Le Privacy Shield UE-USA est un accord entre la Commission européenne et le ministère américain du Commerce portant sur l’échange de données à caractère personnel entre les entreprises de l’UE et des États-Unis. Le Privacy Shield est entré en vigueur le 1er août 2016 et a remplacé le traité Safe Harbor. Plus de 5300 entreprises américaines fournissant des services sur le marché européen ont obtenu la certification Privacy Shield.
Le 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé le Privacy Shield à travers l’arrêt C311/18, connu sous l’appellation 'Schrems II'. Cette décision ôte toute base juridique au transfert de données personnelles vers les États-Unis. De ce fait, divers services fournis par des organisations américaines ne peuvent plus être considérés comme 'conformes au RGPD' s’ils se fondent uniquement sur le Privacy Shield.
La clause contractuelle type (SCC) reste un mécanisme légitime. La SCC est un contrat avec un fournisseur dans lequel des engagements sont pris sur la manière dont les données à caractère personnel sont traitées et sur les responsabilités de chacun. Un tel contrat est généralement disponible sur le site du fournisseur.