Article 77 RGPD : porter réclamation auprès de la CNIL

La CNIL a enregistré plus de 17 000 réclamations en 2024, un record historique. Derrière ce chiffre, un seul article du règlement : l’article 77 du RGPD, qui ouvre à toute personne concernée le droit de saisir une autorité de contrôle dès qu’elle estime qu’un traitement la concernant viole le règlement. C’est la porte d’entrée de toute la chaîne d’enforcement — celle qui alimente, in fine, les sanctions de l’article 83 et les recours indemnitaires de l’article 82. Voici son analyse paragraphe par paragraphe, avec les arrêts qui ont fixé sa portée et les arbitrages pratiques que j’ai vus émerger en vingt ans de conseil.

Ce que dit l’article 77 du RGPD

L’Art. 77 s’intitule « Droit d’introduire une réclamation auprès d’une autorité de contrôle ». Il compte deux paragraphes courts mais structurants :

• l’Art. 77(1) pose le droit de toute personne concernée d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre où elle a sa résidence habituelle, son lieu de travail ou le lieu de la violation alléguée ;
• l’Art. 77(2) impose à l’autorité saisie une obligation d’information de l’auteur sur l’état d’avancement et l’issue de la réclamation, ainsi que sur la possibilité d’un recours juridictionnel au titre de l’Art. 78.

L’article ne décrit pas la procédure interne de l’autorité — chaque État membre l’organise dans son droit national. En France, c’est la loi Informatique et Libertés (LIL, articles 8, 20, 38 et suivants) et le décret n° 2019-536 du 29 mai 2019 qui fixent le cadre procédural devant la CNIL.

L’Art. 77 ouvre l’une des trois voies de recours indépendantes que le RGPD reconnaît à la personne concernée : la réclamation administrative (Art. 77), le recours juridictionnel contre la décision de l’autorité (Art. 78) ou directement contre le responsable de traitement (Art. 79). La CJUE C-132/21 BE c/ Nemzeti Adatvédelmi du 12 janvier 2023 a confirmé que ces trois voies peuvent être exercées simultanément et en parallèle, sans hiérarchie ni épuisement préalable. C’est un point capital pour la stratégie contentieuse, sur lequel je reviens plus bas.

Art. 77(1) : qui peut saisir l’autorité, où et pourquoi

Le paragraphe 1 dispose : « Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »

Quatre points essentiels.

Le bénéficiaire est exclusivement la personne concernée au sens de l’Art. 4(1) — donc une personne physique identifiée ou identifiable. Les personnes morales sont exclues du dispositif sauf hypothèses très étroites (entreprise individuelle assimilée à son dirigeant, association lésée dans des données rattachables à une personne physique). Les héritiers peuvent saisir la CNIL pour des données post-mortem en application de l’article 85 LIL (directives anticipées et droit français spécifique).

Le périmètre matériel est très large : « si elle considère que le traitement (…) constitue une violation du présent règlement ». Aucun seuil de gravité, aucune exigence de preuve préalable. La simple conviction raisonnable d’une violation suffit à fonder la saisine. La CJUE l’a confirmé dans l’arrêt C-26/22 UF c/ Land Hessen du 7 décembre 2023 : l’autorité ne peut écarter une réclamation au motif qu’elle ne lui paraît pas fondée sans procéder à un examen au fond, et la personne concernée doit pouvoir contester ce rejet devant un juge. C’est une lecture pro-citoyenne que je vois mobilisée de plus en plus souvent en France lorsque la CNIL clôture sans suite des réclamations qu’elle juge prématurées.

La compétence territoriale est organisée par trois critères alternatifs : la résidence habituelle, le lieu de travail ou le lieu de la violation. Ces critères sont non hiérarchisés et la personne concernée choisit celui qui lui convient. Cela explique qu’un salarié français travaillant pour une filiale française d’un groupe irlandais puisse parfaitement saisir la CNIL plutôt que la DPC irlandaise, même si le siège de l’établissement principal du responsable est à Dublin. La CNIL agit alors comme autorité concernée au sens de l’Art. 4(22) et la procédure bascule dans le mécanisme de coopération de l’Art. 60 sous la conduite de l’autorité chef de file (one-stop-shop) — sauf si la CNIL invoque sa compétence locale sur le fondement de l’Art. 56(2) lorsque l’objet et les effets du traitement contesté concernent uniquement la France.

La nature du droit est une garantie minimale : « sans préjudice de tout autre recours ». L’Art. 77 n’épuise pas les voies de droit, ne les conditionne pas et ne s’y substitue pas. La personne concernée peut, dans le même contentieux, déposer une réclamation à la CNIL, assigner le responsable de traitement en référé pour faire cesser le traitement (Art. 79), agir au fond pour obtenir une indemnisation (Art. 82) et participer à une action de groupe (Art. 80). Ces voies se cumulent juridiquement même si elles imposent une coordination factuelle pour éviter les contradictions.

Art. 77(2) : l’obligation d’information de l’autorité

Le paragraphe 2 dispose : « L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. »

C’est une obligation procédurale qui pèse sur la CNIL et dont le manquement ouvre directement, par le jeu de l’Art. 78(2), un recours juridictionnel : « Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle compétente (…) ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation introduite ».

Trois enseignements pratiques.

D’abord, la CNIL doit accuser réception dans des délais raisonnables et tenir l’auteur informé. La pratique française organise un accusé de réception électronique sous quelques jours via le téléservice CNIL, puis des points d’étape à 3 mois, 6 mois et au moment de la clôture.

Ensuite, le délai de trois mois de l’Art. 78(2) est une clé d’ouverture du recours juridictionnel contre l’inaction de l’autorité. Si la CNIL n’a pas traité la réclamation ou n’a pas informé l’auteur dans ce délai, la personne concernée peut saisir directement le Conseil d’État sur le fondement de l’Art. 78(1) — ce que j’ai vu mobiliser à plusieurs reprises pour faire bouger des dossiers stagnants.

Enfin, l’obligation d’information sur l’issue s’étend à la motivation. La CJUE a précisé dans C-132/21 NAIH du 12 janvier 2023 que l’autorité doit motiver sa décision et que la personne concernée doit pouvoir saisir un juge pour contester cette motivation, y compris lorsque l’autorité a estimé que le grief n’était pas fondé. Une décision de classement sans suite n’est donc pas un acte insusceptible de recours — elle est attaquable au contentieux administratif devant le Conseil d’État.

La procédure CNIL en pratique

Le RGPD ne décrit pas la procédure interne. Voici comment la CNIL structure concrètement le traitement des réclamations en application des articles 8, 20, 38, 39 et 40 LIL et du décret n° 2019-536 du 29 mai 2019.

Saisine. Le canal principal est le téléservice CNIL accessible depuis cnil.fr (parcours « Plaintes »). La saisine peut aussi être effectuée par courrier postal (3 place de Fontenoy, 75007 Paris) ou par formulaire papier. Aucun frais. Aucune obligation de représentation par avocat. La CNIL accepte les saisines anonymisées, mais la traçabilité est nécessaire pour que l’auteur soit informé au sens de l’Art. 77(2).

Recevabilité. La CNIL examine d’abord la recevabilité : qualité de personne concernée, objet du grief, justification d’une démarche préalable auprès du responsable de traitement (l’Art. 12 impose en principe d’avoir d’abord exercé ses droits, sauf urgence ou impossibilité). C’est une condition de subsidiarité pratique consacrée par la CNIL mais que la CJUE n’impose pas comme condition de recevabilité formelle au sens de l’Art. 77 — elle peut donc être écartée en cas d’urgence, de menace de représailles (notamment dans le contexte salarié) ou d’impossibilité d’identifier le responsable.

Instruction. La CNIL dispose de pouvoirs d’enquête au titre de l’Art. 58(1) RGPD et des articles 19 et 20 LIL : demandes de communication, audition des dirigeants, contrôles sur place. La pratique distingue deux niveaux. Le premier est la plainte simple : une vérification documentaire et un courrier au responsable demandant régularisation, sans procédure formelle. Le second est l’enquête approfondie : ouverture d’une mission de contrôle, transmission au service des contrôles, voire saisine de la formation restreinte pour décision.

Délai d’instruction. Pas de délai légal maximal, mais en pratique 6 à 12 mois pour les dossiers simples, 18 à 36 mois pour les dossiers complexes ou ceux qui passent en formation restreinte. Le délai de trois mois de l’Art. 78(2) reste le seuil au-delà duquel l’inaction devient attaquable.

Issues possibles. Trois grandes catégories. La clôture sans suite (le grief n’est pas caractérisé, la régularisation a eu lieu, le dossier ne justifie pas une action), notifiée à l’auteur avec mention du recours possible devant le Conseil d’État. La mesure correctrice au titre de l’Art. 58(2) : avertissement, rappel à l’ordre, mise en demeure de régulariser dans un délai imparti, injonction de cessation. Et la sanction prononcée par la formation restreinte (amende administrative au titre de l’Art. 83, publication, astreinte). Pour une analyse des sanctions récentes, voir mon bilan des sanctions CNIL 2026.

Articulation avec les autres voies de recours

C’est le point que je trouve le plus mal compris en pratique — y compris par certains avocats — alors qu’il conditionne toute la stratégie contentieuse de la victime.

Réclamation Art. 77 + recours civil Art. 79/82. La CJUE C-132/21 du 12 janvier 2023 est sans ambiguïté : les voies sont concurrentes et peuvent être exercées en parallèle. Une réclamation à la CNIL n’empêche en rien la victime d’assigner simultanément le responsable de traitement devant le tribunal judiciaire pour obtenir des dommages-intérêts au titre de l’Art. 82. Mieux : les constats de la CNIL servent fréquemment de socle probatoire à l’action civile. C’est pourquoi je recommande systématiquement, dans une stratégie de contentieux préparée, d’ouvrir d’abord la réclamation CNIL, d’attendre les premiers éléments d’instruction (ou la sanction si elle vient), puis d’engager l’action en réparation à un moment où la preuve est consolidée.

Réclamation Art. 77 + recours juridictionnel contre l’autorité Art. 78. L’Art. 78(1) ouvre le recours contre les décisions juridiquement contraignantes de la CNIL — qu’il s’agisse d’un classement sans suite, d’une sanction défavorable à la victime ou de toute autre décision. Le recours est porté devant le Conseil d’État dans un délai de deux mois à compter de la notification. L’Art. 78(2) ouvre, en outre, le recours contre l’inaction si la CNIL n’a pas traité ou pas informé dans les trois mois.

Réclamation Art. 77 + action de groupe Art. 80. L’Art. 80 RGPD permet à une association agréée (associations RGPD agréées par arrêté, associations de consommateurs) de représenter la personne concernée pour exercer ses droits Art. 77, 78 et 79. La loi n° 2024-364 du 22 avril 2024 a refondu en France le régime de l’action de groupe, qui permet désormais d’engager une action collective devant le tribunal judiciaire pour obtenir indemnisation et cessation. Voir l’analyse de la responsabilité civile dans l’article 82 RGPD.

Réclamation Art. 77 + plainte pénale. Indépendantes l’une de l’autre. Une réclamation à la CNIL n’empêche pas le dépôt d’une plainte pénale au titre des articles 226-16 et suivants du Code pénal (atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques). Le procureur de la République peut classer sans suite ou poursuivre indépendamment de l’action de la CNIL, et la CJUE a confirmé que les régimes administratifs et pénaux ne sont pas en conflit dès lors qu’ils sanctionnent des manquements distincts (jurisprudence transposable issue de CJUE C-687/21 MediaMarktSaturn du 25 janvier 2024).

Le mécanisme de coopération européenne (one-stop-shop)

Lorsque le traitement contesté est transfrontalier au sens de l’Art. 4(23) — c’est le cas typique d’une plateforme dont le siège européen est à Dublin, Luxembourg ou Amsterdam —, la réclamation introduite auprès de la CNIL est traitée selon le mécanisme du chef de file organisé par les articles 56 et 60 RGPD.

Étape 1. La CNIL reçoit la réclamation. Si l’établissement principal du responsable n’est pas en France, elle qualifie le dossier de transfrontalier et identifie l’autorité chef de file (DPC irlandaise pour Meta, Google ou Apple ; CNPD luxembourgeoise pour Amazon ; Garante italien pour OpenAI lorsqu’il a opté pour l’Italie ; Datatilsynet danois pour TikTok depuis la décision de 2024).

Étape 2. La CNIL transmet le dossier à l’autorité chef de file et conserve, en tant qu’autorité concernée, un rôle d’instruction parallèle, de proposition de mesures et de droit d’objection sur le projet de décision.

Étape 3. L’autorité chef de file instruit, négocie avec les autorités concernées, soumet un projet de décision via le mécanisme de cohérence Art. 64. En cas de désaccord persistant, le CEPD rend une décision contraignante au titre de l’Art. 65 — ce qui s’est déjà produit à plusieurs reprises (décision contraignante 1/2023 du 13 avril 2023 dans le contentieux Meta, aboutissant à l’amende de 1,2 milliard d’euros prononcée par la DPC irlandaise).

Étape 4. L’autorité de contrôle saisie par la personne concernée — donc, en France, la CNIL — communique la décision finale à l’auteur de la réclamation. C’est la concrétisation pratique de l’Art. 77(2) dans le cadre du one-stop-shop.

Le délai d’instruction est sensiblement plus long dans ce dispositif : 18 à 36 mois ne sont pas rares. C’est un facteur à intégrer dans toute stratégie contentieuse impliquant une multinationale.

Six chantiers pour anticiper une réclamation Art. 77 côté responsable

Pour le responsable de traitement, l’Art. 77 n’est pas seulement un droit du citoyen : c’est un vecteur de risque d’enforcement qu’il faut anticiper de la même manière qu’on prépare un audit fiscal.

Chantier 1 — Cartographie des points de friction. Identifier les traitements à fort risque de réclamation : prospection commerciale (premier motif de plainte CNIL), vidéosurveillance des salariés, géolocalisation, gestion des candidatures et licenciements, e-commerce, recouvrement. Pour chacun, vérifier la base légale, l’information délivrée et la traçabilité des consentements.

Chantier 2 — Industrialisation des réponses aux droits. La quasi-totalité des réclamations CNIL trouve son origine dans une demande d’exercice des droits non traitée (accès, effacement, opposition). L’Art. 12 impose un délai d’un mois — voir le guide sur le droit d’accès et le droit à l’effacement. Une procédure documentée, un canal de réception clair et un suivi automatisé éliminent 80% des saisines.

Chantier 3 — Procédure de gestion des saisines CNIL. Identifier le point d’entrée, le délai interne de réaction (5 jours), le circuit d’analyse (DPO → direction juridique → métier concerné), la traçabilité des échanges et la coordination avec la communication externe. C’est ce que le DPO doit organiser au titre de l’Art. 39 en sa qualité de point de contact CNIL.

Chantier 4 — Documentation accountability. La défense face à la CNIL repose entièrement sur la capacité du responsable de traitement à produire les preuves de sa conformité : registre des activités de traitement Art. 30, AIPD Art. 35, contrats Art. 28, politique de sécurité Art. 32, logs d’exercice des droits, comptes-rendus de formation. Voir la méthodologie complète dans mon analyse de l’Art. 24 RGPD et le registre des traitements modèle Excel.

Chantier 5 — Préparation à l’audition. Lorsque la CNIL ouvre une instruction approfondie, elle peut convoquer les dirigeants pour audition. La préparation suppose de disposer d’un dossier consolidé, d’un porte-parole identifié et d’une ligne juridique cohérente. Beaucoup de sanctions lourdes que j’ai analysées (CNIL SAN-2024-001 Hubside 525 k€, SAN-2023-013 Doctissimo) sanctionnent en partie le défaut de coopération ou les contradictions de discours pendant l’instruction.

Chantier 6 — Articulation civile / pénale / administrative. Une réclamation CNIL est rarement isolée. Elle s’accompagne souvent d’une procédure prud’homale (salarié), d’une assignation civile (consommateur) ou d’une plainte pénale. La défense doit être pilotée de manière unifiée pour éviter les contradictions probatoires. C’est ce type de coordination que Legiscope automatise en centralisant la documentation accountability, la gestion des droits et la traçabilité de l’instruction.

Ce qu’il faut retenir

• L’Art. 77 RGPD ouvre à toute personne concernée le droit d’introduire une réclamation auprès d’une autorité de contrôle, sans seuil de gravité ni épuisement préalable des autres voies.
• En France, la CNIL instruit la réclamation selon les articles 8, 20, 38 et 40 LIL et le décret n° 2019-536 — avec un délai d’information de trois mois au-delà duquel l’inaction devient attaquable au titre de l’Art. 78(2).
• Les trois voies de recours (Art. 77 réclamation, Art. 78 recours contre l’autorité, Art. 79 recours contre le responsable) sont concurrentes et indépendantes depuis CJUE C-132/21 NAIH du 12 janvier 2023.
• Pour les traitements transfrontaliers, le mécanisme du chef de file des Art. 56 et 60 organise la coopération européenne, avec décisions contraignantes du CEPD au titre de l’Art. 65 en cas de désaccord.
• Côté responsable de traitement, six chantiers anticipent le risque : cartographie, industrialisation des droits, procédure de saisine, documentation accountability, préparation à l’audition et articulation des contentieux.
• L’Art. 83(5)(e) sanctionne le défaut de coopération avec la CNIL au plafond haut (20 M€ ou 4% du chiffre d’affaires mondial) — l’enjeu d’une réponse maîtrisée à une réclamation va donc bien au-delà du grief initial.

FAQ

Faut-il avoir saisi le responsable de traitement avant de déposer une réclamation à la CNIL ?

La CNIL recommande fortement de l’avoir fait — c’est une condition de subsidiarité pratique qui découle de l’Art. 12 RGPD. Mais ce n’est pas une condition de recevabilité formelle au sens de l’Art. 77. En cas d’urgence, de risque de représailles (typiquement en contexte salarié) ou d’impossibilité d’identifier le responsable, la saisine directe est admise. La CJUE C-26/22 du 7 décembre 2023 a confirmé que l’autorité ne peut écarter une réclamation sans procéder à un examen au fond.

Quel est le délai de réponse de la CNIL et que faire en cas de silence ?

Pas de délai légal maximum, mais l’Art. 78(2) RGPD fixe un seuil de trois mois au-delà duquel l’absence de traitement ou d’information ouvre un recours juridictionnel. En France, ce recours est porté devant le Conseil d’État dans un délai de deux mois à compter de l’expiration du délai de trois mois. En pratique, la CNIL accuse réception sous quelques jours, fournit un point d’étape à 3 mois et clôt en 6 à 12 mois pour les dossiers simples.

Une réclamation à la CNIL empêche-t-elle d’engager une action en dommages-intérêts ?

Non — c’est précisément l’apport de CJUE C-132/21 du 12 janvier 2023. Les voies sont indépendantes et peuvent être exercées en parallèle. La réclamation Art. 77 et l’action civile au titre de l’Art. 82 RGPD se cumulent juridiquement. Je recommande même la combinaison : ouvrir la réclamation pour bénéficier du pouvoir d’enquête de la CNIL, puis engager l’action civile lorsque les éléments d’instruction sont consolidés.

Quelle autorité saisir si l’entreprise mise en cause a son siège dans un autre État membre ?

Vous pouvez saisir la CNIL au titre des trois critères de l’Art. 77(1) — résidence, lieu de travail ou lieu de la violation. La CNIL traite alors la réclamation comme autorité concernée et la transmet à l’autorité chef de file (établissement principal du responsable) selon le mécanisme one-stop-shop des Art. 56 et 60. Le délai d’instruction est sensiblement allongé (18 à 36 mois en pratique). Si la procédure n’avance pas, l’Art. 78(2) reste mobilisable contre l’autorité chef de file.

Le rejet d’une réclamation par la CNIL est-il attaquable ?

Oui. Une décision de classement sans suite est un acte juridiquement contraignant au sens de l’Art. 78(1) RGPD et de la jurisprudence CJUE C-132/21 NAIH : elle peut être contestée devant le Conseil d’État dans un délai de deux mois. Le contrôle juridictionnel porte tant sur la régularité de la procédure que sur l’examen au fond. Cette voie reste sous-utilisée en France, alors qu’elle constitue le pendant du droit d’enforcement effectif consacré par l’Art. 47 de la Charte des droits fondamentaux de l’Union européenne.

---

Vous voulez recevoir mes analyses sur la conformité RGPD, les décisions CNIL et la jurisprudence CJUE ? Inscrivez-vous à la newsletter — un envoi par semaine, zéro spam.