DocuGov.ai
DocuGov.ai
🧾 Consommation et réclamations réglementairesinternational

Déposer une plainte auprès de l'autorité de protection des données (RGPD)

Les plaintes relatives à la protection des données ont fortement augmenté depuis l'entrée en vigueur du RGPD en 2018, conférant aux individus des droits étendus sur leurs données personnelles. Le RGPD accorde le droit d'accès à vos données (Article 15), de rectification (Article 16), d'effacement ou droit à l'oubli (Article 17), de limitation du traitement (Article 18), de portabilité des données (Article 20) et le droit d'opposition (Article 21). Lorsque des organisations violent ces droits, vous pouvez déposer une plainte auprès de votre autorité nationale de protection des données. En France, la CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle. Elle dispose de pouvoirs d'investigation, de mise en demeure et de sanction, et a prononcé certaines des amendes les plus élevées en Europe. En Allemagne, chaque Land dispose d'un Landesdatenschutzbeauftragter. En Pologne, le UODO traite les plaintes. Au Royaume-Uni, l'ICO est compétent. En Espagne, l'AEPD. Les autorités de contrôle peuvent ordonner la mise en conformité et imposer des amendes significatives (jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial). DocuGov.ai vous aide à rédiger une lettre de plainte professionnelle.

Générer cette lettre maintenantEn savoir plus

Comprendre votre situation

Une organisation a violé vos droits en matière de protection des données et vous souhaitez déposer une plainte formelle. Scénarios courants de plainte en protection des données : - Demande d'accès ignorée ou refusée : Vous avez soumis une demande d'accès à vos données personnelles mais l'organisation n'a pas répondu dans le délai légal (1 mois selon le RGPD) ou a refusé sans motif valable. - Violation de données affectant vos données personnelles : Une organisation a subi une violation de données qui a exposé vos informations personnelles (données financières, dossiers médicaux, mots de passe, pièces d'identité). Vous souhaitez vous assurer de la notification et des mesures correctives appropriées. - Traitement illicite des données : Une organisation traite vos données personnelles sans base juridique valable (consentement, contrat, intérêt légitime, obligation légale). Cela inclut la vente de vos données à des tiers sans consentement. - Droit à l'effacement refusé : Vous avez demandé la suppression de vos données personnelles (droit à l'oubli) mais l'organisation a refusé sans motif valable ou a continué à traiter vos données après la demande. - Prospection commerciale non sollicitée : Vous recevez des communications marketing (courriel, téléphone, SMS, courrier postal) sans avoir donné votre consentement, après l'avoir retiré ou après inscription sur la liste Bloctel. - Consentement non valablement recueilli : Une organisation invoque le consentement comme base juridique du traitement, mais celui-ci n'a pas été donné librement, de manière spécifique, éclairée et univoque comme l'exige l'Article 7 du RGPD. - Données partagées avec des tiers sans autorisation : Vos données personnelles ont été transmises à des tiers (employeurs, assureurs, agences de crédit, sociétés de marketing) sans votre connaissance ni votre consentement. - Données inexactes non rectifiées : Vous avez demandé la rectification de données personnelles inexactes mais l'organisation n'a pas donné suite. - Décisions automatisées sans garanties : Des décisions ayant des effets significatifs sur vous ont été prises exclusivement par un traitement automatisé (y compris le profilage) sans la révision humaine ou les garanties requises par l'Article 22.

Ce que vous devez préparer

  • Coordonnées de l'organisation ayant violé vos droits (nom, adresse, contact du délégué à la protection des données)
  • Description des données personnelles concernées et de la violation
  • Copies de votre demande initiale à l'organisation (demande d'accès, d'effacement, etc.) avec preuve d'envoi
  • Réponse de l'organisation (ou preuve de non-réponse après le délai légal)
  • Preuves de la violation (courriels de marketing, notification de violation, captures d'écran)
  • Chronologie des événements (dates de vos demandes, expiration des délais, survenance des violations)
  • Numéros de référence ou de dossier issus de la correspondance avec l'organisation
  • Preuves du préjudice ou de la détresse causés par la violation
  • Documentation de plaintes antérieures auprès du DPO de l'organisation

Délai

RGPD : Les organisations doivent répondre aux demandes d'accès dans un délai d'1 mois. Plaintes auprès de l'autorité : pas de délai strict mais agissez rapidement. Déposez votre plainte après avoir laissé à l'organisation un délai raisonnable pour répondre (généralement 1 mois).

🏛️ Autorité

CNIL (FR), ICO (UK), Landesdatenschutzbeauftragter (DE), UODO (PL), AEPD (ES), autorité nationale de protection des données du pays où l'organisation est établie ou où vous résidez

⚖️ Base juridique

UE : RGPD (Règlement 2016/679), notamment Articles 12-22 (droits des personnes concernées), Article 77 (droit d'introduire une réclamation). France : Loi Informatique et Libertés (loi n° 78-17 modifiée). Allemagne : BDSG. Pologne : Ustawa o ochronie danych osobowych. UK : UK GDPR, Data Protection Act 2018.

Conseils d’expert

  1. 1Adressez-vous toujours d'abord à l'organisation et accordez-lui le délai légal (1 mois) pour répondre avant de saisir la CNIL. La plupart des autorités exigent la preuve que vous avez tenté de résoudre le problème directement.
  2. 2Soyez précis dans votre plainte : identifiez le droit exact violé, la date de votre demande, le délai expiré et ce que l'organisation a fait ou omis de faire.
  3. 3Pour les demandes d'accès, envoyez votre demande par écrit avec un justificatif d'identité. Citez expressément l'Article 15 du RGPD. L'organisation doit répondre dans un délai d'1 mois.
  4. 4Pour la prospection non sollicitée, retirez votre consentement par écrit et citez l'Article 21 du RGPD (droit d'opposition au marketing direct). L'organisation doit cesser le traitement immédiatement, sans exception. En France, inscrivez-vous également sur Bloctel.
  5. 5En cas de violation de données, vérifiez si l'organisation vous a notifié comme requis. Conformément à l'Article 34 du RGPD, les organisations doivent notifier les personnes concernées par les violations à haut risque sans retard injustifié.
  6. 6Documentez le préjudice causé par la violation : perte financière, détresse émotionnelle, temps consacré, risque d'usurpation d'identité. Cela appuie tant votre plainte auprès de la CNIL qu'une éventuelle demande d'indemnisation.
  7. 7Vous pouvez déposer une plainte auprès de l'autorité de contrôle du pays où vous résidez, où vous travaillez ou où la violation présumée a eu lieu. Choisissez la plus pratique pour vous.
  8. 8Examinez si vous avez également droit à une indemnisation en vertu de l'Article 82 du RGPD. Les demandes d'indemnisation peuvent être exercées devant les tribunaux indépendamment de la plainte auprès de l'autorité.
  9. 9Pour les organisations établies hors de l'UE/UK, vérifiez si elles ont désigné un représentant dans l'UE conformément à l'Article 27 du RGPD. Dans le cas contraire, il s'agit d'une violation supplémentaire.
  10. 10Utilisez le formulaire de plainte en ligne de la CNIL (disponible sur cnil.fr). Le dépôt en ligne garantit que votre plainte est correctement enregistrée et suivie.

Prêt à créer votre document ?

Générez une lettre professionnelle en quelques minutes

Générer cette lettre maintenant

Cas connexes

Relance ou recours après absence de réponse/refus d’accès à l’information (FOI)

international

Réclamation pour frais ou prélèvements non autorisés

international

Demander l'accès à votre dossier médical

international