🔒 Droits numériques
Violation de données personnelles : vos droits en tant que victime
Une entreprise a été piratée et vos données personnelles ont été volées ou exposées ? Le RGPD vous accorde des droits précis : être informé, déposer plainte auprès de la CNIL et obtenir une indemnisation. Voici tout ce que vous devez savoir.
Obligations de l'entreprise en cas de violation de données
| Obligation | Délai légal | Base légale |
|---|---|---|
| Notification de la violation à la CNIL | 72 heures après détection | RGPD Art. 33 |
| Information des personnes concernées si risque élevé | Dans les meilleurs délais | RGPD Art. 34 |
| Mise en place de mesures correctives | Sans délai | RGPD Art. 32 — sécurité des données |
| Documentation dans le registre interne des violations | Immédiatement | RGPD Art. 33 §5 |
| Sanction CNIL possible (amende administrative) | À l'issue du contrôle | Jusqu'à 4 % du CA mondial ou 20 M€ |
| Indemnisation des victimes sur demande | Délai de prescription : 5 ans | RGPD Art. 82 — Art. 1240 Code civil |
Questions fréquentes
Oui, si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés. L'article 34 du RGPD impose à l'entreprise de vous informer dans les meilleurs délais. En cas de non-respect, la CNIL peut enjoindre l'entreprise d'agir et la sanctionner. Exemples de données à risque élevé : coordonnées bancaires, données de santé, numéro de sécurité sociale, mots de passe en clair.
RGPD Art. 34 — Règlement UE 2016/679Rendez-vous sur le portail de plainte en ligne de la CNIL (cnil.fr/plainte). Renseignez l'organisme concerné, décrivez la violation et joignez vos preuves (email de notification reçu, articles de presse sur le piratage, screenshot de vos données exposées). La CNIL dispose de 3 mois pour accuser réception et ouvrir une éventuelle enquête. Les plaintes peuvent aussi être déposées par courrier postal à la CNIL, 3 Place de Fontenoy, 75007 Paris.
RGPD Art. 77 — droit de réclamation auprès d'une autorité de contrôleOui, sur la base de l'article 82 du RGPD et de l'article 1240 du Code civil. Vous devez prouver un préjudice réel : usurpation d'identité subie, phishing ciblé utilisant vos données, spam frauduleux, atteinte à la vie privée, stress et préjudice moral documenté. Des décisions françaises ont accordé entre 500 € et 3 000 € par victime selon la gravité du préjudice démontré.
RGPD Art. 82 — Art. 1240 Code civilNon, un préjudice financier n'est pas exigé. La jurisprudence européenne (CJUE, 4 mai 2023, C-300/21) précise que la seule violation du RGPD ne suffit pas, mais qu'un préjudice réel — même moral — doit être démontré. L'anxiété liée à la crainte d'une usurpation d'identité, l'inquiétude pour sa vie privée, ou le temps passé à prendre des mesures de protection peuvent constituer un préjudice moral indemnisable.
CJUE C-300/21 du 4 mai 2023 — RGPD Art. 82Oui. Les données de santé, génétiques et biométriques sont des catégories spéciales visées à l'article 9 du RGPD : leur traitement est en principe interdit sauf exceptions strictes. En cas de violation les concernant, l'information des personnes est systématiquement obligatoire et les amendes CNIL sont aggravées. Pour les données bancaires, la directive DSP2 impose des obligations de sécurité spécifiques aux établissements financiers, incluant l'authentification forte.
RGPD Art. 9 — Directive DSP2 2015/2366Oui, via deux mécanismes. L'action de groupe introduite par la loi Justice du XXIe siècle (2016) et réformée en 2023 permet à des associations agréées d'agir au nom d'un groupe de victimes. La CNIL peut également agir collectivement en vertu de l'article 80 du RGPD. Des recours collectifs ont abouti en France (piratage Free 2012, violations RGPD 2019-2023) avec des indemnisations individuelles entre 300 € et 2 500 € selon le préjudice.
Loi n°2016-1547 du 18 nov. 2016 — RGPD Art. 80Un doute sur votre cas précis ?
Posez votre question à notre IA Jurida et obtenez une réponse basée sur les 73 codes de loi en 10 secondes.
5 questions gratuites par jour · Connexion Google en 1 clic · Aucun engagement