La décision de la Cour de justice de l'UE dans l'affaire Schrems II, qui met fin de fait au pacte de protection des données conclu il y a quatre ans entre les États-Unis et l'UE, pourrait paralyser la capacité des entreprises multinationales à fonctionner alors qu'elles s'efforcent d'examiner leurs mécanismes de transfert de données.
« Il s'agit d'une décision stupéfiante et totalement inattendue. En invalidant le cadre du Privacy Shield, la Cour de justice de l'Union européenne a compromis la capacité de milliers d'entreprises à exercer leurs activités dans l'UE », a déclaré Lisa Sotto, responsable du département mondial de la confidentialité et de la cybersécurité chez Hunton Andrews Kurth. « Cette décision non seulement remet en cause un régime de transfert de données bien établi sur lequel s'appuient plus de 5 000 entreprises américaines, mais elle remet également en question la capacité des multinationales à transférer des données vers les États-Unis, quel que soit le mécanisme utilisé. »
Mais Steve Durbin, directeur général de l'Information Security Forum (ISF), a déclaré que Schrems II « allait toujours être un test majeur pour le Privacy Shield », donc pour beaucoup, la décision « n'a pas été une surprise que la Cour de justice européenne ait réagi de cette manière », compte tenu du fouillis de lois étatiques sur la confidentialité régissant actuellement les données personnelles aux États-Unis.