La protection de vos données est une obligation légale

Posted By: liberat-ciutadana 06/03/2026

Le RGPD, qu’est-ce que c’est ?

Le règlement général sur la protection des données (RGPD) est un texte réglementaire européen qui harmonise les règles de traitement des données à caractère personnel dans toute l’Union européenne.

Entré en application le 25 mai 2018, il vient renforcer et compléter la loi française « Informatique et Libertés » de 1978, actualisée par la loi du 20 juin 2018 relative à la protection des données personnelles. Trois objectifs principaux guident le RGPD :

  • renforcer les droits des personnes,
  • responsabiliser les acteurs traitant des données,
  • crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

1. Ce que dit la loi

a) Obligation de sécurité des données

Selon l’article 32 du RGPD, un établissement public ou privé  en tant que responsable de la  création,collecte et utilisation de vos données personnelles doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l’intégrité et la disponibilité des données.

 Cela inclut :

  • Le chiffrement des données ;
  • Des accès restreints et tracés ;
  • Des sauvegardes sécurisées ;
  • Une gestion rigoureuse des droits d’accès et des mots de passe.

S’il y a eu piratage, cela signifie que ces mesures ont probablement été insuffisantes — ce qui engage la responsabilité du laboratoire.

2. vos droits immédiats

a) Droit à l’information

l’établissement doit vous informer sans délai :

  • Du piratage ;
  • Des catégories de données concernées (médicales, bancaires, administratives…) ;
  • Des risques possibles (usurpation d’identité, fraude, etc.) ;
  • Des mesures prises pour limiter les dégâts ;
  • Et de tes droits et recours.

S’il ne l’a pas fait, c’est déjà une violation supplémentaire du RGPD (article 34).

b) Droit de dépôt de plainte

vous pouvez :

  • Saisir la CNIL (Commission nationale de l’informatique et des libertés)
    🔗 https://www.cnil.fr/fr/plaintes La CNIL peut enquêter, sanctionner, voire condamner l’entreprise à des amendes.
  • Déposer plainte au pénal (notamment en cas d’usurpation d’identité ou de fraude bancaire).
    → Auprès de la gendarmerie ou du commissariat, avec copie du courrier du laboratoire.

c) Droit à réparation

L’article 82 du RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation de ses données a droit à réparation.

Vous Pouvez exiger :

  • Indemnisation financière, si tu prouves :
    • Une atteinte à ta vie privée ;
    • Un préjudice moral (angoisse, perte de confiance, réputation…) ;
    • Ou un préjudice matériel (fraude, usurpation, débit sur ton compte, etc.).

3. Démarches concrètes à entreprendre

Étape 1 : Lettre recommandée au laboratoire

Tu peux leur envoyer une mise en demeure exigeant :

  • Une description précise de la violation ;
  • Les mesures correctrices prises ;
  • La confirmation qu’ils ont notifié la CNIL ;
  • L’indemnisation du préjudice subi.

Étape 2 : Plainte à la CNIL

→ Dépose en ligne, joins la copie de la lettre envoyée au laboratoire.

Étape 3 : Surveillance de ton identité

  • Active la surveillance de ton dossier bancaire et de ton compte.

  • Si tes données d’identité ont été compromises, demande une alerte de fraude auprès de la Banque de France.

  • Si des ordonnances médicales ou résultats sont concernés, préviens ton médecin traitant.

4. En cas de préjudice réel ou moral

Vous pouvez saisir :

  • Le tribunal judiciaire (ex-tribunal de grande instance) de votre domicile ;

  • En citant l’article 82 du RGPD et l’article 1240 du Code civil (responsabilité pour faute).

Vous  être assisté par :

  • Un avocat spécialisé en droit du numérique / santé ;

    • Atteinte à la vie privée ;
    • Stress, angoisse, perte de confiance dans l’organisme ;
    • Risque de réutilisation ou divulgation de données sensibles (ici : santé et banque) ;
    • Ou atteinte à la dignité et à l’intégrité psychologique.

      u par une association de défense des consommateurs (UFC, Que Choisir, etc.), certaines ont déjà agi collectivement pour ce type de violation.

      Le principe : réparation intégrale du préjudice moral

      L’article 82 du RGPD prévoit expressément que :

      « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a droit à obtenir du responsable du traitement réparation du dommage subi. »

       Le dommage moral peut être indemnisé même sans dommage matériel concret, dès lors qu’il y a : 2. La jurisprudence française récente (références concrètes)

  • 🔹  Ex Données médicales exposées

    • Cour d’appel de Versailles, 8 décembre 2022 :
       2 000 € accordés à une patiente dont les données médicales avaient été accessibles en ligne.
      ⚖️ Motivation : “atteinte à la vie privée et à la confidentialité des informations de santé”.
    • Tribunal judiciaire de Paris, 21 mars 2023 (affaire Doctolib – violation de données Covid) :
      Entre 500 et 1 200 € selon la sensibilité et la diffusion des données.
    • Cour d’appel de Paris, 18 janvier 2024 :
      3 000 € pour données de santé exposées sur un serveur non sécurisé, sans preuve d’exploitation

  • Compte tenu :

    • de la double nature sensible des données (santé et banque) ;
    • du risque concret de préjudice futur (usurpation, fraude, diffusion) ;
    • et du préjudice moral certain (angoisse, sentiment d’insécurité, atteinte à la confiance) ;

    Vous pouvez légitimement demander entre 2 500 € et 5 000 € au titre du préjudice moral et le remboursement du préjudice materiel

    Et si l’affaire devait être portée devant le juge :

    • 2 000 € à 3 000 € : montant “classique” retenu par les tribunaux pour une exposition avérée de données médicales ;
    • 4 000 à 5 000 € : justifié si le laboratoire a manqué gravement à son devoir (par ex. absence de chiffrement, notification tardive, ou données très personnelles diffusées).

LETTRE DE DEMANDE D’INDEMNISATION

(Violation de données médicales et bancaires – Fondements RGPD et Code civil)

Prénom NOM
Adresse
Code postal – Ville

À l’attention de :
Direction / Délégué à la protection des données (DPO)
[Nom du laboratoire]
[Adresse]

Fait à [Ville], le [Date]

Lettre recommandée avec accusé de réception

Objet : Demande d’indemnisation au titre d’une violation de données personnelles – Articles 32 et 82 du RGPD

Madame, Monsieur,

J’ai été informé(e) qu’une violation de sécurité affectant votre système d’information a entraîné l’exposition de données personnelles me concernant, notamment :

  • Données d’identité,
  • Données de santé (catégories particulières au sens de l’article 9 du RGPD),
  • Coordonnées bancaires.

Ces informations, par leur nature même, présentent un caractère hautement sensible, justifiant un niveau de protection renforcé.

I – Sur le manquement à l’obligation de sécurité

Conformément à l’article 32 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), le responsable du traitement est tenu de mettre en œuvre :

« des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

S’agissant de données médicales et bancaires, la jurisprudence considère que l’obligation de sécurité est particulièrement exigeante.

La survenance d’un piratage ayant permis l’accès à ces données révèle, sauf cas de force majeure, une défaillance dans la mise en œuvre des mesures appropriées, engageant votre responsabilité.

II – Sur le droit à réparation du préjudice moral

L’article 82 du RGPD prévoit expressément :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement réparation du dommage subi. »

La Cour de justice de l’Union européenne (CJUE, 4 mai 2023, aff. C-300/21) a confirmé que :

  • Le préjudice moral n’exige pas la preuve d’un dommage matériel,
  • L’atteinte à la vie privée et l’angoisse résultant d’une exposition de données suffisent à ouvrir droit à indemnisation.

III – Jurisprudence française applicable

Plusieurs décisions récentes confirment l’indemnisation du préjudice moral en matière de données de santé :

  • Cour d’appel de Versailles, 8 décembre 2022 : 2 000 € accordés pour exposition de données médicales en ligne.
  • Tribunal judiciaire de Paris, 21 mars 2023 : 500 à 1 200 € pour violation de données de santé.
  • Cour d’appel de Paris, 18 janvier 2024 : 3 000 € pour défaut de sécurisation de données sensibles.
  • Tribunal judiciaire de Lyon, 2022 : 1 500 € pour compromission de données bancaires sans fraude avérée.

Ces décisions démontrent que l’exposition de données médicales et financières ouvre droit à réparation même en l’absence d’utilisation frauduleuse avérée.

IV – Sur mon préjudice personnel

La violation dont j’ai été victime m’expose :

  • À un risque permanent d’usurpation d’identité,
  • À un risque financier direct,
  • À une atteinte à la confidentialité de mes données médicales, protégées par le secret médical,
  • À un préjudice moral caractérisé : inquiétude, perte de confiance, sentiment d’insécurité numérique.

Le simple fait que mes données de santé aient pu être consultées ou diffusées constitue une atteinte grave à ma vie privée.

V – Demande d’indemnisation

En conséquence, sur le fondement :

  • De l’article 82 du RGPD,
  • De l’article 1240 du Code civil (responsabilité pour faute),

Je vous demande le versement de la somme de :

5 000 euros

au titre du préjudice moral subi.

Je vous demande également de me confirmer par écrit que :

  • Vous assumerez l’intégralité de tout préjudice financier ultérieur résultant de cette violation,
  • Vous prendrez en charge toute fraude bancaire ou usurpation d’identité qui trouverait son origine dans la compromission de mes données.

VI – Mise en demeure

À défaut de réponse satisfaisante dans un délai de 30 jours, je me réserve le droit de :

  • Saisir la CNIL,
  • Engager une action devant le Tribunal judiciaire compétent,
  • Solliciter en outre des dommages et intérêts complémentaires ainsi que l’indemnisation des frais engagés sur le fondement de l’article 700 du Code de procédure civile.

Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.

Signature
Nom

COMMENT SE DÉROULE UNE ACTION DEVANT LE TRIBUNAL JUDICIAIRE

Maintenant, Bernard, partie technique.

🏛 Compétence

Tribunal judiciaire de ton domicile.

Fondement juridique :

  • Article 82 RGPD
  • Article 1240 Code civil

📂 Procédure

Cas inférieur à 10 000 €

→ Procédure simplifiée possible
→ Avocat non obligatoire (mais conseillé)

Coût estimé :

  • Huissier : 80 à 150 €
  • Avocat (si choisi) : 1 000 à 2 500 €
  • Possibilité de demander remboursement via article 700 CPC

⏳ Délais

12 à 24 mois selon juridiction.

💰 Indemnisation probable

Si dossier solide :

  • 2 000 € à 3 000 € très probable
  • 3 500 € possible si manquement grave
  • 5 000 € rare mais défendable
Partagez
Tweetez
0 Partages

Be the first to comment on "La protection de vos données est une obligation légale"

Leave a comment

Your email address will not be published.


*