Une publicité ciblée qui ressurgit après une demande de suppression, un ancien employeur qui conserve un dossier RH bien au-delà du nécessaire, un site marchand qui refuse d'effacer un compte, une vidéosurveillance de voisinage braquée sur une terrasse privée : ces situations relèvent toutes du même réflexe, saisir la CNIL. Encore faut-il savoir si la plainte est recevable, comment la formuler pour qu'elle aboutisse, et ce que l'autorité peut réellement obtenir. Ce guide détaille la procédure de dépôt d'une plainte CNIL en 2026, les pièces à réunir, les délais à anticiper et les suites concrètes, pour les particuliers comme pour les professionnels confrontés à un traitement de données contestable.
Ce que recouvre une plainte CNIL et qui peut la déposer
La Commission nationale de l'informatique et des libertés (CNIL) est l'autorité administrative indépendante chargée de veiller au respect de la réglementation sur les données personnelles en France. Son existence et ses missions reposent sur la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, profondément remaniée pour s'articuler avec le Règlement (UE) 2016/679 du 27 avril 2016, le RGPD (règlement général sur la protection des données).
Le droit de saisir l'autorité figure noir sur blanc dans le règlement européen.
Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle (...) si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. (article 77 du RGPD)
Dans le vocabulaire du RGPD, on parle de « réclamation » ; dans l'usage français et sur le site de la CNIL, on parle de « plainte ». Les deux termes désignent la même démarche. Toute personne physique peut déposer plainte CNIL dès lors qu'elle estime qu'un organisme a méconnu ses droits sur ses propres données. Cela vise les particuliers, mais aussi un salarié à l'égard de son employeur, un client à l'égard d'un commerçant, un internaute à l'égard d'une plateforme.
Les entreprises peuvent aussi être à l'origine d'un signalement
Une société n'introduit pas de « plainte » au sens strict pour ses données, car la protection des données personnelles concerne les personnes physiques. En revanche, un dirigeant, un salarié ou un client peuvent saisir la CNIL au sujet d'une entreprise. Un professionnel peut également alerter la CNIL sur les pratiques d'un concurrent ou d'un partenaire, par exemple un démarchage commercial massif réalisé à partir de fichiers acquis sans base légale. Cette dimension intéresse directement le contentieux des affaires : une plainte CNIL bien documentée peut nourrir un litige commercial parallèle, qu'il s'agisse de concurrence déloyale ou de manquement contractuel d'un sous-traitant de données.
Vérifier que la situation relève bien de la CNIL
Avant de déposer plainte CNIL, il faut s'assurer que le problème entre dans son champ. La CNIL intervient uniquement sur le traitement de données à caractère personnel, c'est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable : nom, adresse, courriel, numéro de téléphone, données de localisation, identifiant en ligne, image, données de santé, etc.
Relèvent typiquement de sa compétence :
- le refus d'un organisme de répondre à une demande d'accès, de rectification ou d'effacement (droits prévus aux articles 15 à 17 du RGPD) ;
- la réception de prospection commerciale non sollicitée par courriel, SMS ou téléphone malgré une opposition ;
- la diffusion d'une photo ou d'une vidéo sans consentement ;
- une vidéosurveillance filmant la voie publique ou la propriété d'un voisin ;
- la conservation de données bien au-delà de la durée nécessaire ;
- l'absence d'information sur l'usage des données collectées par un site.
À l'inverse, certains conflits ne relèvent pas de la CNIL. Une diffamation pure, une injure ou une atteinte à la vie privée sans traitement de données structuré relèvent du juge judiciaire. Un litige sur le contenu éditorial d'un article de presse échappe largement à sa compétence, au titre de l'équilibre avec la liberté d'expression. Un différend strictement contractuel sans dimension « données » relève du tribunal compétent. Identifier le bon interlocuteur évite de perdre des mois sur une voie inadaptée.
L'étape préalable souvent obligatoire : exercer ses droits auprès de l'organisme
La CNIL attend, dans la grande majorité des cas, que la personne ait d'abord exercé ses droits directement auprès de l'organisme concerné, appelé le responsable de traitement. Concrètement, il faut envoyer une demande écrite (courriel ou courrier) au délégué à la protection des données (DPO, data protection officer) ou au service client, en précisant ce que l'on réclame : accéder à ses données, les corriger, les effacer, s'opposer à leur usage.
Le RGPD impose au responsable de traitement de répondre dans un délai d'un mois à compter de la réception de la demande, délai pouvant être prolongé de deux mois en cas de complexité (article 12 du RGPD). C'est seulement en l'absence de réponse satisfaisante, ou de réponse tout court, que la plainte CNIL prend tout son sens. Conserver une copie horodatée de cette démarche préalable est déterminant : c'est la première pièce du dossier.
Réunir les pièces avant de déposer plainte CNIL
Une plainte CNIL n'aboutit que si elle est étayée. L'autorité reçoit un volume considérable de réclamations chaque année, et un dossier vague produit rarement un résultat. La règle est simple : tout ce qui se prouve doit être joint.
Le dossier type comprend l'identité du plaignant, l'identification précise de l'organisme mis en cause (raison sociale, adresse, site internet), un exposé clair et chronologique des faits, et l'ensemble des justificatifs. Parmi ces justificatifs, on retrouve :
- la copie de la demande adressée au responsable de traitement et la preuve de son envoi ;
- la réponse reçue, ou la mention de l'absence de réponse avec la date limite dépassée ;
- les captures d'écran datées (courriels de prospection, page d'un site, message d'un compte) ;
- les courriels échangés, en conservant les en-têtes techniques quand c'est possible ;
- pour une vidéosurveillance, des photographies montrant l'orientation des caméras.
La qualité de la chronologie compte autant que les pièces. Un exposé qui indique « le 3 janvier 2026, demande d'effacement adressée par courriel ; aucune réponse au 4 février 2026 ; nouvelle relance le 10 février, restée sans suite » est beaucoup plus exploitable qu'un récit confus. La CNIL doit pouvoir reconstituer le manquement sans avoir à reconstruire le dossier.
La procédure de dépôt en 2026, étape par étape
Le téléservice en ligne, voie principale
En 2026, le canal privilégié reste le service de plainte en ligne accessible depuis le site officiel cnil.fr. Le téléservice guide le déclarant à travers un formulaire structuré par thématique (publicité, droit d'accès, effacement de données sur internet, vidéosurveillance, ressources humaines, etc.). Ce tri initial oriente la plainte vers le bon service instructeur et accélère son traitement.
Le formulaire demande de qualifier la nature du problème, d'identifier l'organisme, de décrire les faits et de téléverser les pièces justificatives. Il est vivement conseillé de rédiger l'exposé hors ligne au préalable, puis de le copier, afin d'éviter une session interrompue et un texte perdu. À l'issue de la transmission, un accusé de réception électronique confirme l'enregistrement de la plainte CNIL et fournit une référence à conserver pour tout suivi.
La voie postale
Une plainte peut également être adressée par courrier à la CNIL, à son adresse à Paris. Cette voie reste utile pour les personnes peu à l'aise avec les démarches numériques ou disposant de pièces uniquement papier. Le courrier doit reprendre les mêmes éléments que le formulaire en ligne : identité, organisme visé, faits datés, copies des pièces. L'envoi en recommandé avec accusé de réception donne une date certaine au dépôt.
Le cas particulier du déréférencement
Lorsqu'un internaute souhaite faire retirer un résultat associé à son nom dans un moteur de recherche, le « droit au déréférencement », la première démarche s'effectue directement auprès du moteur via son formulaire dédié, sur le fondement du droit à l'effacement de l'article 17 du RGPD. La CNIL n'intervient qu'en cas de refus du moteur, comme autorité de recours. Cette logique en deux temps vaut pour la plupart des droits : action auprès de l'organisme d'abord, plainte CNIL ensuite.
Ce qui se passe après le dépôt
L'instruction
Une fois la plainte enregistrée, un service instructeur l'examine. L'autorité peut, selon les cas, contacter l'organisme mis en cause pour lui demander des explications, exiger la régularisation de la situation, ou rappeler ses obligations. Une part importante des plaintes se règle à ce stade, par une mise en conformité spontanée du responsable de traitement une fois alerté de l'intervention de la CNIL. Pour le plaignant, le résultat concret est souvent là : la donnée est effacée, la prospection cesse, l'accès est accordé.
Le plaignant est informé des suites données à sa plainte. Il convient d'être réaliste sur les délais. Le traitement peut prendre plusieurs semaines à plusieurs mois selon la complexité du dossier et le volume de réclamations en cours. Une plainte bien documentée raccourcit ce délai en évitant les allers-retours de demandes de précisions.
Le pouvoir de contrôle et de sanction
Lorsque les manquements sont sérieux, répétés ou affectent un grand nombre de personnes, la CNIL peut engager un contrôle, sur pièces, en ligne, sur audition ou sur place. À l'issue, la formation restreinte de la CNIL, son organe de sanction, peut prononcer un rappel à l'ordre, une injonction de mise en conformité assortie d'astreinte, ou une amende administrative.
Le RGPD fixe le plafond de ces amendes à un niveau dissuasif : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les manquements les plus graves, le montant le plus élevé étant retenu (article 83 du RGPD). Pour mémoire, ces sanctions visent l'organisme fautif, pas à indemniser directement le plaignant. La plainte CNIL est un instrument de régulation, pas une procédure d'indemnisation individuelle.
Ce que la plainte CNIL ne répare pas
C'est une distinction essentielle, souvent mal comprise. La CNIL fait cesser un manquement et peut sanctionner l'organisme, mais elle n'accorde pas de dommages et intérêts. Pour obtenir réparation d'un préjudice (atteinte à la réputation, préjudice moral, perte financière), il faut saisir le juge. L'article 82 du RGPD ouvre en effet un droit à réparation devant les juridictions civiles pour toute personne ayant subi un dommage du fait d'une violation du règlement.
Les deux voies ne s'excluent pas : une décision de sanction de la CNIL, publiée et motivée, constitue un élément de preuve solide dans une action indemnitaire ultérieure. C'est précisément l'articulation que travaille un avocat en contentieux des affaires lorsqu'un client subit un dommage lié à un détournement de fichiers ou à une fuite de données.
Illustrations concrètes
Imaginons une salariée d'une PME d'une trentaine de personnes qui découvre, après son départ, que son ancien employeur a conservé l'intégralité de sa messagerie professionnelle et continue d'y accéder. Elle adresse d'abord une demande d'effacement au DPO de l'entreprise, par courriel, en visant l'article 17 du RGPD. Faute de réponse dans le mois, elle dépose plainte CNIL en joignant sa demande, la preuve de l'envoi et la chronologie. La CNIL interroge l'employeur, qui régularise. Aucune sanction n'est prononcée, mais l'objectif de la plaignante, faire cesser l'accès, est atteint.
Autre cas, un consommateur qui reçoit chaque semaine des SMS publicitaires d'une enseigne malgré plusieurs demandes de désinscription. Il conserve les captures d'écran datées des messages et de ses demandes restées sans effet. Sa plainte CNIL, classée dans la thématique prospection, peut, si l'enseigne récidive auprès de nombreux clients, déclencher un contrôle et une sanction sur le fondement des règles de consentement à la prospection électronique.
Troisième situation, fréquente en droit immobilier : un copropriétaire installe une caméra dont le champ couvre le palier commun et la porte d'un voisin. Le voisin filmé adresse d'abord une demande écrite de réorientation. Sans résultat, il saisit la CNIL en joignant des photographies montrant l'angle de la caméra. La CNIL rappelle alors la règle : une caméra privée ne doit filmer que l'espace strictement privatif de son propriétaire, jamais la partie commune ni la propriété d'autrui sans base légale.
Conseils pratiques pour maximiser l'efficacité d'une plainte
La précision prime sur le volume. Une plainte ciblée sur un manquement clairement identifié, étayée par trois pièces probantes, vaut mieux qu'un dossier de cinquante pages noyant le fait essentiel. Il faut nommer le droit invoqué : droit d'accès, droit d'effacement, droit d'opposition à la prospection, défaut d'information. Ce vocabulaire juridique permet au service instructeur de qualifier immédiatement la situation.
La preuve de la démarche préalable est le pivot du dossier. Sans elle, la CNIL renverra fréquemment le plaignant exercer d'abord ses droits auprès de l'organisme. Conserver systématiquement les accusés de réception, horodater les captures d'écran et garder les en-têtes des courriels constitue une hygiène documentaire qui fait la différence.
Enfin, lorsqu'un préjudice financier ou réputationnel est en jeu, ou lorsque l'organisme conteste les faits, l'intervention d'un avocat se justifie. La plainte CNIL peut alors s'inscrire dans une stratégie plus large combinant signalement à l'autorité, mise en demeure et, le cas échéant, action en réparation devant le juge.
Conclusion
La plainte CNIL est un outil puissant mais mal compris. Puissant, parce qu'il met l'organisme face à une autorité dotée d'un pouvoir de sanction lourd et qu'il suffit souvent de son intervention pour débloquer une situation. Mal compris, parce qu'il n'indemnise pas et qu'il suppose, presque toujours, d'avoir d'abord exercé ses droits directement auprès du responsable de traitement. En 2026, la logique reste la même : agir d'abord auprès de l'organisme, documenter rigoureusement, puis saisir la CNIL si la réponse manque ou ne satisfait pas.
Le réflexe gagnant tient en une phrase : avant de déposer plainte CNIL, constituez un dossier daté, joignez la preuve de votre demande préalable et qualifiez précisément le droit méconnu. Si un dommage chiffrable est en cause, ne vous arrêtez pas à la plainte : faites évaluer par un avocat l'opportunité d'une action en réparation sur le fondement de l'article 82 du RGPD, car la décision de la CNIL pourra servir d'appui à votre demande devant le juge.
Questions fréquentes
Déposer plainte CNIL coûte-t-il quelque chose ?
Non. La saisine de la CNIL est entièrement gratuite, que la plainte soit déposée via le téléservice en ligne sur cnil.fr ou par courrier postal. Aucuns frais ne sont exigés à aucune étape de l'instruction. Seul le recours éventuel à un avocat, par exemple pour articuler la plainte avec une action en réparation, génère des honoraires.
Faut-il obligatoirement contacter l'entreprise avant de saisir la CNIL ?
Dans la quasi-totalité des cas, oui. La CNIL attend que la personne ait d'abord exercé ses droits auprès du responsable de traitement, qui dispose d'un délai d'un mois pour répondre selon l'article 12 du RGPD, prolongeable de deux mois en cas de complexité. La plainte intervient en l'absence de réponse ou en cas de réponse insatisfaisante. Conserver la preuve de cette démarche préalable conditionne largement la recevabilité du dossier.
Combien de temps la CNIL met-elle à traiter une plainte ?
Le délai varie de quelques semaines à plusieurs mois selon la complexité du dossier et le volume de plaintes en cours. Une part importante des réclamations se règle rapidement par une mise en conformité de l'organisme une fois contacté par l'autorité. Un dossier complet, daté et étayé dès le dépôt réduit sensiblement ce délai en évitant les demandes de précisions.
La CNIL peut-elle me verser des dommages et intérêts ?
Non. La CNIL fait cesser le manquement et peut sanctionner l'organisme par un rappel à l'ordre, une injonction ou une amende administrative, mais elle n'indemnise jamais le plaignant. Pour obtenir réparation d'un préjudice, il faut saisir le juge civil sur le fondement de l'article 82 du RGPD. Une décision de sanction de la CNIL constitue toutefois un élément de preuve utile dans cette action.
Une entreprise peut-elle déposer plainte CNIL contre un concurrent ?
La protection des données personnelles concerne les personnes physiques, donc une société ne « porte pas plainte » pour ses propres données. En revanche, un dirigeant, un salarié ou un client peuvent signaler à la CNIL les pratiques d'une entreprise, par exemple une prospection issue de fichiers acquis sans base légale. Ce signalement peut nourrir un contentieux des affaires parallèle, notamment en concurrence déloyale.
Quel est le montant maximal d'une amende prononcée par la CNIL ?
Pour les manquements les plus graves, le RGPD fixe le plafond à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'organisme, le montant le plus élevé étant retenu (article 83 du RGPD). Cette amende vise l'organisme fautif et alimente le budget de l'État, elle ne revient pas au plaignant. Les manquements moins graves relèvent d'un plafond inférieur, fixé à 10 millions d'euros ou 2 % du chiffre d'affaires.
Peut-on déposer une plainte CNIL de manière anonyme ?
Non, la plainte suppose l'identification du plaignant, car la CNIL doit pouvoir vérifier que la personne est bien concernée par le traitement contesté et l'informer des suites. Il est en revanche possible de signaler des faits sans être personnellement concerné, mais ce signalement n'ouvre pas les mêmes droits de suivi qu'une plainte. L'identité du plaignant n'est pas systématiquement révélée à l'organisme mis en cause au cours de l'instruction.




