1) Pour les transferts de données à caractère personnel vers les États-Unis encadrés par des garanties appropriées telles que les clauses contractuelles types, il n'est pas nécessaire d'analyser plus en détail le cadre légal applicable aux États-Unis dans la mesure où la Cour a déjà procédé à une telle analyse dans son arrêt du 16 juillet 2020 (C‑311/18). En effet, la Cour a constaté, d'une part, que les programmes de surveillance en cause ne correspondaient pas aux exigences minimales attaquées, en droit de l'Union, au principe de proportionnalité, si bien qu'il n'était pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire. D'autre part, la Cour a constaté que le cadre juridique en cause ne conférait pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux, si bien que ces personnes ne disposaient pas d'un droit au recours effectif.
2) En ce qui concerne les mesures juridiques et organisationnelles adoptées par un responsable du traitement en complément de clauses contractuelles types pour le transfert de données vers les États-Unis, ni la notification des utilisateurs, ni la publication d'un rapport de transparence ou d'une politique de gestion des demandes d'accès gouvernementales ne permet concrètement d'empêcher ou de réduire l'accès des services de renseignement américains.
3) En ce qui concerne les techniques de chiffrement, telles que celles pour les données entreposées dans des centres de données transférés vers les États-Unis, un importateur établi aux États-Unis a dans tous les cas l'obligation d'accorder l'accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles. Tant qu'un importateur établi aux États-Unis a la possibilité d'accéder aux données des personnes physiques en texte clair, de telles mesures techniques ne peuvent être considérées comme efficaces dans l'espèce.
