Le transfert peut être défini comme toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne.

Les transferts de données hors de l’Union européenne sont par principe interdits.

Les articles 44 à 49 du RGPD prévoient des exceptions à cette interdiction. Ils prévoient l’utilisation d’outils permettant d’encadrer ce transfert :

• une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat ;

• des clauses contractuelles types (CCT) de la Commission européenne ;

• des règles internes d’entreprises (BCR) ;

• des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne) ;

• des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,

• un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),

• un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),

• un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).

Des dérogations sont prévues à l’article 49 du RGPD. Si une dérogation justifie le transfert, il faut indiquer la nature de celle-ci et le cas échéant, détailler l’évaluation des circonstances du transfert et des garanties appropriées.