Adresser une plainte à la CNIL

16 février 2021

Vous avez constaté un manquement relatif au traitement de données personnelles vous concernant et vous souhaitez adresser une plainte à la CNIL ? Avant de la rédiger, vérifiez votre situation pour savoir comment la CNIL peut intervenir.

Ce que la CNIL peut faire

La CNIL peut uniquement effectuer des investigations sur des problématiques relevant de la protection des données personnelles :

  • sur la base d’une plainte complète et précise qui lui est adressée ;
  • sur la base de thèmes identifiés comme prioritaires ;
  • à partir de faits remontés par la presse ou sur le web ;
  • s’il y a un signalement d’autres CNIL européennes.

Si des manquements sont avérés, elle peut alors décider de mesures correctrices tels que rappels à l’ordre, des mises en demeure ou des sanctions financières.

Ce que la CNIL ne peut pas faire

La CNIL ne peut pas :    

  • Exercer vos droits à votre place si vous ne l’avez pas fait. La CNIL ne peut pas être votre mandataire.
  • Traiter une plainte imprécise ou incomplète (simple crainte ou suspicion, absence de justificatifs des démarches accomplies auprès de l’organisme etc.).
  • Vous obtenir des dommages et intérêts et constater des préjudices subis.
  • Régler des problématiques ne relevant pas de la protection des données : droit du travail, droit à l’image, droit de la consommation, droit pénal, etc.
  • Condamner pénalement un organisme pour des faits de harcèlement, de diffamation, de discrimination, etc.

  1. Vérifiez votre situation

Vous n’avez pas encore exercé vos droits Informatique et Libertés ?

Avant de demander l’intervention de la CNIL, vous devez d’abord exercer vos droits Informatique et Libertés :

L’organisme doit vous répondre dans les meilleurs délais, et sous un mois maximum.

En cas de doute sur votre identité, l’organisme peut :

  • vous demander de lui fournir des copies de documents pour s’assurer que vous êtes bien la personne concernée ;
  • vous demander des compléments d’information pour préciser votre demande ;
  • vous indiquer que votre demande est particulièrement complexe ou nécessite des investigations. Dans ce cas, il peut prolonger de deux mois le délai pour vous répondre.

Un organisme public ou privé ne respecte pas les règles de protection des données ?

Exemples :

  • Un site web ne propose pas de politique de confidentialité.
  • Un formulaire (en ligne sur un site web ou au format papier) ne comporte pas de mentions d’information.
  • Des données vous concernant ont été transmises à un tiers alors qu’elles n’auraient pas dû l’être.

Contactez d’abord l’organisme, ou son délégué à la protection des données (DPO) s’il en a désigné un, afin de lui signifier ces manquements.

Vous avez exercé vos droits mais ils n’ont pas été respectés ?

Si vous n’avez reçu aucune réponse après un mois

Vous pouvez vous adresser à la CNIL.

Exemple : vous avez demandé à un site web la suppression de vos données de son fichier marketing il y a plus d’un mois et il ne vous a pas répondu.

Si vous estimez que la réponse reçue est incomplète ou erronée

Contestez d’abord cette réponse auprès de l’organisme : cela peut suffire à régler le problème.

Si cela ne suffit pas, vous pourrez vous adresser à la CNIL.

Exemple : vous avez demandé à votre agence bancaire une copie des données vous concernant et elle vous a répondu qu’elle ne détenait que les données que vous lui aviez communiquées. Insistez auprès du délégué à la protection des données de votre banque en lui précisant que la réponse de l’agence ne convient pas.

Conservez des preuves !

Lors de vos échanges avec l'organisme, pensez à conserver des preuves avant d'adresser une plainte à la CNIL.

Comment faire des captures d'écran ?


  1. Préparez et envoyez votre plainte à la CNIL

Préparez votre plainte

Votre plainte doit :

  • être rédigée en langue française ;
  • indiquer l’organisme visé par votre plainte (nom, coordonnées, numéro SIREN) ;
  • préciser votre identité et indiquer vos coordonnées pour que la CNIL communique avec vous. Votre identité ne sera révélée à l’organisme visé par votre plainte que lorsque c’est indispensable (par exemple, dans le cadre de l’exercice de vos droits) ;
  • comporter un mandat écrit si vous intervenez pour quelqu’un d’autre (un membre de votre famille, un ami, un collègue) ;
  • comporter toutes les informations utiles sur la situation que vous rencontrez et une copie des pièces indispensables à la compréhension de votre plainte : échanges de courriers avec l’organisme, adresse URL de la page du site web diffusant des données vous concernant, votre qualité (si vous êtes client, employé, administré, adhérent, membre, etc. de l’organisme), etc. Conservez bien vos originaux.

Adressez votre plainte à la CNIL

En ligne

Le service de plainte en ligne vous permet d’accéder à des formulaires propres à chaque situation (par exemple, pour la suppression d’un contenu sur Internet ou pour l’exercice de votre droit d’accès auprès de votre employeur).

Accéder au service de plainte en ligne

Vous devrez alors créer un compte en ligne pour accéder au formulaire de plainte, ou accéder à votre compte si vous en disposez déjà d’un. Ce compte vous permettra de suivre l’évolution du traitement de votre plainte et d’interagir plus facilement avec l’agent en charge de votre dossier, en toute sécurité.

Si vous ne souhaitez pas créer de compte, vous pouvez également chercher la question-réponse qui correspond à votre situation dans la rubrique Besoin d'aide et, en l'absence de réponse satisfaisante, contacter la CNIL.

Par courrier postal

Commission nationale de l’informatique et des libertés

Service des plaintes

3 Place de Fontenoy

TSA80715

75334 PARIS CEDEX 07


  1. Après l’envoi de votre plainte

La CNIL vérifiera d’abord que votre plainte est recevable et complète

Si c’est le cas, elle pourra agir de différentes manières :

  • Si votre plainte concerne l’exercice de vos droits, la CNIL écrira à l’organisme mis en cause ou à son délégué à la protection des données afin que des mesures soient prises pour satisfaire votre demande.
  • Si votre plainte concerne un autre motif, la CNIL pourra intervenir de différentes manières, en fonction de votre plainte, des manquements soulevés et de la nature de l’organisme en cause.

Si l’analyse juridique approfondie de votre plainte conduit à la considérer comme non fondée, un courrier vous sera adressé pour vous en informer.

Les différentes mesures que la CNIL peut prendre

La CNIL s’engage à faire le maximum pour vous informer de l’état d’avancement (au moins dans un délai de trois mois suivant son dépôt) et de l’issue de votre plainte.

Si vous recevez des informations directement de la part de l’organisme que vous mettez en cause, nous vous remercions de nous en informer.

Les délais de traitement de votre plainte dépendent :

  • du nombre de demandes reçues (près de 14 000 nouvelles plaintes en 2020) ;
  • de la complexité des sujets et des procédures (exemple : question juridique inédite ; outil technologique nouveau ; coopération européenne, etc.) ;
  • des échanges avec les organismes mis en cause ;
  • de l’attente d’une décision de justice sur la question juridique de fond, par exemple du Conseil d’État ou de la Cour de justice de l’Union européenne.

Les voies de recours

Si vous n’êtes pas satisfait de l’issue de votre plainte dont la CNIL vous a informé, vous pouvez adresser un recours gracieux par courrier postal à l’attention de Madame la Présidente de la CNIL, dans les deux mois suivant la décision de clôture.

Si vous n’êtes toujours pas satisfait, vous pourrez saisir le Conseil d’État, juge administratif suprême, en application des règles de contentieux administratif et sous réserve de votre intérêt à agir.

À savoir

 

Votre plainte à la CNIL n’a pas valeur de dépôt de plainte pénale et n’en constitue pas un préalable. Si les faits sont susceptibles de relever d’une infraction pénale (par exemple si vous êtes victime d’une usurpation d’identité), vous pouvez déposer à tout moment une plainte pénale auprès du procureur de la République, des services de police ou de gendarmerie compétents (plus d’informations sur le site web service-public.fr).

Si votre plainte ne concerne pas que la protection des données, vous pouvez également vous rapprocher, selon votre cas, de :