Exercer ses droits concernant les données transférées dans le cadre du Privacy Shield

03 juillet 2017

Qu'est ce que le bouclier de protection des données ? Que concerne-t-il ? Comment exercer ses droits ? Comment adresser une plainte ?

Qu’est-ce que  le Bouclier de Protection des Données ?

Le Bouclier de Protection des Données, mieux connu sous le nom de « Privacy Shield »[1], est un mécanisme d’auto-certification pour les sociétés établies aux États-Unis. Ce dispositif a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées depuis une entité européenne vers des sociétés établies aux États-Unis.  Ce mécanisme offre par conséquent des garanties juridiques pour de tels transferts de données.

Le Bouclier de Protection des Données UE-États-Unis est en vigueur depuis le 1er août 2016.

Le Bouclier de Protection des Données concerne tout type de données à caractère personnel transféré depuis une entité européenne vers les États-Unis : notamment, données traitées dans le cadre des relations commerciales, données de santé ou données relatives aux ressources humaines, pour autant que la société américaine destinataire se soit auto-certifiée à ce dispositif.

Quels sont les bénéfices du Bouclier de Protection des Données ?

Le Bouclier de Protection des Données repose sur des engagements pris par des sociétés américaines pour respecter les principes, les règles et les obligations fixés par le  dispositif du Bouclier de Protection des Données :

  • Le principe d’information,
  • Le principe du choix selon lequel les personnes doivent pouvoir effectuer certains choix s’agissant de la transmission de leurs données à des tiers, de l’utilisation de leurs données pour des finalités substantiellement différentes ou en cas de traitement de données sensibles,
  • Le principe d’intégrité des données et de finalité du traitement,
  • L’obligation d’assurer la sécurité des données,
  • L’obligation de protéger les données lorsque celles-ci sont transférées à une société tierce.

Aussi, ce dispositif  accorde un certain nombre de droits aux personnes dont les données à caractère personnel ont été transférées d’une entité européenne vers les États-Unis :

  • le droit d’être informé d’un tel transfert,
  • le droit d’exercer ses droits d’accès, de rectification et de suppression des données à caractère personnel qui ont été transférées[2].

Il est possible de vérifier si une société établie aux États-Unis adhère au dispositif du Bouclier de Protection des Données en consultant la liste disponible en ligne sur  www.privacyshield.gov


Pour les traitements qui ne relèvent pas des activités de renseignement (ressources humaines, relation client, etc.)

Comment exercer vos droits ?

  • Dans un premier temps, vous devez vous adresser à la société européenne ou  américaine qui a transféré vos données. A cet effet, les coordonnées de la personne ou du service à contacter au sein de la société en question, peuvent être obtenues en consultant la liste des sociétés américaines qui adhèrent au Bouclier de Protection des Données 
  • Si vous n’avez pas obtenu de réponse à votre demande de la part de la société européenne ou américaine, vous pouvez alors vous adresser à la CNIL. 

Comment adresser une plainte ?

Si vous pensez que :

  • la société américaine certifiée au Bouclier de Protection des Données a violé ses obligations prévues par le Dispositif du Bouclier de Protection des Données UE-États-Unis, ou
  • la société n’a pas respecté vos droits qui vous sont reconnus en vertu des principes du Bouclier de Protection des Données,

Vous pouvez utiliser le formulaire de plainte dédié qui est disponible ici privacy shield - formulaire de plainte aspects commerciaux et renvoyez-le par courrier à [3]

CNIL,  3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 ​

Quelle suite à votre plainte ? Quelle action des autorités européennes de protection des données ?

Un panel informel des autorités européennes de protection des données a été mis en place pour traiter les plaintes concernant :

  • les données à caractère personnel relatives aux ressources humaines qui ont été transférées depuis une entité européenne vers une société américaine adhérant au Bouclier de Protection des Données dans le cadre d’une relation de travail ;
  • ou lorsque la société américaine destinataire s’est volontairement engagée à coopérer avec les autorités européennes de protection des données pour toute plainte quel que soit le type de données, c’est-à-dire non seulement les données relatives aux ressources humaines mais aussi celles traitées dans le cadre des relations commerciales.

Le panel informel des autorités de  protection des données lancera une investigation durant laquelle vous pourrez faire valoir votre point de vue ainsi que la société concernée. Si nécessaire, et ce afin de résoudre le problème, le panel informel pourra émettre un « avis » qui sera une décision contraignante que la société américaine adhérant au Bouclier de Protection des Données  sera tenue de respecter.

Lorsque le panel informel des autorités européennes de protection des données n’est pas compétent, celui-ci a la possibilité de transmettre la plainte aux autorités américaines. La Commission Fédérale du Commerce (« FTC ») s’est notamment engagée à prendre en compte en priorité les plaintes ainsi transmises par les autorités européennes de protection des données. Par ailleurs, le Département du Commerce américain fixe un délai de 90 jours pour l’examen des plaintes.

Dans tous les cas, la CNIL peut également exercer directement ses pouvoirs (telle que l’interdiction ou la suspension des transferts de données) à l’égard de l’exportateur européen de données.


Pour les traitements qui relèvent des activités de renseignement

A noter que les demandes relatives à l’accès aux données par les autorités publiques américaines dans le cadre des activités de renseignements sont soumises à une autre procédure. Pour plus d’informations, veuillez consulter le formulaire dédié à cet effet.

 privacy shield - formulaire de plainte- mediateur americain


[1] La décision  relative à l’adéquation du  Dispositif  du Bouclier de Protection des Données UE – États-Unis  (« Bouclier de Protection des Données « ) ou (« Dispositif) a été adoptée par la Commission européenne le 12 juillet 2016. Ce dispositif a été élaboré par la Commission européenne et le Département du Commerce  américain pour remplacer la Décision Safe Harbor 2000/520/EC qui a été déclarée invalide par la Cour européenne de Justice le 6 octobre 2015.

[2] Pour des informations plus détaillées concernant les garanties relatives aux données transférées ainsi que sur vous droits au titre du Bouclier de Protection des Données UE – États-Unis, vous pouvez consulter le Guide relatif au Bouclier de Protection des Données UE – États-Unis publié par la Commission européenne

[3] Dans les cas où vos données auront été transférées auprès d’une société américaine certifiée au Bouclier de Protection des Données par une institution de l’UE, l’autorité européenne compétente pour adresser votre plainte sera le Contrôleur européen de la protection des données (EDPS). 

Les mots clés associés à cet article