Transferts de données vers l'étranger.
Certains transferts de données à caractère personnel peuvent être réalisés vers des pays tiers à l'Union européenne, qui ne sont pas membres de l'Espace économique européen et qui n'ont pas été reconnus par une décision de la Commission européenne comme assurant un niveau de protection adéquat, dès lors que :
― le traitement garantit un niveau suffisant de protection de la vie privée ainsi que les droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles émises par la Commission européenne ou par l'adoption de règles internes d'entreprise ayant fait l'objet d'une décision favorable de la Commission nationale de l'informatique et des libertés ;
― le responsable de traitement a clairement informé les personnes de l'existence d'un transfert de données vers des pays tiers, et ce conformément aux dispositions de l'article 32 de la loi « informatique et libertés » ;
― le responsable de traitement s'engage, sur simple demande de la personne concernée, à apporter une information complète sur la finalité du transfert, les données transférées, les destinataires exacts des informations et les moyens mis en œuvre pour encadrer ce transfert.
― conformément à l'article 69 de la loi du 6 janvier 1978 :
― ces transferts sont réalisés dans le cadre de l'exécution des contrats (article 69 [5°, 6°]) ou de la sauvegarde de la vie humaine pour la mise en œuvre des garanties d'assistance (article 69 [1°]) ;
― ils sont également réalisés lors de la gestion des actions ou contentieux liés à l'activité et permettant notamment à l'entreprise d'assurer la constatation, l'exercice ou la défense de ses droits en justice ou pour les besoins de défense des personnes concernées (article 69 [3°]).