Dans un arrêt rendu le 16 juillet 2020 (affaire C-311/18) opposant le Data Protection Commissioner de l’Irlande contre Facebook et M. Maximillian Schrems, la CJUE a invalidé le « Privacy Shield » (ou bouclier de protection).

Il s’agit de l’accord qui régit les transferts de données personnelles entre l’Union européenne et les Etats-Unis depuis 2016.

Les juges ont estimé que les lois américaines ne garantissent pas une protection équivalente aux citoyens européens à celles dont ils jouissent en Europe, notamment dans le cadre du RGPD.

Cette décision fait suite à une plainte initiale de M. Maximillian Schrems concernant le transfert de ses données à caractère personnel par Facebook Ireland à Facebook Inc. aux États-Unis.

Cette prise de position de la CJUE pourrait avoir des répercussions importantes pour un grand nombre d’entreprises qui devront envisager de rapatrier le traitement de leurs données personnelles en Europe, au risque de se voir sanctionner par les autorités de contrôle nationales, dont la CNIL en France.