La Cour de justice de l’UE a statué sur l’affaire opposant M. Schrems à Facebook Irlande. Dans son arrêt, elle a validé la décision de la Commission de 2010 relative aux clauses contractuelles type (Décision de la Commission européenne 2010/87/UE), mais a invalidé la décision de la Commission portant sur le Privacy Shield régissant les relations entre l’UE et les Etats-Unis. La Cour a indiqué dans ses motifs qu’il existe des limitations du droit américain en matière de protection des données personnelles, concernant l’accès et l’utilisation de ces données par les autorités publiques américaines. La Cour a considéré que ces limitations sont disproportionnées et que le mécanisme de protection des droits des personnes concernées devant le médiateur des Etats-Unis ne présente pas de garanties suffisantes pour les droits des personnes, qui soient équivalentes à celles existant dans l’UE.
Suite à cet arrêt, le transfert de données personnelles doit être effectué en application d’autres mécanismes prévus par le Règlement (UE) 2016/679 et comportant des garanties appropriées pour les personnes concernées, tels que les règles d’entreprise contraignantes, les clauses types de protection des données adoptées par la Commission européenne, les clauses types de protection des données adoptées par une autorité de contrôle en matière de protection des données, ou les clauses contractuelles autorisées par une telle autorité de contrôle. La définition des clauses types de protection des données, l’autorisation de clauses contractuelles et la validation des règles d’entreprise contraignantes par une autorité de contrôle en matière de protection des données ont fait également l’objet d’un avis rendu par le Comité européen de la protection des données.
