Espace personnelEspace personnel
Espace personnelCas pratiques
Catégories de litiges
Illustration de l'article

Données perso piratées : vos droits et recours

Numérique & Internet
15 février 2026

I. La problématique

Un email vous annonce une « violation de données », votre compte en ligne a été piraté, ou vos identifiants circulent sur le web. L’angoisse est légitime : que faire, qui prévenir, et surtout, quels sont vos droits pour exiger des explications, des mesures correctives et, le cas échéant, une réparation ?

Premier réflexe en cas de risque sur vos moyens de paiement : prévenir sans tarder votre banque afin de bloquer l’instrument et limiter les débits frauduleux. Le droit est explicite.

Code monétaire et financier – Article L133-17

« Lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder […] son prestataire […]. »

Au-delà de l’urgence bancaire, la loi encadre strictement la façon dont l’organisme qui a subi le piratage doit vous informer et traiter l’incident, ainsi que les démarches que vous pouvez engager si l’information ne vous parvient pas, si elle est insuffisante, ou si vos demandes d’effacement restent lettres mortes. Notre outil vous accompagne précisément à ces deux étapes clés : identifier rapidement les textes applicables et générer puis envoyer une mise en demeure personnalisée et fiable.

II. Ce que dit le droit

Le responsable de traitement doit notifier la violation à l’autorité et vous en informer. Le principe est clair et général.

Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Article 58

« Le responsable de traitement notifie à la Commission nationale de l'informatique et des libertés et communique à la personne concernée toute violation de données à caractère personnel en application des articles 33 et 34 du règlement (UE) 2016/679 […]. »

Dans certaines situations sensibles, l’information de la personne peut être temporairement différée, mais cela reste encadré et proportionné.

Loi n° 78-17 du 6 janvier 1978 – Article 102

« La communication d'une violation de données à caractère personnel à la personne concernée peut être retardée, limitée ou ne pas être délivrée dès lors et aussi longtemps qu'une mesure de cette nature constitue une mesure nécessaire et proportionnée […] pour éviter de gêner des enquêtes […] ou pour protéger la sécurité publique […]. »

Lorsque la violation touche un fournisseur de services de communications électroniques accessibles au public, des obligations renforcées s’appliquent, notamment la saisine « sans délai » de la CNIL et, en cas de risque, l’information « sans délai » des personnes concernées.

Loi n° 78-17 du 6 janvier 1978 – Article 83

« En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés. […] Lorsque cette violation peut porter atteinte […], le fournisseur avertit également, sans délai, l'intéressé. »

La notification adressée à la CNIL doit être précise et utile, afin de permettre l’évaluation et le suivi des mesures correctives.

Décret n° 2019-536 du 29 mai 2019 – Article 118

« La notification […] est adressée à la Commission […] par lettre […] ou par voie électronique qui précise la nature et les conséquences de la violation […], les mesures déjà prises ou proposées […] et, lorsque cela est possible, une estimation du nombre de personnes susceptibles d'être impactées […]. »

La CNIL contrôle ensuite la gravité de la violation et peut enjoindre le fournisseur d’informer les intéressés.

Décret n° 2019-536 du 29 mai 2019 – Article 122

« La Commission […] vérifie dans un délai de deux mois si les mesures de protection appropriées ont été mises en œuvre […]. […] lorsqu'elle estime la violation grave, [elle peut] mettre le fournisseur en demeure de [les] informer […] dans un délai qui ne peut être supérieur à un mois. »

Vous disposez aussi d’armes concrètes pour reprendre la main sur vos données. Le droit à l’effacement s’exerce rapidement, avec un recours devant la CNIL en cas d’absence de réponse.

Loi n° 78-17 du 6 janvier 1978 – Article 51

« En cas de non-exécution de l'effacement […] ou en cas d'absence de réponse […] dans un délai d'un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l'informatique et des libertés, qui se prononce […] dans un délai de trois semaines […]. »

L’accès à vos données, y compris l’obtention d’une copie, doit être effectif.

Décret n° 2019-536 du 29 mai 2019 – Article 150

« […] une copie des données à caractère personnel du demandeur peut être obtenue immédiatement. »

En cas d’inaction de l’organisme, la loi prévoit des sanctions pénales dissuasives, y compris pour l’absence de notification d’une violation.

Code pénal – Article 226-17-1

« Le fait […] de ne pas procéder à la notification d'une violation de données […] à la Commission […] ou à l'intéressé […] est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »

Si vous ne parvenez pas à obtenir une indemnisation suffisante après une atteinte grave liée à une intrusion informatique, un dispositif d’indemnisation d’ultime recours peut s’ouvrir sous conditions.

Code de procédure pénale – Article 706-14

« Toute personne qui, victime […] d'une atteinte aux systèmes de traitement automatisé de données, ne peut obtenir […] une indemnisation effective et suffisante […] peut obtenir une indemnité […] lorsque ses ressources sont inférieures [au plafond]. »

C’est précisément là que notre outil fait la différence. D’abord, une recherche juridique intelligente vous oriente vers les textes vraiment applicables à votre situation et leurs délais, sans jargon. Ensuite, vous générez et envoyez en quelques minutes une mise en demeure personnalisée et fiable pour exiger l’information complète sur la violation, les mesures prises, l’accès et l’effacement de vos données, et, si besoin, l’indemnisation adéquate.

Conclusion

Face à un piratage de données personnelles, agir vite protège vos intérêts et enclenche les obligations de l’organisme concerné. La loi impose la notification à la CNIL et l’information des personnes, encadre vos droits d’accès et d’effacement, et sanctionne sévèrement l’inaction. En parallèle, alertez sans délai votre banque si vos moyens de paiement sont menacés. Pour ne rien laisser au hasard, appuyez-vous sur notre outil : il identifie instantanément les règles pertinentes et formalise une mise en demeure claire et solide, afin de faire respecter vos droits et d’obtenir des réponses — et des réparations — à la hauteur de l’incident.

Besoin d'aide ?

0 / 1000