En vertu du règlement général sur la protection des données (RGPD), le transfert de données à caractère personnel en dehors de l’EEE (c’est-à-dire l’UE et la Norvège, le Lichtenstein et l’Islande) ou à des organisations internationales n’est autorisé que si l’une des conditions suivantes est remplie :
– le pays tiers est reconnu comme offrant un niveau de protection adéquat via une décision d’adéquation adoptée par la Commission européenne ;
– des garanties appropriées sont mises en œuvre (par exemple, clauses contractuelles types de l’UE, BCR, certification ou code de conduite approuvé) ;
– une des dérogations prévues à l’article 49 est applicable (par exemple, consentement exprès, intérêt vital, etc.).
