Violation de données personnelles en France (Guide Juridique 2026) — Règles et Exigences

Researched by , Founder & Head Researcher

Primary sources cited; not legal advice.

Last verified:

Source : Règlement (UE) 2016/679, articles 33 et 34 ; Loi n° 78-17 du 6 janvier 1978 modifiée, article 58 (pouvoirs de la CNIL)

About this article

Rédigé en langage simple pour une compréhension générale. Ce contenu est éducatif et ne constitue pas un conseil juridique. Basé sur les textes de loi et sources officielles françaises. Chaque article est relu pour en garantir l'exactitude avant publication. Notre processus éditorial

Droit national français

De quoi s'agit-il ?

L'article 33 du RGPD impose au responsable de traitement de notifier toute violation de données personnelles à la CNIL dans les 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés.

L'article 34 impose en outre, lorsque la violation est susceptible d'engendrer un risque élevé, l'information directe des personnes concernées dans les meilleurs délais — sauf exceptions (chiffrement rendant les données incompréhensibles, mesures ultérieures écartant le risque, ou information collective rendue impossible).

Pour vous, citoyen : si vos données sont compromises, la première information utile vient en général du responsable lui-même. Mais vous pouvez aussi signaler vous-même à la CNIL via le formulaire en ligne — sans attendre le responsable. La CNIL peut alors enquêter, sanctionner, et ordonner des mesures.

Quand est-ce applicable ?

Applicable à toute violation impliquant vos données personnelles :

  • Fuite, piratage, accès non autorisé.
  • Diffusion involontaire (e-mail envoyé en clair à plusieurs destinataires, base de données rendue accessible).
  • Perte ou vol de matériel non chiffré.
  • Communication intentionnelle à un tiers non autorisé.

Que faire après une violation de données personnelles en France

  • Conservez la notification reçue du responsable (e-mail, SMS, courrier) avec date et heure.
  • Changez immédiatement les mots de passe des services concernés et de tout service où le mot de passe est réutilisé.
  • Si la violation porte sur des données bancaires, suivez le protocole de remboursement L133-18 CMF (catégorie Arnaques).
  • Demandez votre relevé du Fichier des Incidents de Remboursement des Crédits aux Particuliers (FICP) et votre relevé du Fichier Central des Chèques (FCC) à la Banque de France — détection précoce d'usurpation.
  • Signalez à la CNIL via cnil.fr → Plainte en ligne si le responsable n'a pas notifié, a minimisé la violation, ou si vous estimez les mesures insuffisantes.
  • Si l'usage frauduleux est avéré : portez plainte sur THESEE (Code pénal article 323-3 — atteinte à un STAD ; article 226-22 — collecte / cession de données à caractère personnel par voie frauduleuse).

Ce qu'il ne faut PAS faire

  • Ne cliquez sur aucun lien figurant dans la notification de violation. Allez directement sur le site officiel du responsable.
  • Ne tardez pas à changer vos mots de passe. Les bases compromises circulent sur des forums dans les jours qui suivent.
  • Ne payez aucune « assistance » proposée par un tiers se présentant comme expert en cybersécurité ou intermédiaire avec la CNIL. La CNIL n'a pas de partenaires payants.
  • Ne supposez pas qu'une mention "aucun mot de passe compromis" vous met à l'abri. Les noms, e-mails et adresses suffisent à un phishing ciblé.

About Données personnelles et droits numériques in France

La France applique le Règlement Général sur la Protection des Données (RGPD) (Règlement (UE) 2016/679) depuis le 25 mai 2018, complété par la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée. L'autorité de contrôle est la CNIL (cnil.fr), qui peut prononcer des amendes administratives jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Vous disposez de cinq droits opposables directement à l'entreprise (accès, rectification, effacement, opposition, portabilité). Pour les cyberviolences sexuelles, l'article 226-2-1 du Code pénal (loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) sanctionne la diffusion non consentie d'images à caractère sexuel — deux ans d'emprisonnement et 60 000 € d'amende. Pour le retrait technique, plusieurs outils convergent : CNIL, Pharos, hébergeur direct, StopNCII (18+) et Take It Down de NCMEC (mineurs).

Questions fréquentes

What is the violation de données personnelles : obligations et recours right in France?

L'article 33 du RGPD impose au responsable de traitement de notifier toute violation de données personnelles à la CNIL dans les 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés.L'article 34 impose en outre, lorsque la violation est susceptible d'engendrer un risque élevé, l'information directe des personnes concernées dans les meilleurs délais — sauf exceptions (chiffrement rendant les données incompréhensibles, mesures ultérieures écartant le risque, ou information collective rendue impossible).Pour vous,...

Quand est-ce applicable — violation de données personnelles : obligations et recours ?

Applicable à toute violation impliquant vos données personnelles :Fuite, piratage, accès non autorisé.Diffusion involontaire (e-mail envoyé en clair à plusieurs destinataires, base de données rendue accessible).Perte ou vol de matériel non chiffré.Communication intentionnelle à un tiers non autorisé.

Que faire si mes données personnelles ont fuité d'une entreprise en France ?

Conservez la notification reçue du responsable (e-mail, SMS, courrier) avec date et heure.Changez immédiatement les mots de passe des services concernés et de tout service où le mot de passe est réutilisé.Si la violation porte sur des données bancaires, suivez le protocole de remboursement L133-18 CMF (catégorie Arnaques).Demandez votre relevé du Fichier des Incidents de Remboursement des Crédits aux Particuliers (FICP) et votre relevé du Fichier Central des Chèques (FCC) à la Banque de France — détection précoce d'usurpation.Signalez à la CNIL via cnil.fr → Plainte en ligne si le responsable...

Ce qu'il ne faut PAS faire — violation de données personnelles : obligations et recours ?

Ne cliquez sur aucun lien figurant dans la notification de violation. Allez directement sur le site officiel du responsable.Ne tardez pas à changer vos mots de passe. Les bases compromises circulent sur des forums dans les jours qui suivent.Ne payez aucune « assistance » proposée par un tiers se présentant comme expert en cybersécurité ou intermédiaire avec la CNIL. La CNIL n'a pas de partenaires payants.Ne supposez pas qu'une mention "aucun mot de passe compromis" vous met à l'abri. Les noms, e-mails et adresses suffisent à un phishing ciblé.

More in Données personnelles et droits numériques

Exercer ses droits RGPD en FranceLe RGPD donne à toute personne physique en France cinq droits opposables directement au responsable de traitement (l'ent...Read more →Diffusion d'images intimes sans consentement (Article 226-2-1)L'article 226-2-1 du Code pénal (créé par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) sanctionn...Read more →
← Browse all Données personnelles et droits numériques

Last verified:

You came here to know your rights — help someone else know theirs.

Support This Mission