Dans la continuité du RGPD, un arrêt de la Cour de justice de l’Union européenne a récemment renforcé la protection des données à caractère personnel en invalidant le « Privacy shield », qui permettait leur transfert vers des opérateurs américains adhérant à certains principes de protection sans autre formalité. Concrètement, sur le périmètre des achats et notamment dans le cadre de l’exploitation des systèmes d’information, cette décision dite « Schrems II » devrait amener les entreprises à privilégier le recours à des tiers ou sous-traitants établis soit au sein de l’Union européenne, soit dans d’autres pays en s’assurant, par exemple via des clauses contractuelles spécifiques, que ceux-ci ne sont pas dotés de lois permettant à des agences étatiques d’accéder à des données de résidents européens. Une telle logique serait en œuvre dans plus de 60 % des régions du monde, comme en Chine à travers la PIPL (Personal information protection law).