Comment déposer une plainte auprès de la CNIL en 2026 : guide pas à pas

La Commission Nationale de l'Informatique et des Libertés (CNIL) est l'autorité administrative indépendante chargée de protéger les données personnelles en France. En 2026, déposer une plainte auprès de la CNIL se fait entièrement en ligne via le formulaire cnil.fr/fr/plaintes. La procédure est gratuite, accessible à toute personne physique, et permet de signaler des violations du RGPD et de la loi Informatique et Libertés.

1. Les motifs de plainte acceptés par la CNIL

La CNIL traite les plaintes relatives à la protection des données personnelles. Voici les principaux motifs recevables :

• Collecte illicite de données : une entreprise ou une administration collecte vos données sans votre consentement ou sans base légale
• Violation du droit d'accès : un organisme refuse de vous communiquer les données qu'il détient sur vous (droit d'accès prévu par l'article 15 du RGPD)
• Non-respect du droit à l'effacement : vos données ne sont pas supprimées après votre demande de suppression (article 17 du RGPD)
• Cookies et traceurs non conformes : un site web impose des cookies sans recueil de consentement valable ou rend l'opposition trop complexe
• Vidéosurveillance abusive : une caméra de surveillance filme l'espace public sans autorisation préfecture, ou les images sont conservées au-delà de 30 jours
• Prospection commerciale non sollicitée : démarchage téléphonique, e-mail ou SMS sans consentement préalable (démarchage BtoC inscrit au registre Bloctel)
• Fuite de données : notification tardive ou absente d'une violation de données personnelles (l'organisme a 72 heures pour notifier la CNIL)
• Profilage et décision automatisée : utilisation de vos données pour un scoring ou une décision automatisée sans information préalable (article 22 du RGPD)

La CNIL ne traite pas les litiges commerciaux (remboursement, SAV, litige contrat), les conflits de voisinage ou les questions relevant d'autres autorités (Défenseur des droits, ARCOM, etc.).

2. Rassembler les preuves avant de déposer sa plainte

Une plainte bien documentée a beaucoup plus de chances d'aboutir. Avant de remplir le formulaire, préparez :

• Captures d'écran : du site web ou de l'application concernée, montrant le problème (bannière cookies non conforme, formulaire de contact inaccessible, etc.)
• Courriers et e-mails : vos échanges avec l'organisme mis en cause (demande d'accès, de suppression, de rectification)
• Preuve de l'envoi : accusé de réception pour les courriers recommandés, confirmation de réception pour les e-mails
• Délai de réponse : l'organisme a 1 mois pour répondre à une demande d'exercice de droits (3 mois en cas de demande complexe). Conservez la preuve de ce délai

Si l'organisme n'a pas répondu dans le délai légal, mentionnez-le dans votre plainte. La CNIL considère le silence comme un refus.

3. Remplir le formulaire de plainte en ligne

Rendez-vous sur cnil.fr/fr/plaintes. Le formulaire de plainte en ligne se compose de plusieurs étapes :

1. Identification du platine : vos nom, prénom, adresse e-mail et coordonnées. La plainte ne peut pas être anonyme — vous devez fournir votre identité pour recevoir le suivi
2. Identification de l'organisme mis en cause : nom de l'entreprise, de l'administration ou du site web concerné, adresse si possible
3. Description des faits : expliquez clairement quelle violation vous constatez, quand elle a eu lieu, et quelles démarches vous avez déjà entreprises auprès de l'organisme
4. Pièces justificatives : téléchargez vos captures d'écran, courriers et e-mails (formats acceptés : PDF, JPG, PNG, taille max 5 Mo par fichier)
5. Droit d'accès préalable : indiquez si vous avez déjà exercé votre droit d'accès auprès de l'organisme et joint la réponse (ou le silence)

Après soumission, vous recevez un numéro de plainte et un accusé de réception par e-mail. Conservez ce numéro pour le suivi.

4. Suivre sa plainte via l'espace personnel

Après le dépôt, vous pouvez suivre l'avancement de votre plainte :

• Espace personnel CNIL : créez un compte sur cnil.fr pour accéder à l'état de vos plaintes
• Délai moyen de traitement : environ 2 mois pour les plaintes simples, jusqu'à 6 mois ou plus pour les dossiers complexes nécessitant des investigations approfondies
• Notification par e-mail : la CNIL vous informe par e-mail de chaque avancée (accusé de réception, mise en examen, décision)

Les suites possibles de votre plainte :

• Mise en demeure : la CNIL ordonne à l'organisme de se mettre en conformité dans un délai donné
• Sanction financière : amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial (RGPD)
• Médiation : la CNIL propose une médiation entre les parties pour trouver une solution amiable
• Rejet : si la plainte ne relève pas de la compétence de la CNIL ou si les faits ne sont pas établis
• Transmission : la CNIL peut transmettre votre plainte à une autre autorité de contrôle européenne si l'organisme est basé dans un autre État membre

5. En cas de rejet : les recours possibles

Si la CNIL rejette votre plainte ou si vous n'êtes pas satisfait de sa décision, vous disposez de plusieurs recours :

• Recours gracieux : demandez un réexamen de votre plainte en apportant de nouveaux éléments ou en précisant les faits
• Tribunal administratif : vous pouvez contester la décision de la CNIL devant le tribunal administratif dans un délai de 2 mois à compter de la notification de la décision
• Voie pénale : pour les violations graves (collecte illicite de données par un moyen frauduleux, violation du secret professionnel), l'article 226-16 du Code pénal prévoit des peines de 5 ans d'emprisonnement et 300 000 € d'amende
• Autres autorités : Défenseur des droits (discrimination), ARCOM (contenus illicites), ARCEP (communications électroniques)

Pour les violations du RGPD commises par un organisme établi dans un autre État membre de l'UE, vous pouvez déposer votre plainte auprès de la CNIL française qui la transmettra à l'autorité de contrôle compétente.