Transferts de données vers l'étranger.
Certains transferts de données à caractère personnel peuvent être réalisés vers des pays tiers à l'Union européenne, qui ne sont pas membres de l'Espace économique européen et qui n'ont pas été reconnus par une décision de la Commission européenne comme assurant un niveau de protection adéquat, dès lors que :
― le traitement garantit un niveau suffisant de protection de la vie privée ainsi que les droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles émises par la Commission européenne ou par l'adoption de règles internes d'entreprise ayant fait l'objet d'une décision favorable de la Commission nationale de l'informatique et des libertés ;
― le responsable de traitement a clairement informé les personnes de l'existence d'un transfert de données vers des pays tiers conformément aux dispositions de l'article 32 de la loi informatique et libertés et des articles 7 et 8 de la présente délibération ;
― le responsable de traitement s'engage, sur simple demande de la personne concernée, à apporter une information complète sur la finalité du transfert, les données transférées, les destinataires exacts des informations et les moyens mis en œuvre pour encadrer ce transfert.
Les données à caractère personnel susceptibles de faire l'objet d'un transfert vers certains pays situés en dehors de l'Union européenne dans le cadre de l'application des articles L. 561-20, L. 561-21 et L. 511-34 du code monétaire et financier sont celles collectées conformément aux dispositions de l'article 4 de la présente autorisation unique, sous réserve qu'elles soient nécessaires à l'organisation de la lutte contre le blanchiment des capitaux et le financement du terrorisme.