Le transfert de données hors de l'Union européenne contrôle des services de sécurité nationale. La réponse du médiateur consistera à dire si le droit des États-Unis a été respecté ou si l'illégalité constatée a été corrigée. Il ne pourra en revanche indiquer si la personne l'ayant saisi était surveillée par les services de renseignement américains. L'étendue des pouvoirs confiés à ces derniers fait par ailleurs l'objet de courriers annexés à l'accord Privacy Shield par lesquels les autorités américaines prennent l'engagement que leurs services de renseignement ne pourront accéder aux données transférées sous couvert du Privacy Shield que si leur démarche est conforme aux dispositions du Foreign Intelligence Surveillance Act (FISA) ou si demande est faite par le FBI via une « lettre de sécurité nationale » (National Security Letter). Un courrier signé par le ministère de la Justice américain détaille par ailleurs les mécanismes dont disposent les autorités américaines lorsqu'elles souhaitent accéder, à des fins d'enquêtes criminelles, à des données détenues par des entreprises situées aux États-Unis. 2. Validité du Privacy Shield ? 242. C'est précisément au regard de l'amplitude des pouvoirs confiés aux services de renseignement américains qu'il est possible de se demander si le mécanisme du Privacy Shield est conforme au droit de l'Union tel qu'il a été interprété par la Cour de justice dans l'arrêt Schrems. À reprendre les différents critères dégagés par la Cour et à l'aune desquels il convient d'apprécier le dispositif du Privacy Shield, la réponse à la question n'est pas évidente. Certes, les règles relatives aux droits d'accès et de rectification ont été renforcées, tout comme celles encadrant le transfert de données à une entreprise tierce. De même, le rôle des autorités nationales de protection des données des États membres de l'Union européenne a été reconnu et conforté. Enfin, le texte du Privacy Shield et les lettres qui y sont jointes s'efforcent de lister et donc de délimiter les cas dans lesquels les autorités publiques américaines peuvent avoir accès aux données. Tout cela va assurément dans le bon sens. Force est toutefois de constater que le nouveau dispositif souffre encore de quelques lacunes. 243. Voies de recours suffisantes ? - Il n'est en premier lieu pas certain que le texte consacre un droit au recours suffisamment large permettant de garantir pleinement à un internaute européen qu'il soit en mesure d'exercer dans toutes les hypothèses ses droits. 117