Saisine de la Commission nationale de l’informatique et des libertés (Cnil)

Ce que dit la loi

Vous bénéficiez d’un droit d’opposition, d’un droit d’accès, d’un droit de rectification et d’un droit d‘effacement de vos données personnelles.

Si vous rencontrez des difficultés dans l’exercice de vos droits, vous pouvez vous adresser à une autorité de contrôle. Il s’agit en France de la Commission nationale de l’informatique et des libertés (Cnil).

La Cnil peut prendre notamment les mesures suivantes :

• un rappel à l’ordre ;
• une injonction de mettre en conformité le traitement ou une injonction de satisfaire aux demandes d’exercice des droits des personnes (avec une astreinte de 100 000 € maximum par jour de retard) ;
• une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation ;
• une amende administrative.

L'amende administrative peut s’élever jusqu’à 20 millions d’euros (ou 4 % du chiffre d’affaires annuel mondial) par exemple en cas de non-respect des principes fondamentaux du RGPD. Ces sanctions peuvent être rendues publiques.

La Cnil peut également dénoncer au procureur de la République les infractions à la loi Informatique et liberté prévues aux articles 226-16 à 226-24 du code pénal. 

Articles 83 et 84 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

Articles 20 à 23, 40 et 41 de loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Ce que vous pouvez faire

Avant de saisir la Cnil, il est nécessaire d’écrire en premier lieu à la société concernée. Adressez un courrier ou un e-mail au responsable du traitement des données de la société (ou au délégué à la protection des données ou, à défaut d’information, au service client).

• Si vous souhaitez connaître des informations contenues dans un fichier informatique vous concernant : voir la lettre type « Demande d’accès à mes données personnelles ».
• Si vous voulez demander l'effacement de données personnelles vous concernant : voir la lettre type « Demande d'effacement de vos données personnelles ».
• Si vous souhaitez vous opposer à la réception de tout courrier électronique non sollicité : voir la lettre type « Exercice du droit d’opposition à la réception de courriers électroniques non sollicités ».
• Si vous voulez vous opposer à l’utilisation de vos données personnelles à des fins de prospection commerciale alors que cette prospection demeure : voir la lettre type « Demande d’opposition à l’utilisation de mes données personnelles à des fins de prospection commerciale ».

Auprès du professionnel, vous devez justifier de votre identité par exemple, en :

• Communiquant votre numéro de client ou d'abonnement en plus de votre identité et de votre adresse.
• Exerçant vos droits à partir d'un compte en ligne sur lequel vous vous êtes préalablement authentifié (identifiant et mot de passe).

C’est seulement si la société a un doute sur votre identité qu’elle peut vous demander des informations supplémentaires, dont une copie d’un titre d’identité.

Gardez bien la copie de votre démarche (copie du courrier, copie écran, etc.). N’hésitez pas à demander un accusé de réception pour prouver la date de celle-ci.

Suivant votre demande, vous devez recevoir une réponse dans un délai de 1 mois. Ce délai peut être prorogé de 2 mois et donc porté à 3 mois si la demande est complexe, mais la société devra le justifier.

Le silence gardé pendant plus de 1 mois vaut décision de refus, sauf justifications ayant prorogé ce délai.

À défaut de réponse dans un délai de 1 mois (ou le délai prorogé) ou en cas de refus, voire de réponse incomplète, vous avez la possibilité de porter plainte.

Pour écrire à la Cnil, vous pouvez utiliser la lettre type ci-dessus ou déposer votre plainte sur le site Internet de la Cnil via son service de dépôt de plainte en ligne : https://www.cnil.fr/fr/plaintes. Pour saisir la Cnil, il vous faut fournir à l'appui de votre démarche une copie de votre demande initiale et une copie de la réponse si le professionnel a répondu. Ces éléments sont indispensables à l'instruction de votre plainte.

Vous recevrez un accusé de réception de votre demande. Votre demande sera ensuite instruite par la Cnil qui se mettra en relation avec le responsable du fichier et pourra faire procéder à des contrôles sur place. Les délais d’instruction des plaintes varient d’un cas à l’autre selon plusieurs éléments, comme la complexité du dossier, la réactivité du responsable du fichier…

À noter. Les coordonnées postales de la Cnil sont toujours susceptibles de changer. Pensez à les vérifier sur le site Internet de la Cnil.

À noter
Ce modèle de lettre a été rédigé par le Service d’Information Juridique de l’UFC-Que Choisir. Composé de juristes, il répond aux questions des abonnés à Que Choisir afin de leur indiquer la marche à suivre pour venir à bout de la plupart des problèmes de consommation qu’ils peuvent rencontrer dans leur vie quotidienne : produits défectueux et prestations de services peu satisfaisantes, contentieux en matière d’assurance ou de banque, litiges locataires-propriétaires, questions relatives à la copropriété etc.

Attention : ce modèle de lettre n’a pas vocation à se substituer à des conseils personnalisés qui pourraient vous être fournis par nos associations locales ou par des professionnels du droit. Il a pour objet de vous proposer une argumentation que vous jugez pertinente au regard de votre situation.