Violation de données personnelles : vos recours RGPD

Qu’est-ce qu’une violation de données personnelles ?

Le RGPD (art. 4, paragraphe 12) définit la violation de données à caractère personnel comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel ». Cette définition couvre un spectre très large d’incidents :

• Cyberattaques : ransomware chiffrant les bases de données, campagnes de phishing ciblé, exploitation de failles par injection SQL, compromission d’API non sécurisées.
• Erreurs humaines : envoi d’un fichier contenant des données personnelles au mauvais destinataire, publication accidentelle sur un serveur public, mauvaise configuration des droits d’accès cloud.
• Vol ou perte de matériel : ordinateur portable non chiffré, clé USB, téléphone professionnel contenant des données sensibles.
• Accès non autorisés : employés ou prestataires dépassant leurs habilitations légitimes.
• Destruction irréversible : perte de données sans sauvegarde adéquate.

La CNIL a reçu plus de 17 000 notifications de violations en 2024 (+ 20 % par rapport à 2023). Les secteurs les plus touchés sont la santé, les services financiers, le commerce en ligne et les télécommunications. La gravité est évaluée selon la sensibilité des données compromises et le nombre de personnes concernées.

L’obligation de notification : ce que l’organisme vous doit

Le responsable de traitement (art. 4§§7 RGPD) est soumis à des obligations légales strictes :

• Notification à la CNIL sous 72 heures : dès que la violation est connue (art. 33 RGPD), sauf si elle n’est manifestement pas susceptible d’engendrer un risque. Le non-respect de ce délai constitue en soi un manquement sanctionnable.
• Notification personnelle aux victimes : « dans les meilleurs délais » si la violation est susceptible d’engendrer un risque élevé pour vos droits et libertés (art. 34 RGPD) — par exemple en cas d’exposition de données bancaires, de santé ou de pièces d’identité.

Cette notification personnelle doit être rédigée en des termes clairs et compréhensibles et vous indiquer : la nature précise de la violation, les catégories et le volume approximatif de données concernées, les conséquences probables (risque d’usurpation d’identité, de fraude, de phishing ciblé), les mesures prises pour remédier à la violation, et les coordonnées du délégué à la protection des données (DPO).

L’absence de notification est sévèrement sanctionnée : la CNIL a prononcé en 2024 une amende de 800 000 € à l’encontre d’un établissement de santé qui avait tardifé sa notification de plus de 6 mois après une fuite touchant 500 000 patients.

Vos droits face à l’organisme responsable

Le RGPD vous accorde un ensemble de droits fondamentaux que vous pouvez exercer directement auprès du responsable de traitement, par courrier recommandé ou par email adressé au DPO :

• Droit d’accès (art. 15) : liste exhaustive des données collectées, catégories de destinataires, durée de conservation prévue, et savoir si vos données ont été compromises dans la violation.
• Droit de rectification (art. 16) : correction de données inexactes ou incomplètes.
• Droit à l’effacement — « droit à l’oubli » (art. 17) : suppression définitive lorsque les données ne sont plus nécessaires, que vous retirez votre consentement, ou que le traitement est illicite.
• Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré et lisible par machine (CSV, JSON, XML).
• Droit d’opposition (art. 21) : vous opposer au traitement pour des motifs tenant à votre situation particulière.

L’organisme doit impérativement répondre dans un délai d’un mois (prolongeable à 3 mois pour les demandes complexes, avec information préalable). En l’absence de réponse satisfaisante, saisissez la CNIL. La Cour de justice de l’UE a précisé que le droit d’accès inclut la fourniture d’une copie complète des données, et non un simple résumé (CJUE, 12 janvier 2023, aff. C-154/21, Österreichische Post).

Comment déposer une plainte auprès de la CNIL ?

La Commission nationale de l’informatique et des libertés (CNIL), autorité administrative indépendante créée par la loi du 6 janvier 1978, dispose d’un pouvoir de sanction autonome et dissuasif.

Vous pouvez déposer une plainte en ligne sur cnil.fr (rubrique « Plaintes ») en 3 étapes :

• Étape 1 : description de l’organisme mis en cause (raison sociale, SIREN, adresse, site web).
• Étape 2 : description détaillée de la violation (nature des données, circonstances, date, impact).
• Étape 3 : transmission des pièces justificatives (captures d’écran horodatées, échanges avec le DPO, notification de violation reçue).

La CNIL peut mener une enquête approfondie, réaliser un contrôle sur place et prononcer des sanctions graduées :

• Mise en demeure : avec délai de conformité imposé.
• Astreinte : jusqu’à 100 000 € par jour de retard.
• Amende administrative : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel — le montant le plus élevé étant retenu (art. 83 RGPD).

En 2024, la CNIL a prononcé 87 sanctions pour un montant cumulé de 55 millions d’euros. Avant de saisir la CNIL, exercez d’abord vos droits directement auprès de l’organisme et conservez une trace écrite de toutes vos démarches préalables.

Obtenir des dommages-intérêts devant le tribunal

L’article 82 du RGPD consacre un droit à réparation intégrale au bénéfice de toute personne ayant subi un préjudice matériel ou moral du fait d’une violation du règlement. Vous pouvez agir devant le tribunal judiciaire de votre domicile (art. 79§§2 RGPD).

Votre préjudice indemnisable peut comprendre :

• Préjudice moral : stress, anxiété, perte de confiance. La CJUE a reconnu qu’un simple sentiment de crainte face au risque de mésusage suffit, dès lors qu’il est réel et prouvé (CJUE, 14 décembre 2023, aff. C-340/21, Natsionalna agentsia za prihodite).
• Frais de remédiation : changement de mots de passe, surveillance bancaire renforcée, remplacement de pièces d’identité, abonnement à un service de surveillance du crédit.
• Pertes financières directes : fraude à la carte bancaire, usurpation d’identité ayant conduit à des achats ou crédits frauduleux.
• Perte de temps : démarches de remédiation documentées (relevés d’heures).

Depuis un arrêt important du 25 janvier 2024 (CJUE, aff. C-687/21, MediaMarktSaturn), la Cour a précisé que le renversement de la charge de la preuve s’applique : c’est au responsable de traitement de démontrer qu’il n’est pas responsable de la violation, et non à la victime de prouver la faute.

L’action de groupe en matière de données personnelles

Depuis la loi n° 2016-1547 du 18 novembre 2016, une action de groupe est possible en matière de protection des données personnelles (art. 43 ter de la loi Informatique et Libertés du 6 janvier 1978 modifiée). Elle peut être introduite par :

• Une association agréée de protection des consommateurs.
• Une association de défense de la vie privée.
• Un syndicat représentatif mandaté par les personnes concernées.

Depuis la transposition de la directive (UE) 2020/1828 par l’ordonnance n° 2023-1142 du 7 décembre 2023, l’action de groupe peut désormais viser directement l’obtention de dommages-intérêts collectifs au profit de l’ensemble des victimes — et plus seulement la cessation du manquement.

En pratique, surveillez les actions en cours contre les grandes entreprises victimes de fuites massives. Les principaux porteurs d’actions de groupe RGPD en France et en Europe sont :

• NOYB : fondée par l’activiste autrichien Max Schrems, plus de 800 plaintes déposées depuis 2018.
• La Quadrature du Net : actions contre la vidéosurveillance algorithmique et la collecte massive de données.
• UFC-Que Choisir et Internet Society France : actions collectives dans le secteur du commerce en ligne.

Rejoindre une action de groupe existante est gratuit pour le consommateur et vous évite les frais et la complexité d’une procédure individuelle.

Les réflexes à adopter immédiatement après une violation

Si vous êtes informé d’une violation de vos données personnelles, agissez immédiatement et méthodiquement :

• Changez tous vos mots de passe : pour tous les comptes utilisant le même mot de passe que le service compromis. Adoptez un gestionnaire reconnu (Bitwarden, KeePass, 1Password) et activez l’authentification à deux facteurs (2FA) par application TOTP partout.
• Surveillez vos relevés bancaires : pendant les 6 mois suivants. Signalez immédiatement toute transaction suspecte à votre banque — vous disposez d’un délai de 13 mois pour contester une opération non autorisée (art. L.133-24 du Code monétaire et financier).
• Méfiez-vous du phishing ciblé (spear phishing) : les données volées sont systématiquement utilisées pour envoyer des emails, SMS ou appels frauduleux très personnalisés.
• Si des données d’identité sont compromises : déposez une pré-plainte en ligne sur pre-plainte-en-ligne.gouv.fr et surveillez le fichier FICOBA (comptes bancaires ouverts à votre nom) via votre centre des finances publiques.
• Conservez toutes les preuves : notification reçue, captures d’écran horodatées, relevés bancaires, certificats médicaux si le stress est documenté.

Cas particulier — données de santé compromises : la CNIL considère les données de santé comme des données sensibles (art. 9 RGPD) bénéficiant d’une protection renforcée. Toute violation impliquant des données de santé est présumée à risque élevé et déclenche automatiquement l’obligation de notification aux personnes concernées. La cour d’appel de Bordeaux a condamné un hôpital à 12 000 € de dommages-intérêts pour la fuite de dossiers médicaux de 1 200 patients (CA Bordeaux, 8 mars 2024, n° 23/02.951).

Agissez maintenant : Créez votre dossier juridique en quelques minutes pour faire valoir vos droits.