Transfert de données vers l'étranger.
Les transferts de données mentionnées à l'article 3 réalisés vers des pays tiers à l'Union européenne et qui ne sont pas membres de l'Espace économique européen peuvent être effectués dans le cadre de cette norme lorsque l'une des conditions suivantes est réunie :
- les transferts s'effectuent à destination d'un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou d'une entreprise américaine ayant adhéré aux principes du Safe Harbor ;
- le traitement garantit un niveau suffisant de protection de la vie privée et des droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l'adoption de règles internes d'entreprise (dénommées « BCR »), dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant ;
- ils correspondent à l'une des exceptions prévues à l'article 69 de la loi du 6 janvier 1978 modifiée, dont le champ d'application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l'objet d'un encadrement juridique spécifique (« BCR », clauses contractuelles types ou Safe Harbor).
Le responsable de traitement doit avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers, dans les conditions prévues par les dispositions de l'article 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le ou les pays d'établissement du destinataire des données, les moyens mis en œuvre pour encadrer ce transfert…).