# Transferts de données hors UE

Le transfert peut être défini comme toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne.

Les transferts de données hors de l’Union européenne sont par principe interdits. 

Les [**articles 44 à 49 du RGPD**](https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5) prévoient des exceptions à cette interdiction. Ils prévoient l’utilisation d’outils permettant d’encadrer ce transfert :

* une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat ;
* des clauses contractuelles types (CCT) de la Commission européenne ;
* des règles internes d’entreprises (BCR) ;
* des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne) ;
* des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
* un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
* un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
* un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).

Des dérogations sont prévues à l’[**article 49 du RGPD**](https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5). Si une dérogation justifie le transfert, il faut indiquer la nature de celle-ci et le cas échéant, détailler l’évaluation des circonstances du transfert et des garanties appropriées.<br>