Banque & Finances — Téléchargement .docx gratuit

Plainte à la CNIL (violation données personnelles)

Modèle de plainte auprès de la CNIL pour violation RGPD ou refus d'exercice de droits (accès, effacement, opposition). Conforme au droit français 2026, personnalisable en 2 minutes.

Barèmes en vigueur au Source : Banque de France 2026 ↗

Remplacez les zones entre [crochets] par vos informations. Envoyez en recommandé avec AR pour les démarches officielles.

🔐 Aperçu du modèle
[Votre Prénom NOM]
[Votre adresse]
[Code postal Ville]
[Votre email]
[Votre téléphone]

[Ville], le [Date]

Commission Nationale de l'Informatique et des Libertés (CNIL)
Service des plaintes
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07

Objet : Plainte pour violation du Règlement Général sur la Protection des Données (RGPD) — [NOM_ORGANISME_MIS_EN_CAUSE]

Madame, Monsieur,

Je soussigné(e) [PRÉNOM NOM], demeurant [ADRESSE COMPLÈTE], vous adresse la présente plainte à l'encontre de [NOM_ORGANISME / RAISON_SOCIALE], dont le siège social est situé [ADRESSE_ORGANISME], en ma qualité de personne concernée au sens du RGPD.

I. IDENTITÉ DU RESPONSABLE DU TRAITEMENT MIS EN CAUSE

- Raison sociale : [NOM_ORGANISME]
- Adresse : [ADRESSE_ORGANISME]
- Site web : [SITE_WEB] (le cas échéant)
- Délégué à la protection des données (DPO) contacté : [NOM_DPO ou « non communiqué »]

II. DESCRIPTION DES FAITS

[Décrire précisément les faits à l'origine de la plainte — choisir et adapter]

*Option A — Refus d'exercice de droits :*
Le [DATE_DEMANDE], j'ai adressé à [NOM_ORGANISME] une demande d'[exercice de mon droit d'accès / droit d'effacement / droit d'opposition / droit de rectification / droit à la portabilité] concernant [DÉCRIRE LES DONNÉES : ex. mes données de navigation collectées sur leur site, l'ensemble de mes données clients, etc.].

[NOM_ORGANISME] [n'a pas répondu dans le délai légal d'un mois / a refusé ma demande sans motif légitime / a apporté une réponse incomplète], en violation des articles [17 / 18 / 21 / 15 / 20] du RGPD.

*Option B — Violation de données personnelles :*
Le [DATE_NOTIFICATION] / [Aux alentours du [DATE_ESTIMÉE]], j'ai constaté que [NOM_ORGANISME] avait été victime d'une violation de données ayant conduit à [la divulgation / l'accès non autorisé / la perte] de mes données personnelles, notamment [DÉCRIRE : coordonnées, données bancaires, données de santé, etc.].

[NOM_ORGANISME] [ne m'a pas notifié cette violation / m'a notifié avec retard le [DATE]] en violation de l'article 34 du RGPD.

*Option C — Prospection non consentie :*
Depuis le [DATE_DÉBUT], je reçois des communications commerciales de [NOM_ORGANISME] alors que [je n'ai jamais donné mon consentement à la réception de telles communications / je me suis opposé(e) au traitement de mes données à des fins de prospection le [DATE_OPPOSITION] sans que cette demande soit respectée].

III. DÉMARCHES PRÉALABLES EFFECTUÉES

Préalablement à la présente saisine, j'ai entrepris les démarches suivantes :

- Le [DATE_1] : [envoi d'un email / courrier recommandé AR] à [NOM_ORGANISME] demandant [OBJET DE LA DEMANDE] — [réponse reçue le [DATE_RÉPONSE] / aucune réponse à ce jour].
- Le [DATE_2] : [relance / mise en demeure / contact du DPO] — [résultat].

Ces démarches n'ont pas permis de résoudre la situation, ce qui me conduit à vous saisir.

IV. PRÉJUDICE SUBI

Cette violation du RGPD m'a causé le(s) préjudice(s) suivant(s) : [décrire : atteinte à la vie privée, risque d'usurpation d'identité, harcèlement commercial, stress, temps passé à tenter de résoudre le problème, etc.].

V. DEMANDES

Je sollicite de votre part :
1. L'instruction de ma plainte et l'ouverture d'une enquête auprès de [NOM_ORGANISME] ;
2. Le cas échéant, la mise en demeure de [NOM_ORGANISME] de respecter mes droits et les obligations du RGPD ;
3. L'information des suites données à ma plainte conformément à l'article 77 §2 du RGPD.

Je me tiens à votre disposition pour tout renseignement complémentaire et vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées.

[Signature]
[Prénom NOM]

Pièces jointes :
- Copie de la pièce d'identité
- Copie de la demande initiale adressée à [NOM_ORGANISME] ([DATE_DEMANDE])
- Copie de la réponse reçue (ou attestation d'absence de réponse)
- [Toute autre pièce pertinente : captures d'écran, emails, courriers recommandés avec AR]

Comment utiliser ce modèle ?

L'article 77 du Règlement Général sur la Protection des Données (RGPD) garantit à toute personne le droit de déposer une plainte auprès de l'autorité de contrôle de son pays — en France, la CNIL (Commission Nationale de l'Informatique et des Libertés) — lorsqu'elle estime que le traitement de ses données personnelles viole le RGPD. Ce droit s'applique notamment en cas de refus d'exercice des droits (accès, rectification, opposition, effacement, portabilité), de violation de données (fuite, piratage), ou de démarchage abusif.

Avant de saisir la CNIL, vous devez obligatoirement avoir tenté d'exercer vos droits directement auprès de l'organisme mis en cause et attendu une réponse pendant un délai raisonnable (en général 1 mois, délai légal RGPD). Sans cette démarche préalable, la CNIL ne peut pas instruire votre plainte. Conservez précieusement tous les échanges écrits (emails, courriers recommandés, captures d'écran) qui documenteront vos tentatives.

Ce modèle est adapté aux cas complexes nécessitant un courrier détaillé. Pour les cas simples (spam, prospection non consentie), la saisine en ligne directement sur cnil.fr via le formulaire "Signal Spam" ou le téléservice de plainte est souvent plus rapide. La CNIL dispose de 3 mois pour vous informer de l'état de votre plainte, et peut prononcer des sanctions pouvant atteindre 4 % du chiffre d'affaires mondial de l'organisme contrevenant.

Conseils pratiques

  • Exercez d'abord vos droits directement auprès de l'organisme — la CNIL n'instruira pas votre plainte sans preuve de cette tentative préalable.
  • Conservez toutes les preuves : emails envoyés (avec accusé de lecture si possible), courriers recommandés avec AR, captures d'écran, réponses reçues.
  • Précisez bien les dates : date de votre demande initiale, délai de réponse légal dépassé (1 mois), date de la réponse reçue (ou absence de réponse).
  • Identifiez le délégué à la protection des données (DPO) de l'organisme : ses coordonnées figurent en général dans la politique de confidentialité du site, les mentions légales ou les CGU, et la demande lui est souvent transmise plus efficacement qu'à un service générique.
  • Documentez précisément une violation de données : date de découverte, nature des données exposées (coordonnées, données bancaires, de santé…), origine présumée (fuite, piratage, erreur d'envoi) et conservez la notification reçue de l'organisme, le cas échéant.
  • Tracez tous vos échanges numériques : horodatez vos captures d'écran, sauvegardez les en-têtes complets des emails et exportez les conversations, afin de constituer un dossier daté et incontestable.
  • Si l'organisme est établi dans un autre pays de l'UE, la CNIL applique le mécanisme du « guichet unique » : elle transmet votre plainte à l'autorité chef de file compétente, ce qui peut allonger le délai d'instruction — précisez le pays d'établissement dès votre courrier.
  • Si la violation concerne plusieurs personnes (fuite de données massive), vous pouvez vous regrouper pour une plainte collective ou mandater une association agréée, ce qui renforce le dossier.

Questions fréquentes

L'article 12 du RGPD impose à tout responsable du traitement de répondre dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes, à condition que l'organisme vous en informe dans le premier mois. Sans réponse après un mois, vous pouvez saisir la CNIL.

Non directement. La CNIL est une autorité administrative : elle peut sanctionner l'organisme (amende, mise en demeure, injonction de cesser), mais ne peut pas vous octroyer de compensation financière. Pour obtenir des dommages et intérêts, il faut saisir le tribunal judiciaire compétent — les actions CNIL et judiciaires peuvent être menées en parallèle.

La saisine en ligne via cnil.fr est le canal standard et le plus rapide pour la majorité des cas (prospection non consentie, refus d'effacement, etc.). Le courrier postal détaillé est recommandé pour les affaires complexes impliquant plusieurs violations, des montants importants ou une situation atypique qui nécessite une présentation structurée. Les deux voies aboutissent au même service d'instruction de la CNIL.

Le RGPD vous reconnaît plusieurs droits que vous devez d'abord faire valoir directement auprès de l'organisme : le droit d'accès (art. 15, obtenir une copie de vos données), le droit de rectification (art. 16, corriger des données erronées), le droit à l'effacement ou « droit à l'oubli » (art. 17), le droit à la limitation du traitement (art. 18), le droit d'opposition (art. 21, notamment à la prospection commerciale) et le droit à la portabilité (art. 20, récupérer vos données dans un format réutilisable). C'est le refus ou l'absence de réponse sur l'un de ces droits qui fonde généralement la plainte auprès de la CNIL.

La CNIL dispose d'un délai de trois mois pour vous informer de l'état d'avancement ou de l'issue de votre plainte (article 78 du RGPD). En pratique, ce délai varie selon la complexité du dossier et le volume de plaintes en cours : les affaires impliquant des organismes établis dans plusieurs pays de l'UE, traitées via le mécanisme de coopération du « guichet unique », sont généralement plus longues. Pendant l'instruction, la CNIL peut vous demander des précisions ou des pièces complémentaires : répondez rapidement pour ne pas ralentir le traitement. Un dossier clair, daté et bien documenté dès le départ accélère sensiblement son examen.

La procédure est la même que pour un organisme privé : la CNIL est compétente pour contrôler les traitements de données mis en œuvre par les administrations, collectivités et établissements publics, qui sont eux aussi soumis au RGPD. Exercez d'abord vos droits auprès du DPO de l'organisme public concerné — leur désignation est d'ailleurs obligatoire dans le secteur public — puis saisissez la CNIL en l'absence de réponse satisfaisante. À noter : la CNIL peut adresser des mises en demeure et des rappels à l'ordre aux organismes publics ; les sanctions financières, en revanche, obéissent à des règles spécifiques pour le secteur public. Pour un litige distinct portant sur une décision administrative, le recours au tribunal administratif reste possible en parallèle.