1) Pour les transferts de données à caractère personnel vers les États-Unis encadrés par des garanties appropriées telles que les clauses contractuelles types, il n'est pas nécessaire d'analyser plus en détail le cadre légal applicable aux États-Unis dans la mesure où la Cour a déjà procédé à une telle analyse dans son arrêt du 16 juillet 2020 (C‑311/18). En effet, la Cour a constaté, d'une part, que les programmes de surveillance en cause ne correspondaient pas aux exigences minimales attaquées, en droit de l'Union, au principe de proportionnalité, si bien qu'il n'était pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire. D'autre part, la Cour a constaté que le cadre juridique en cause ne conférait pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux, si bien que ces personnes ne disposaient pas d'un droit au recours effectif.

2) En ce qui concerne les mesures juridiques et organisationnelles adoptées par un responsable du traitement en complément de clauses contractuelles types pour le transfert de données vers les États-Unis, ni la notification des utilisateurs, ni la publication d'un rapport de transparence ou d'une politique de gestion des demandes d'accès gouvernementales ne permet concrètement d'empêcher ou de réduire l'accès des services de renseignement américains.

3) En ce qui concerne les techniques de chiffrement, telles que celles pour les données entreposées dans des centres de données transférés vers les États-Unis, un importateur établi aux États-Unis a dans tous les cas l'obligation d'accorder l'accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles. Tant qu'un importateur établi aux États-Unis a la possibilité d'accéder aux données des personnes physiques en texte clair, de telles mesures techniques ne peuvent être considérées comme efficaces dans l'espèce.

L'examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d'exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la Charte des droits fondamentaux n'a révélé aucun élément de nature à affecter la validité de cette décision.

La validité de cette décision n'est pas remise en cause par le seul fait que les clauses contractuelles types de protection des données figurant dans celle‑ci ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré. En revanche, cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d'assurer que le niveau de protection requis par le droit de l'Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d'impossibilité de les honorer.

Or, la décision 2010/87 met en place de tels mécanismes. Cette décision instaure notamment une obligation pour l'exportateur des données et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection soit respecté dans le pays tiers concerné et qu'elle oblige ce destinataire à informer l'exportateur des données de son éventuelle incapacité de se conformer aux clauses contractuelles types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier.