CNIL : Comment Porter Plainte Étape par Étape (Guide 2026)
Tu as reçu une pub ciblée sur un sujet dont tu n'as jamais parlé ? Un site refuse de supprimer tes données ? Une entreprise conserve tes infos malgré tes demandes ? La CNIL est là pour ça. Depuis l'entrée en vigueur du RGPD en 2018, porter plainte auprès de la Commission Nationale de l'Informatique et des Libertés est devenu un vrai levier de pression, capable de déboucher sur des amendes de plusieurs millions d'euros. Encore faut-il savoir comment s'y prendre.
Dans ce guide, on va décortiquer la procédure complète : quand porter plainte, comment préparer ton dossier, les étapes précises sur le site de la CNIL, les délais réels, et surtout ce qui se passe après. Que tu sois un particulier, un salarié ou un consommateur mécontent, tu vas repartir avec une méthode claire.
Qu'est-ce que la CNIL et quand peut-elle intervenir ?
La CNIL est l'autorité administrative indépendante française chargée de veiller à la protection des données personnelles. Créée en 1978, elle est aujourd'hui le principal régulateur du RGPD en France, avec un pouvoir de sanction pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial d'une entreprise.
Concrètement, la CNIL peut intervenir dès qu'un traitement de données personnelles te concernant pose problème. Ça couvre un champ énorme : sites internet, applications mobiles, employeurs, banques, assurances, plateformes de e-commerce, vidéosurveillance dans un immeuble, prospection commerciale non désirée, fuites de données, etc.
Les motifs de plainte les plus fréquents
- Refus d'accès à tes données : une entreprise ne répond pas à ta demande d'accès dans un délai d'un mois.
- Refus de suppression : ton droit à l'oubli est ignoré.
- Prospection commerciale abusive : SMS, emails ou appels malgré ton opposition.
- Vidéosurveillance illicite : caméras filmant l'espace public ou des parties privatives sans base légale.
- Fuite de données : tes infos se retrouvent dans la nature suite à un piratage mal géré.
- Cookies non conformes : traceurs déposés sans consentement.
- Géolocalisation abusive par un employeur ou surveillance excessive au travail.
Avant de porter plainte : la démarche préalable obligatoire
C'est LE point que tout le monde oublie et qui fait rejeter des milliers de plaintes chaque année. Avant de saisir la CNIL, tu dois d'abord contacter l'organisme concerné pour faire valoir tes droits. C'est une exigence explicite du RGPD.
Étape 1 : Identifier le bon interlocuteur
Toute organisation traitant des données doit désigner un point de contact. Cherche dans cet ordre :
- Le Délégué à la Protection des Données (DPO) mentionné dans la politique de confidentialité du site.
- L'adresse email dédiée du type
dpo@entreprise.comouprivacy@entreprise.com. - À défaut, le service client ou l'adresse postale du siège social.
Étape 2 : Formuler une demande écrite claire
Envoie ta demande par email (garde une preuve) ou en recommandé avec accusé de réception si l'enjeu est important. Précise :
- Ton identité complète (avec copie de pièce d'identité si demandé).
- Le droit que tu exerces : accès (article 15 RGPD), rectification (art. 16), effacement (art. 17), opposition (art. 21), portabilité (art. 20).
- Les éléments précis concernés (compte, commande, événement).
- Un rappel du délai légal d'un mois pour répondre.
Étape 3 : Attendre le délai d'un mois
L'organisme dispose d'un mois pour répondre, prolongeable à trois mois pour les demandes complexes (avec justification). Sans réponse ou avec une réponse insatisfaisante, tu peux passer à l'étape suivante : la plainte formelle.
Comment porter plainte à la CNIL : la procédure complète
La CNIL propose désormais une téléprocédure entièrement en ligne, gratuite et disponible 24h/24. C'est le canal recommandé et le plus rapide.
Étape 1 : Se rendre sur le site officiel
Va sur cnil.fr, puis dans la rubrique "Adresser une plainte". Attention aux sites frauduleux qui imitent la CNIL : vérifie toujours l'URL et le cadenas HTTPS. Si tu partages un lien vers ce guide ou vers un formulaire, utilise un raccourcisseur sûr comme Lunyb qui préserve la confidentialité de tes clics.
Étape 2 : Choisir le bon formulaire
La CNIL propose plusieurs formulaires spécialisés selon ta situation :
| Type de plainte | Formulaire à utiliser |
|---|---|
| Prospection commerciale (email, SMS, téléphone) | Formulaire "prospection" |
| Droits sur tes données (accès, effacement, opposition) | Formulaire "exercice des droits" |
| Vidéosurveillance | Formulaire "vidéosurveillance / vidéoprotection" |
| Relations avec un employeur | Formulaire "travail" |
| Banque, crédit, fichage FICP/FCC | Formulaire "banque / crédit" |
| Diffusion d'informations sur internet | Formulaire "internet" |
| Autre situation | Formulaire générique de plainte |
Étape 3 : Créer ton compte ou te connecter
Tu peux utiliser FranceConnect pour t'identifier rapidement, ou créer un compte dédié sur le site de la CNIL. Ton compte te permettra de suivre l'avancement de ta plainte et d'échanger avec les agents instructeurs.
Étape 4 : Remplir le formulaire avec précision
C'est l'étape critique. Une plainte mal rédigée est classée sans suite. Voici ce que tu dois inclure :
- Identification précise de l'organisme mis en cause : nom, adresse, site web, numéro SIRET si possible.
- Description factuelle des faits : chronologie, dates, contexte. Évite les jugements de valeur, colle aux faits.
- Le droit RGPD violé selon toi : article 15, 17, 21, etc.
- La démarche préalable : dates de tes courriers, réponses reçues (ou absence de réponse).
- Les préjudices subis : matériels, moraux, financiers.
- Les pièces justificatives : captures d'écran, emails, courriers, contrats. Format PDF ou image, taille maximale généralement 10 Mo par fichier.
Étape 5 : Valider et conserver ton numéro de dossier
Après validation, tu reçois un accusé de réception avec un numéro de dossier unique. Note-le précieusement : il te servira pour toute correspondance ultérieure.
Ce qui se passe après le dépôt de plainte
La CNIL reçoit plus de 14 000 plaintes par an. Toutes ne donnent pas lieu à des sanctions spectaculaires, mais toutes sont analysées.
La phase d'analyse préliminaire
Dans les semaines qui suivent, un agent instructeur examine ta plainte. Il vérifie :
- La compétence de la CNIL (l'organisme est-il bien soumis au RGPD français ?).
- La recevabilité (as-tu bien fait la démarche préalable ?).
- Le sérieux du dossier (les faits sont-ils étayés ?).
L'instruction et la réponse de l'organisme
Si ta plainte est recevable, la CNIL contacte l'organisme mis en cause et lui demande des explications sous un délai fixé (généralement un mois). L'organisme doit justifier ses pratiques, produire des preuves de conformité, ou proposer des mesures correctives.
Les issues possibles
- Résolution amiable : l'organisme corrige la situation (suppression de tes données, arrêt de la prospection, etc.). C'est l'issue la plus fréquente.
- Mise en demeure publique : la CNIL somme l'organisme de se mettre en conformité, souvent avec publication du nom.
- Sanction financière : amende pouvant aller jusqu'à 20 millions d'euros ou 4 % du CA mondial pour les cas graves.
- Classement sans suite : si la plainte n'aboutit pas, tu es informé des raisons.
Les délais réels à prévoir
Soyons honnête : la CNIL est débordée. Compte en moyenne :
- 2 à 4 semaines pour l'accusé de réception détaillé.
- 3 à 6 mois pour une résolution amiable simple.
- 12 à 24 mois pour une instruction complète débouchant sur une sanction.
Cas particuliers et situations complexes
Plainte contre un organisme étranger
Si l'entreprise est établie dans un autre pays de l'UE, la CNIL applique le mécanisme du guichet unique. Tu déposes ta plainte en France, la CNIL la transmet à l'autorité chef de file (celle du pays du siège européen de l'entreprise). Pour les acteurs hors UE mais ciblant le marché français, la CNIL est directement compétente.
Si tu es dans un cas similaire en Suisse, la procédure est différente : consulte notre guide PFPDT Suisse : Comment Déposer une Plainte pour la marche à suivre.
Plainte anonyme ou signalement
Tu ne veux pas révéler ton identité à l'organisme ? La CNIL accepte les signalements anonymes, mais ils ont beaucoup moins de poids et ne donnent pas droit à un retour personnalisé. Mieux vaut demander la confidentialité de ton identité dans une plainte nominative : la CNIL peut protéger tes coordonnées lors des échanges avec l'organisme mis en cause.
Plainte collective
Depuis la loi Justice du XXIe siècle et l'action de groupe RGPD, plusieurs personnes peuvent se regrouper via une association agréée (comme la Quadrature du Net, UFC-Que Choisir) pour porter une plainte commune. Ça donne beaucoup plus de poids au dossier et peut aboutir à des sanctions plus lourdes.
Fuite de données massive te concernant
Si tes données ont fuité dans un piratage (type MGM, Free, ou autre incident majeur), tu peux porter plainte à la CNIL même si l'entreprise a déclaré la violation. Ta plainte vient renforcer l'instruction et peut ouvrir droit à réparation. Renforce en parallèle ta sécurité : notre article sur les risques du WiFi public et notre guide pour bloquer les traceurs sur ton téléphone t'aideront à limiter la casse.
Erreurs fréquentes qui font échouer une plainte
- Ne pas avoir fait la démarche préalable : premier motif de rejet.
- Envoyer une plainte trop émotionnelle : la CNIL veut des faits, pas des ressentis.
- Manquer de preuves : une allégation sans capture d'écran ou email a peu de chances.
- Se tromper de destinataire : pour les contenus illégaux (diffamation, revenge porn), c'est le tribunal ou Pharos qu'il faut saisir, pas la CNIL.
- Attendre trop longtemps : le RGPD ne prévoit pas de prescription précise, mais plus tu attends, plus les preuves s'effacent.
Porter plainte en tant que salarié ou professionnel
Si tu es salarié et que ton employeur abuse (surveillance excessive, géolocalisation permanente, collecte de données médicales illicite), la CNIL est compétente. Attention toutefois : garde des copies personnelles de toutes les preuves avant tout dépôt de plainte, ton accès aux systèmes de l'entreprise pouvant être coupé.
Si tu es entrepreneur ou dirigeant, tu peux aussi avoir besoin de te défendre contre une plainte injustifiée. Notre guide sur la cybersécurité des entreprises aborde les bonnes pratiques de conformité qui te protègent en amont.
Alternatives et compléments à la plainte CNIL
La CNIL n'est pas la seule voie de recours :
- Action au civil devant le tribunal judiciaire pour obtenir des dommages et intérêts.
- Plainte pénale si les faits sont constitutifs d'une infraction (article 226-16 et suivants du Code pénal).
- Signalement à la DGCCRF pour les pratiques commerciales trompeuses.
- 33700 pour signaler les SMS et appels frauduleux.
- Bloctel pour t'inscrire sur la liste anti-démarchage téléphonique.
Ces recours sont cumulables avec une plainte CNIL. Tu peux tout à fait porter plainte à la CNIL ET assigner l'entreprise au civil en parallèle.
Bien protéger ses données au quotidien
La meilleure plainte reste celle qu'on n'a jamais à déposer. Quelques réflexes simples réduisent drastiquement les risques :
- Utiliser des emails jetables pour les inscriptions non essentielles.
- Refuser systématiquement les cookies non nécessaires.
- Vérifier les autorisations des applications mobiles.
- Utiliser un navigateur respectueux de la vie privée (Brave, Firefox avec ses protections renforcées).
- Activer le DNS chiffré (DNS-over-HTTPS) sur tes appareils.
- Utiliser un raccourcisseur d'URL comme Lunyb quand tu partages des liens : tes clics et ceux de tes contacts restent confidentiels, sans traceurs publicitaires.
FAQ : Plainte CNIL
Combien coûte une plainte à la CNIL ?
Rien du tout. La saisine de la CNIL est totalement gratuite, que tu passes par la téléprocédure en ligne ou par courrier postal. Aucun avocat n'est obligatoire, même si son intervention peut être utile pour les dossiers complexes.
Puis-je porter plainte contre une entreprise étrangère ?
Oui, si elle traite des données de résidents européens ou cible le marché français. Pour les entreprises de l'UE, la CNIL transmet le dossier à l'autorité chef de file du pays concerné via le mécanisme du guichet unique RGPD. Pour les entreprises hors UE (États-Unis, Chine, etc.), la CNIL peut agir directement.
Que se passe-t-il si la CNIL me donne raison ?
L'organisme peut être mis en demeure, sanctionné financièrement (jusqu'à 4 % du CA mondial) ou contraint de modifier ses pratiques. En revanche, la CNIL ne t'accorde pas directement de dommages et intérêts : pour ça, il faut agir devant les tribunaux civils, en te servant éventuellement de la décision CNIL comme preuve.
Combien de temps ai-je pour porter plainte après les faits ?
Le RGPD ne fixe pas de délai de prescription strict pour saisir la CNIL. Néanmoins, plus tu attends, plus il devient difficile de rassembler les preuves et plus l'analyse est complexe. Idéalement, agis dans les 6 mois suivant les faits ou l'échec de ta démarche préalable auprès de l'organisme.
Puis-je retirer ma plainte une fois déposée ?
Oui, tu peux retirer ta plainte à tout moment via ton espace personnel sur le site de la CNIL ou par courrier. Cependant, si la CNIL considère que les faits sont graves et concernent d'autres personnes, elle peut poursuivre l'instruction d'office, même après ton désistement.
Conclusion
Porter plainte à la CNIL est un droit puissant, souvent sous-utilisé par méconnaissance. En suivant la procédure : démarche préalable auprès de l'organisme, formulaire adapté sur cnil.fr, dossier factuel et documenté, tu maximises tes chances d'obtenir gain de cause. Que ce soit pour faire cesser une prospection abusive, obtenir la suppression de tes données ou faire sanctionner un manquement grave, la CNIL a les outils juridiques pour te faire respecter.
N'oublie pas : chaque plainte, même modeste, participe à faire évoluer les pratiques et à protéger l'ensemble des citoyens. Alors si tu hésites, franchis le pas.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
PFPDT Suisse : Comment Déposer une Plainte en 2026 (Guide Complet)
Le PFPDT est l'autorité suisse chargée de protéger tes données personnelles. Ce guide complet t'explique comment déposer une plainte efficace, quels sont les délais, les sanctions possibles et comment maximiser tes chances de succès en 2026.
LPD : La Loi Suisse sur la Protection des Données Expliquée en 2026
La LPD suisse révisée est entrée en vigueur le 1er septembre 2023. Découvre dans ce guide complet à qui elle s'applique, tes obligations concrètes, les sanctions encourues et un plan d'action en 8 étapes pour te mettre en conformité rapidement.
Protection des Données pour les PME Belges : Guide Complet 2026
Guide 2026 complet pour les PME belges : obligations RGPD, contrôles de l'APD, sanctions, plan d'action en 10 étapes et bonnes pratiques cybersécurité. Tout ce qu'il faut savoir pour se mettre en conformité sans y passer ses nuits.
Protection des Données en France 2026 : Le Guide Complet
Le guide complet 2026 de la protection des données en France : RGPD, nouvelles obligations CNIL, sanctions, IA, Data Act et bonnes pratiques concrètes. Tout ce que tu dois savoir pour être en conformité, que tu sois particulier ou entreprise.