et des sanctions ;
- la direction des systèmes d'information ;
- la direction administrative et financière.

Les attributions des directions sont fixées par les articles suivants.

Sous l'autorité du président, le secrétariat général encadre l'ensemble des services et coordonne l'action de la commission.
A ce titre, notamment, il organise le fonctionnement du collège de la commission ainsi que de sa formation restreinte. Il assure l'exécution des délibérations et des décisions du président. Il assure l'animation transverse et la coordination inter-directionnelle des dossiers d'intérêt commun. Il veille à l'unité de la doctrine de l'institution. Il représente le président de la commission devant les autorités administratives en France et à l'étranger.
Le secrétariat général supervise plus particulièrement l'activité des services et missions qui lui sont directement rattachés :

- le service des affaires européennes et internationales coordonne et défend les positions de la commission dans les enceintes européennes et internationales, participe aux travaux européens intéressant la commission et contribue à renforcer la coopération européenne avec les homologues de la commission ;
- le service de la communication est chargé de concevoir et de mettre en œuvre les actions de communication, d'information et de promotion de la commission, en interne comme en externe ;
- la mission qualité, performance, risques est chargée, en lien avec les directions, de contribuer à la mise en œuvre des orientations stratégiques et opérationnelles de la commission et à leur supervision, en veillant au respect d'un cadre de conformité, de maîtrise des risques, de qualité et d'efficacité du service rendu ;
- le service de la gestion de la connaissance est chargé de la capitalisation et de la gestion du patrimoine normatif et doctrinal de la commission, à la fois dans les ressources documentaires internes de la commission et sur le site Légifrance. Il réalise une veille juridique et technique sur la protection des données à caractère personnel. Il supervise la constitution des archives internes à la commission et leur versement aux archives nationales ;
- le cabinet du secrétariat général assiste le président et les secrétaires généraux dans leurs interventions et prises de positions, en étroite relation avec les interlocuteurs institutionnels de la commission au niveau français et européen. Il assure également un rôle d'expertise juridique sur des dossiers transverses, les relations avec le Parlement et les principaux acteurs de la vie politique, et la réalisation d'une veille sur les questions parlementaires et institutionnelles.

La direction des relations avec les publics est chargée de définir et de mettre en œuvre la politique d'information et de sensibilisation des différents publics de la commission en ce qui concerne la protection des données à caractère personnel.
Elle enregistre les courriers et demandes adressés à la commission en vue de leur attribution aux services compétents. Elle assure le standard téléphonique de la CNIL.
Elle informe les différents publics, particuliers et professionnels, qui sollicitent la commission, dans une approche multicanale (courrier postal, web, téléphone).
Elle définit la stratégie de sensibilisation du grand public aux enjeux de la protection de la vie privée et à l'exercice des droits en matière de protection des données à caractère personnel.
Elle pilote les actions de promotion d'une culture de la protection des données et de l'éducation citoyenne au numérique auprès des publics, notamment par des actions dans les territoires. Elle contribue, en particulier, à la protection des mineurs, notamment en ligne.
Elle développe un réseau de partenariats et des collaborations avec des institutions publiques et d'autres acteurs privés et associatifs propres à accroitre l'impact de ses actions de sensibilisation.
A cet effet, elle gère notamment le comité Educnum.
Elle comprend :

- le service d'information du public qui répond aux demandes d'information écrites et par téléphone posées par les publics, particuliers et professionnels. Il travaille en étroite collaboration avec les autres services afin d'alimenter les réflexions et d'adapter les actions de la commission ;
- le service de sensibilisation du public, qui a pour mission de toucher tous les publics en leur délivrant une information sur la protection des données, sur la vie privée et le numérique. Il produit des ressources et contenus adaptés au grand public.

La direction de l'accompagnement juridique est chargée de proposer et mettre en œuvre la politique d'accompagnement des organismes publics et privés dans leur démarche de mise en conformité vis-à-vis de la réglementation relative à la protection des données à caractère personnel.
Elle élabore, en concertation avec les autres directions, la doctrine de la commission via la production d'instruments de droit souple (recommandations, référentiels, etc.) et produit des outils d'accompagnement et de formation ainsi que tout document destiné à aider les professionnels. Elle intervient, avec le service de l'intelligence artificielle, dans l'encadrement des systèmes d'intelligence artificielle.
Elle développe et anime des partenariats et des réseaux avec des professionnels afin de promouvoir les principes de protection des données à caractère personnel. Elle pilote la promotion et le déploiement des nouveaux outils de conformité (AIPD, certification, code de conduite, etc.) prévus par le règlement général à la protection des données (RGPD).
Elle accompagne de manière individualisée certains professionnels dans leurs projets de mise en conformité. Dans ce cadre, elle développe des programmes d'accompagnement et anime le réseau des délégués à la protection des données.
Elle instruit les demandes d'autorisations prévues par la loi « informatique et libertés », et les demandes d'avis sur des projets ou propositions de lois, ou de textes règlementaires adressés par le gouvernement. Elle participe au conseil des pouvoirs publics.
Elle prépare, en lien avec les rapporteurs, les projets de délibération ou de communication soumis à l'examen du collège.
Elle participe à la coopération européenne et représente la commission dans des sous-groupes du Comité européen de la protection des données (CEPD).
Outre les agents directement rattachés aux directeurs, la direction comprend :

- le service des délégués et de l'accompagnement, qui est en charge des relations avec les délégués à la protection des données (réponses à leurs sollicitations, conseils juridiques et pratiques sur le métier). Il est chargé du déploiement et de la supervision des activités innovantes d'accompagnement (bac à sable notamment) et de formation des professionnels (cours en ligne ouverts à tous, webinaires, journées RGPD en région, etc.) ;
- le service des outils de la conformité, qui promeut et pilote le déploiement des outils de conformité prévus par le RGPD, y compris au niveau européen. Il instruit les dossiers de règles contraignantes d'entreprises et participe à la mise en place des mécanismes de certification, des codes de conduites et évalue les analyses d'impact (AIPD) soumises à consultation ;
- le service de l'économie numérique et du secteur financier, qui est en charge de la création de la doctrine juridique au bénéfice des secteurs commerce et marketing, médias et communications électroniques, du secteur financier (banques et assurances), des acteurs privés qui interviennent dans le secteur des transports et des fournisseurs de solutions technologiques innovantes pour ces secteurs. Il accompagne et conseille ces acteurs, plus particulièrement en répondant à leurs demandes de conseil et en organisant des concertations en vue de l'élaboration de recommandations pratiques. Il fournit un soutien aux différents services de la Commission sur ces sujets et intervient dans les travaux européens relevant de sa compétence ;
- le service des affaires sociales, des collectivités territoriales, du sport et de l'environnement, qui accompagne les acteurs publics et privés intervenant dans les secteurs travail, solidarités, sport, habitat, eau, énergie, transports publics et agriculture. Il accompagne et conseille les collectivités territoriales dont il est l'interlocuteur privilégié ;
- le service des affaires régaliennes et des libertés publiques, qui conseille les organismes publics et privés principalement dans les secteurs de la police, de la justice, des finances publiques, de l'éducation nationale et de la recherche. Il est l'interlocuteur privilégié des ministères concernés et prépare notamment les avis sur des projets de textes touchant aux libertés publiques ;
- le service de la santé, qui accompagne les organismes publics et privés intervenant dans les secteurs de la santé et du système de soins, de l'assurance maladie, ainsi que de la recherche médicale. Il instruit, en lien avec le service de l'expertise technologique, les formalités préalables en matière de traitement de données de santé et propose des référentiels destinés à encadrer et simplifier ces démarches.

La direction des technologies, de l'innovation et de l'intelligence artificielle est chargée de mettre à la disposition de l'ensemble des services de la commission son expertise technologique et informatique et de partager, en interne et en externe, les enjeux d'innovation et de prospective.
Elle contribue, sous l'angle de l'analyse technique et de sécurité, aux projets de délibérations ou de communications soumis à l'examen du collège, ainsi qu'aux dossiers le nécessitant soumis par la direction de l'exercice des droits et des plaintes et la direction des contrôles et des sanctions. Elle concourt à l'élaboration de la doctrine de la commission en concertation avec les autres directions.
Elle conçoit des outils à destination des responsables de traitement, des usagers et des services de la commission afin de mieux appréhender les nouvelles technologies.
Elle gère et traite les notifications de violations de données à caractère personnel reçues par la commission.
Elle est chargée d'appréhender le fonctionnement des systèmes d'intelligence artificielle et leurs impacts pour les personnes et, en collaboration avec la direction de l'accompagnement juridique, de guider le développement de systèmes respectueux de la vie privée.
Elle réalise une veille et analyse les usages du numérique et les innovations technologiques au regard de leurs enjeux en termes de vie privée et de libertés individuelles, et réalise des expérimentations et des études.
Elle met en place des collaborations avec les écosystèmes d'innovation du numérique et des partenariats académiques, notamment afin de développer les capacités d'analyse technique de la commission et de nourrir les débats de société sur les enjeux éthiques des données. Elle anime un comité de la prospective, composé de chercheurs et de personnalités qualifiées, destiné à éclairer la commission.
Elle développe des analyses économiques, dans les champs de l'économie de la vie privée, l'économie des données ou encore de l'économie de la régulation, pour éclairer les décisions de la commission ainsi que l'évaluation de ses décisions.
Elle comprend :

- le service de l'expertise technologique qui est chargé de fournir à la commission une compréhension des technologies numériques sous l'angle notamment de leur sécurité informatique (applications mobiles, informatique en nuage, vérification d'identité à distance, vote électronique, etc.), et de leurs enjeux en matière de protection de la vie privée. Il est également en charge du traitement des notifications de violation de données à caractère personnel ;
- le service de l'intelligence artificielle qui est chargé de mettre en œuvre la régulation technique et juridique de l'intelligence artificielle en lien avec les services sectoriels compétents de la direction de l'accompagnement juridique, de faciliter au sein de la commission, mais aussi pour les professionnels et les particuliers, la compréhension du fonctionnement des systèmes d'IA, et de développer les relations avec les acteurs de l'écosystème ;
- le service laboratoire d'innovation numérique de la CNIL qui explore les différents sujets liés à la protection des données à caractère personnel (veille, publications, scénarios prospectifs), échange avec les écosystèmes d'innovation et de la recherche, expérimente et crée des outils à destination du public et de la commission ;
- la mission d'analyse économique qui développe des analyses théoriques et empiriques pour éclairer les décisions de la commission. Elle contribue à la compréhension des modèles d'affaires et à l'étude de l'impact économique des choix de régulation. Elle est également chargée de favoriser la coopération avec les autres régulateurs économiques et financiers ainsi qu'avec les acteurs économiques.

La direction de l'exercice des droits et des plaintes est chargée de traiter les réclamations et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association.
La direction instruit également les signalements émis par les lanceurs d'alerte concernant la protection des données à caractère personnel, en lien avec la direction des contrôles et des sanctions.
Elle traite les demandes d'exercice indirect des droits portant sur les fichiers soumis à ce régime spécifique, en lien avec les commissaires, membres de la commission chargés de procéder, pour le compte des personnes, aux vérifications nécessaires.
Elle répond aux demandes d'avis des autorités judiciaires en lien avec ses missions.
Elle participe à la coopération européenne et représente la commission dans des sous-groupes du Comité européen de la protection des données.
La direction contribue à la mise en œuvre de la stratégie répressive de la commission en lien étroit avec la direction des contrôles et des sanctions, propose des dossiers à orienter vers la procédure de sanction simplifiée et concourt à l'élaboration de la doctrine de la commission en concertation avec les autres directions.
Outre les agents directement rattachés à la direction, elle comprend :

- le service de l'exercice des droits et des plaintes qui assure l'analyse, l'instruction et le suivi de plaintes reçues par la commission et traite les demandes d'exercice de droits indirect portant sur les fichiers soumis à ce régime spécifique ;
- le service des plaintes - affaires publiques, sociales et financières, et le service des plaintes - affaires numériques et commerciales. Ces deux services assurent l'analyse, l'instruction, le suivi de plaintes reçues par la commission et participent à la coopération européenne.

La direction des contrôles et des sanctions est chargée de définir et de mettre en œuvre les politiques de contrôles et de sanctions de la commission, en lien étroit avec la direction de l'exercice des droits et des plaintes.
Elle élabore un programme annuel des contrôles à l'intention du président et réalise les contrôles décidés par lui, en procédant à des investigations sur place, en ligne, sur audition ou sur pièces.
Elle examine les signalements de violations de données et, le cas échéant, intervient auprès des responsables de traitement concernés pour y mettre fin.
Elle instruit les mesures correctrices et les procédures de sanctions, ordinaires ou simplifiées. Elle prépare les dossiers de procédures de sanctions soumis à l'examen de la formation restreinte de la commission ou de son président et en assure le suivi. Elle gère la majeure partie des activités contentieuses de la commission (notamment en lien avec les recours introduits devant les juridictions).
Elle participe à la coopération européenne avec les homologues des autorités de protection des données et représente la commission dans des sous-groupes du Comité européen de la protection des données.
La direction contribue à la mise en œuvre de la stratégie répressive de la commission et concourt à l'élaboration de la doctrine de la commission en concertation avec les autres directions.
Elle comprend :

- le service des contrôles - affaires économiques et le service des contrôles - RH, santé et affaires publiques. Ces deux services réalisent, dans leurs domaines respectifs, les missions de vérification décidées par le président afin d'examiner la conformité à la règlementation des traitements de données à caractère personnel mis en œuvre par tout type d'organisme, et les suites à y apporter. Ils contribuent au programme annuel des contrôles. Ils participent également à l'instruction des plaintes, à la coopération européenne, à la mise en place de la politique répressive, et rédigent des mesures correctrices ;
- le service des sanctions et du contentieux 1 et le service des sanctions et du contentieux 2. Ces deux services rédigent des mises en demeure et des rapports proposant des sanctions à la formation restreinte de la commission et à son président (procédure de sanction simplifiée). Ils assurent la rédaction des mémoires et documents devant être produits devant les juridictions dans le cadre du contentieux de la commission. Ils contribuent également aux actions de communication de l'institution, participent à la coopération européenne (via notamment l'examen de projets de décisions européens) et répondent aux demandes d'avis des autorités judiciaires.

La direction des systèmes d'information est chargée de définir et de mettre en œuvre les conditions opérationnelles des systèmes d'information de la commission, de leur conception à leur maintenance.
Elle s'assure du bon fonctionnement des téléservices et des sites internet de la commission, ainsi que de leurs évolutions.
Elle identifie, propose, développe et acquiert des outils utiles à l'accomplissement de leurs missions par les agents de la commission.
Elle pilote également, en collaboration avec les directions métiers, les projets d'évolution des systèmes techniques et applicatifs conformément au schéma directeur du système d'information.
En collaboration avec la mission qualité, performance, risques, notamment du responsable de la sécurité des systèmes d'information, elle assure la sécurité des systèmes d'information de la commission et des données qu'elle traite, ainsi que leur disponibilité.
Elle assure enfin le support aux utilisateurs.
Elle comprend :

- le service des projets, applications et développements qui développe et maintient un ensemble d'applications permettant le bon fonctionnement de la commission ;
- le service des infrastructures, de la sécurité et du support qui administre les réseaux et les systèmes de la commission, assure leur sécurité informatique ainsi que le support aux utilisateurs.

La direction administrative et financière est chargée de gérer les personnels et les moyens de la commission.
Elle propose et met en œuvre la politique budgétaire et comptable de la commission, prépare le budget et en assure l'exécution financière et le suivi. Elle conçoit et conduit la politique d'achat de la commission dans le respect des règles et procédures de la commande publique. Elle gère les activités des moyens généraux en soutien des services.
La direction met en œuvre la politique de gestion des ressources humaines. Elle assure la gestion administrative et budgétaire des emplois en matière de recrutement, rémunération, carrière et formation. Elle met en œuvre la politique d'accompagnement personnalisé des parcours professionnels.
Elle assure le bon fonctionnement des instances de concertation et de relations sociales. Elle coordonne la politique sociale et la prévention en faveur des personnels.
Elle comprend :

- le service des ressources humaines qui assure la gestion des emplois, des carrières et de la formation, le bon fonctionnement des instances de concertation et de relations sociales, l'accompagnement personnalisé des agents dans leurs projets d'évolution professionnelle et gère également le budget d'emplois. Les crédits de masse salariale sont gérés en collaboration avec le service des finances ;
- le service des finances, de la commande publique et des moyens généraux qui met en œuvre le budget de la commission, assure son suivi, et veille au respect des règles de la commande publique pour l'ensemble des achats. Il gère également l'ensemble des activités visant au bon fonctionnement des services (déplacements et missions, courrier, reprographie, gestion des fournitures et du mobilier, relations avec l'exploitant du bâtiment, organisation logistique des évènements, véhicules).

L'entrée en vigueur de l'organisation des services de la Commission nationale de l'informatique et des libertés telle que définie dans la présente décision se fera de manière progressive jusqu'à fin juillet 2025.

Le secrétaire général est chargé de l'exécution de la présente décision, qui sera publiée au Journal officiel de la République française.