CJUE 16 juillet 2020 Schrems II
niveau de protection adéquat :
- le niveau de protection n'est pas assuré lorsque les données sont traitées aux USA, notamment à cause des pouvoirs dont disposent les agences de renseignement (FISA de 1978, etc.)
- le Privacy Shield ne donne pas non plus de niveau de protection suffisant => le dispositif est donc invalidé, comme le Safe Harbor avant lui (cf. CJUE 2015 Schrems I)
- nouveauté de Schrems II : les clauses contractuelles type (CCT = écrites par la CE) ne suffisent pas à elle-seules à garantir le niveau de protection adéquat, il faut qu'"un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union" soit effectivement assuré
depuis cette jurisprudence, la CE a pris une nouvelle décision d'adéquation le 10 juillet 2023 : le "safe harbor" est de retour