Schrems II (Arrêt CJUE C-311/18, 2020)

L'arrêt Schrems II (16 juillet 2020) de la Cour de Justice de l'Union Européenne a invalidé le Privacy Shield, le mécanisme qui légalisait les transferts de données personnelles UE → US. La CJUE a jugé que le droit américain (FISA Section 702, CLOUD Act, Executive Order 12333) ne garantit pas une protection équivalente au RGPD. Conséquence : tout transfert UE → US doit être assorti de garanties supplémentaires (clauses contractuelles types + chiffrement de bout en bout dont les clés restent en UE). Le Data Privacy Framework (2023) tente de combler ce vide mais reste fragile.