Faire effacer ses données et saisir la CNIL après une usurpation d'identité

Lorsqu'un fraudeur crée des comptes, souscrit des services ou ouvre des profils en ligne avec votre identité, ces opérations laissent vos données personnelles entre les mains de nombreux organismes : plateformes, commerçants, opérateurs, sites d'inscription. Le RGPD vous reconnaît des droits directement opposables à chacun de ces « responsables de traitement », c'est-à-dire l'entité qui décide de l'usage de vos données.

Quatre droits sont particulièrement utiles ici. Le droit d'accès (article 15 du RGPD) vous permet d'obtenir la confirmation qu'un organisme détient des données vous concernant et d'en recevoir une copie, ce qui aide à mesurer l'ampleur de l'usurpation. Le droit de rectification (article 16) sert à corriger des informations inexactes. Le droit à l'effacement, ou « droit à l'oubli » (article 17), permet de demander la suppression de données, notamment lorsque le traitement est illicite. Le droit d'opposition (article 21) vous autorise à demander l'arrêt d'un traitement.

Ces droits découlent du RGPD, complété en France par la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée), qui désigne la CNIL comme autorité nationale de contrôle. Vous n'avez pas à être client de l'organisme pour exercer ces droits : c'est précisément le cas en cas d'usurpation, puisque le compte litigieux n'est pas le vôtre.

La CNIL est claire sur l'ordre des démarches : pour faire valoir vos droits, vous devez d'abord vous adresser directement à l'organisme qui détient vos données. Concrètement, vous identifiez chaque entité concernée (la plateforme, le site marchand, l'opérateur, l'application…) et vous lui adressez une demande écrite, en précisant le droit que vous exercez et en expliquant que le compte ou le profil a été créé sans votre consentement, à la suite d'une usurpation d'identité.

Pour vérifier votre identité (article 12.6 du RGPD), l'organisme peut demander un justificatif, proportionné au type de donnée concernée : ne transmettez que ce qui est nécessaire. Vous pouvez joindre le récépissé de votre plainte pour usurpation afin d'appuyer le contexte de fraude. Demandez par la même occasion, sur le fondement du droit d'accès (article 15), le détail des données détenues et des opérations effectuées en votre nom, utile pour le reste de vos démarches.

Privilégiez un écrit traçable. Le délai de réponse court dès la réception de votre demande, quel que soit le moyen utilisé ; l'envoi en recommandé avec accusé de réception n'est pas obligatoire, mais il reste conseillé car il donne une date certaine et une preuve d'envoi. Conservez systématiquement une copie du courrier et la preuve d'envoi : ces éléments seront indispensables si vous devez ensuite saisir la CNIL.

L'organisme ne peut pas vous laisser sans réponse. L'article 12 du RGPD impose au responsable de traitement de répondre à votre demande dans les meilleurs délais et, en tout état de cause, dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires lorsque la demande est complexe ou que l'organisme reçoit un grand nombre de demandes, mais il doit alors vous en informer dans le mois et vous en expliquer les raisons.

Pendant ce délai, surveillez la date d'envoi de votre courrier et la date limite de réponse. Trois situations peuvent se présenter à l'échéance : l'organisme accède à votre demande et efface ou corrige les données ; il refuse en motivant sa décision ; ou il garde le silence. Le droit à l'effacement n'est d'ailleurs pas absolu, l'organisme pouvant invoquer certaines obligations légales de conservation, mais il doit alors le justifier.

Si la réponse vous parvient et vous satisfait, votre démarche aboutit pour cet organisme. En revanche, l'absence de réponse à l'expiration du délai, ou un refus que vous estimez injustifié, ouvre la voie à l'étape suivante : la saisine de la CNIL.

Le droit d'introduire une réclamation auprès d'une autorité de contrôle est garanti par l'article 77 du RGPD : toute personne concernée peut saisir l'autorité compétente, en France la CNIL, lorsqu'elle estime que le traitement de ses données viole le règlement. En pratique, la CNIL vous invite à n'utiliser cette voie qu'après avoir contacté l'organisme et en cas de difficulté : absence de réponse dans le délai, réponse insatisfaisante ou refus.

La réclamation se dépose auprès de la CNIL, qui propose un service en ligne dédié pour cela. Vous y exposez les faits, vous indiquez l'organisme concerné et vous joignez les preuves de votre démarche préalable : copie de votre demande, accusé de réception, et la réponse de l'organisme s'il y en a eu une. C'est pourquoi la traçabilité de la première étape est si importante. L'autorité de contrôle doit ensuite vous informer de l'état d'avancement et de l'issue de votre réclamation, ainsi que des recours possibles.

Gardez à l'esprit le périmètre de la CNIL : elle veille au respect de la réglementation sur les données personnelles. Elle ne se substitue pas à la justice pénale. Le dépôt de plainte pour usurpation d'identité se fait auprès d'un commissariat de police, d'une brigade de gendarmerie ou du procureur de la République (il existe une pré-plainte en ligne, mais elle doit ensuite être signée sur place pour être enregistrée comme plainte). Cette démarche, distincte et parallèle, vise à faire sanctionner l'auteur. Les deux actions se complètent : l'une protège vos données, l'autre engage la responsabilité pénale de l'usurpateur.

L'usurpation d'identité déclenche souvent plusieurs procédures en même temps, et il est utile de ne pas les confondre. La voie RGPD et CNIL concerne le sort de vos données : faire effacer un profil frauduleux, obtenir la liste des données détenues, faire cesser un traitement. La voie pénale concerne l'auteur des faits et passe par un dépôt de plainte.

Selon la manière dont vos données ont été exploitées, d'autres démarches ciblées peuvent s'imposer en parallèle : contester une amende reçue à tort, faire annuler un crédit souscrit en votre nom, demander une radiation d'un fichier bancaire, ou signaler un faux profil sur un réseau social. Averida traite ces situations dans des guides dédiés, afin que chaque organisme reçoive le bon courrier au bon moment.

Le réflexe à retenir : pour la suppression et la maîtrise de vos données, on s'adresse d'abord à l'organisme, puis à la CNIL ; pour faire reconnaître l'infraction, on dépose plainte. Mener les deux de front, en gardant une trace écrite de chaque échange, est la façon la plus efficace de reprendre le contrôle.

Averida orchestre ces démarches pour vous éviter de tout gérer seul dans l'urgence. À partir de votre situation, l'outil identifie les organismes concernés et génère pour chacun le courrier d'exercice de vos droits RGPD adapté (accès, rectification, effacement, opposition), en citant les articles applicables du règlement, prêt à être envoyé.

Averida envoie ensuite ces courriers en recommandé, ce qui donne une date certaine à vos demandes ; le délai d'un mois prévu par l'article 12 du RGPD court dès leur réception par l'organisme. L'outil suit ce délai pour chaque envoi et vous alerte à l'approche de l'échéance, afin que vous sachiez exactement quand une réponse est attendue.

En l'absence de réponse ou en cas de refus, Averida prépare la suite : génération de la relance et constitution des éléments utiles pour adresser une réclamation à la CNIL. Averida ne remplace pas une décision de l'organisme ni celle de la CNIL, et ne garantit pas un résultat : son rôle est de structurer, d'envoyer, de suivre et de vous alerter pour que vous ne ratiez aucune étape ni aucun délai.