En invalidant le Privacy Shield UE-États-Unis, la décision Schrems II a brutalement modifié la façon dont les organisations doivent gérer les transferts de données à caractère personnel. Dorénavant, pour effectuer de tels transferts de l’Union européenne vers un pays tiers, il doit être établi que le pays et la société destinataires proposent un niveau de protection des données équivalent aux exigences stipulées par le RGPD.
Le jugement du cas Schrems II rendu par la Cour de justice de l’Union européenne a conduit à l’invalidation et à la mise en cause des deux mécanismes couramment utilisés pour transférer des données vers les États-Unis : respectivement le Privacy Shield UE-États-Unis d’une part et les clauses contractuelles types de l’autre. Même si les clauses contractuelles types sont toujours valides, chaque situation où elles servent de mécanisme devra être évaluée au cas par cas. Il est peu probable qu’elles offrent à elles seules un niveau de protection équivalent à celui exigé par le RGPD.