La CJUE a déclaré invalide la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées.
En effet, la Cour a jugé que « la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46 relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États‑Unis d’Amérique, par laquelle la Commission européenne constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, telle que modifiée, examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui‑ci n’assurent pas un niveau de protection adéquat ».