Le jeudi 16 juillet 2020, la CJUE (Cour de Justice de l’Union Européenne) a invalidé le Privacy Shield dans une décision certes retentissante, mais peu surprenante. La cause de cette invalidation : la législation américaine qui tolère, sans considération du principe de proportionnalité, que les données à caractère personnel transférées vers les États-Unis soient communiquées à l’administration américaine, garante de la sécurité nationale.
La CJUE considère en effet que les mécanismes de sécurité mis en place par le droit américain ne garantissent pas un niveau suffisant contre la toute-puissance de l’ingérence des programmes de surveillance américains.
Après le Safe Harbor, c’est donc au Privacy Shield d’être invalidé, mais cette fois une nouvelle dimension est apportée dans la décision de la CJUE : ce n’est pas tant l’instrument qui est mis en cause mais bien les caractéristiques structurelles de la législation américaine, qui privilégie la sécurité nationale à la protection des données de façon disproportionnée, qui empêchent une protection adéquate.
Les clauses contractuelles types mises en place par la Commission européenne restent maintenues et utilisables pour tout contrat impliquant un transfert de données personnelles vers les États-Unis.