Comment porter plainte si vos données personnelles sont volées ?

24 mars 20264 min de lectureDonnées personnelles

Violation de données personnelles ? Guide 2025 pour adresser une plainte à la CNIL, déposer plainte pénale et faire valoir vos droits RGPD, avec preuves et délais.

En cas de violation de données personnelles, vous pouvez agir sur deux fronts complémentaires. Vous pouvez adresser une plainte à la CNIL pour manquement au RGPD et vous déposez, si nécessaire, une plainte pénale auprès de la police, de la gendarmerie ou du procureur. Voici la méthode simple, les preuves à réunir et les formulaires utiles.

Sommaire

Violation de données personnelles : de quoi parle-t-on ?
CNIL, police ou procureur : qui saisir et quand
Adresser une plainte à la CNIL : conditions, formulaire, pièces
Déposer plainte pénale : usurpation d’identité, escroquerie, cybermalveillance
Fuite de données : que faire immédiatement
L’excellence juridique à un prix clair sur DePlano
FAQ

Violation de données personnelles : de quoi parle-t-on ?

Une violation de données personnelles est un accès, une divulgation ou une perte non autorisés d’informations permettant d’identifier une personne, par exemple une fuite de fichier clients, l’exposition d’adresses email ou le vol d’IBAN. Les autorités publiques recommandent de contacter l’organisme concerné, de changer les mots de passe et, le cas échéant, de déposer plainte.

CNIL, police ou procureur : qui saisir et quand

La plainte à la CNIL vise les manquements au RGPD par un organisme public ou privé qui traite vos données personnelles. Elle peut être introduite après avoir tenté d’exercer vos droits auprès de l’organisme, ou directement en cas d’atteinte caractérisée à la protection des données. Elle se fait en ligne ou par courrier.

Le dépôt de plainte pénale concerne les infractions pénales liées aux données, comme l’usurpation d’identité, l’escroquerie ou l’accès frauduleux à un système de traitement automatisé de données. Il s’effectue au commissariat, à la gendarmerie, en ligne pour certaines atteintes aux biens, ou directement auprès du procureur de la République. Les forces de l’ordre doivent enregistrer votre plainte, quelle que soit leur zone géographique (source : Service Public).

Dans l’Union européenne, le RGPD vous autorise à saisir l’autorité de contrôle de votre État de résidence, de votre lieu de travail ou du lieu de la violation. En France, il s’agit de la CNIL.

Trouvez un avocat expert

Expertise certifiée. Prix transparents. Commande facile.

Trouver mon avocat

Adresser une plainte à la CNIL : conditions, formulaire, pièces

Avant la plainte, tentez d’exercer vos droits auprès du responsable de traitement et conservez les preuves de vos démarches, notamment si l’organisme ne répond pas sous un mois.

Pour déposer la plainte, utilisez le téléservice « Plaintes en ligne » de la CNIL, ou le service « Besoin d’aide » lorsqu’un cas n’entre pas dans les rubriques prédéfinies. Vous pouvez aussi écrire par courrier à l’adresse du Service des Plaintes.

Constituez un dossier avec vos échanges, captures d’écran, notifications de fuite et tout document probant. La CNIL indique que les délais peuvent être significatifs selon la complexité du dossier et la coopération européenne.

Sur Service-Public.fr, le téléservice « Adresser une plainte en ligne à la CNIL » rappelle ce préalable et renvoie vers le formulaire (source : Service Public).

Si votre organisme vous a notifié une violation de données, sachez qu’il a lui-même des obligations de notification à la CNIL et, dans certains cas, d’information des personnes concernées.

Déposer plainte pénale : usurpation d’identité, escroquerie et cybermalveillance

1) Déposer plainte sur place au commissariat ou à la gendarmerie

Où aller : dans n’importe quel commissariat ou brigade, pas seulement celui de votre ville. La police ou la gendarmerie doivent enregistrer votre plainte même si les faits ne relèvent pas de leur zone.
À apporter : pièce d’identité, récit chronologique, coordonnées, éventuels témoins, preuves utiles (captures d’écran, emails, notifications de fuite, relevés, photos, certificats, etc.) (source : Service Public).
Ce que vous recevez : un récépissé de dépôt de plainte et, si vous le demandez, une copie du procès-verbal. Conservez ces documents, ils prouvent votre démarche et contiennent le numéro de plainte.

2) Déposer plainte par courrier au procureur de la République

À qui écrire : au procureur de la République du tribunal judiciaire du lieu de l’infraction ou du domicile de l’auteur présumé.
Contenu indispensable:

identité et contacts, récit précis des faits (dates, lieux), identité de l’auteur si connue (sinon « contre X »), témoins, évaluation du préjudice, pièces jointes (captures, factures, certificats, etc.). L’envoi en recommandé AR est conseillé.
Modèle officiel : Service-Public propose un simulateur de lettre pour personnaliser votre plainte au procureur (source : Service Public).
Accusé de réception : un récépissé vous est transmis dès que le parquet a enregistré votre plainte.

3) Déposer plainte en ligne: cas éligibles et portails

Plainte en ligne «atteintes aux biens» : possible si l’auteur est inconnu et qu’il s’agit d’un vol, d’une dégradation, d’une escroquerie, d’un délit de fuite, etc. La démarche se fait sur masecurite.interieur.gouv.fr. Selon votre cas, un policier/gendarme peut vous recontacter, et une copie numérique du PV est mise à disposition si la déclaration est acceptée. (source : Ma Sécurité).
Arnaques sur internet (THESEE) : pour des escroqueries en ligne (faux sites, phishing, piratage de messagerie, sextorsion, etc.), utilisez THESEE. La plainte est transmise à la Police nationale pour traitement (source : Service Public).

Fuite de données : que faire immédiatement

Changez les mots de passe exposés et activez l’authentification à deux facteurs, surveillez vos comptes bancaires et vos courriels, et signalez rapidement les opérations suspectes à votre banque.

Contactez le délégué à la protection des données de l’organisme, demandez quelles catégories de données ont fuité et quelles mesures de remédiation sont proposées. En cas d’absence de réponse ou de réponse insatisfaisante, utilisez le formulaire de plainte CNIL.

Si des données sensibles sont en cause (pièce d’identité, RIB, santé), l’appui d’un avocat en protection des données devient déterminant : il qualifie juridiquement l’incident, sécurise vos preuves, chiffre le préjudice et exige des mesures de remédiation précises et traçables. Il coordonne aussi la stratégie afin de maximiser vos chances d’obtenir réparation et de limiter la ré-exposition.

Cas transfrontaliers et délais : si la violation implique une entreprise ou un service situé dans un autre État membre de l’UE, la CNIL coopère avec ses homologues.

Si vous n’êtes pas informé de l’avancement dans un délai raisonnable, vous disposez d’un recours juridictionnel effectif, notamment si aucune information ne vous est fournie sous trois mois.

Mesures de remédiation

Ce sont les actions mises en place pour corriger les conséquences d’une violation de données personnelles et limiter ses impacts.

DePlano : l’excellence juridique à un prix clair

Vous l’avez vu, agir vite et correctement structure votre dossier et augmente vos chances d’obtenir réparation. Mais traduire votre situation en arguments juridiques solides demande une expertise en protection des données.

Sur DePlano, vous trouvez en trois clics des avocats ultra spécialisés en protection des données, vérifiés pour répondre précisément à votre besoin.

Vous comparez les profils, choisissez la prestation adaptée et réservez en ligne, à un prix transparent et connu d’avance. De plus, DePlano est la première plateforme en France à proposer le paiement en 4 fois sans frais.

[cta_banner style="primary" title="Trouvez un avocat expert" subtitle="Expertise certifiée. Prix transparents. Commande facile." url="/avocat/donnees-personnelles?utm_source=blog&utm_medium=banner&utm_campaign=cta&utm_article=comment-porter-plainte-si-vos-donnees-personnelles-sont-volees"Trouver mon avocat"]

Tags :

RGPD Guide

Questions fréquentes

Non. La CNIL contrôle et sanctionne les organismes, mais l’indemnisation de votre préjudice relève du juge sur le fondement de l’article 82 du RGPD. Vous pouvez donc saisir la CNIL pour le manquement et, en parallèle, agir en justice pour obtenir des dommages et intérêts.

Oui, à condition d’avoir qualité pour agir : représentant légal d’un mineur, mandataire muni d’un écrit pour un proche, représentant d’une personne morale. La CNIL exige un mandat écrit si vous intervenez pour quelqu’un d’autre.

Votre identité n’est communiquée à l’organisme qu’en cas de nécessité, par exemple pour vérifier l’exercice d’un droit. À défaut, la CNIL peut traiter votre dossier sans divulguer vos coordonnées.

Dans votre demande d’accès, exigez la finalité du traitement, les destinataires, la durée de conservation, l’origine des données et la preuve des bases légales invoquées. Demandez, si besoin, rectification, effacement ou limitation. Conservez les réponses et accusés de réception : ce sont des pièces clés pour la CNIL.

Oui. Pour certaines atteintes aux biens quand l’auteur est inconnu, vous pouvez utiliser « Plainte en ligne » ou THESEE pour les arnaques internet. Vous recevrez un récépissé et, si la déclaration est acceptée, une copie numérique du PV.

Les services de police et de gendarmerie ont l’obligation d’enregistrer votre plainte, même si les faits ne relèvent pas de leur circonscription. En cas de difficulté, adressez votre plainte par courrier au procureur du tribunal judiciaire compétent.

À titre indicatif : un an pour les contraventions, six ans pour les délits (escroquerie, accès frauduleux, usurpation d’identité), vingt ans pour les crimes. Déposez plainte avant l’expiration du délai applicable.

L’indemnisation a une fonction réparatrice : vous devez prouver un dommage matériel ou moral et le lien de causalité avec la violation. L’action se fait devant le juge sur le fondement de l’article 82 du RGPD. Un avocat en protection des données formalise ce chiffrage, sécurise vos preuves et pilote la mise en demeure puis l’action (ou la négociation) pour obtenir une indemnisation maximale dans les délais.

Oui. Le SARVI peut avancer tout ou partie des sommes allouées par le jugement pénal, puis se charger du recouvrement auprès du condamné.

Oui. En France, des associations ou syndicats habilités peuvent exercer une action de groupe sur le fondement de la loi Informatique et Libertés : pour faire cesser le manquement et, pour les faits postérieurs au 24 mai 2018, obtenir la réparation des préjudices matériels et moraux.

Chronologie précise, captures d’écran horodatées, emails de notification de fuite, logs de connexion, relevés bancaires, échanges avec le DPO et copies des demandes d’exercice de droits. Ces éléments facilitent l’enquête et le chiffrage du préjudice.