Les règles de l’Union européenne en matière de protection des données s’appliquent dans l’Espace économique européen (à savoir l’Union européenne, le Liechtenstein, la Norvège et l’Islande, ci-après l’«EEE»). Les données à caractère personnel peuvent donc être transférées librement sur ce territoire, à condition que le traitement soit conforme aux obligations générales applicables aux responsables du traitement et aux sous-traitants prévues par le règlement général sur la protection des données 2016/679 (ci-après le « RGPD »).
Par contre, un transfert de données à caractère personnel qui font l’objet d’un traitement vers un pays situé en dehors de l’Espace économique européen (un « pays tiers ») ou vers une organisation internationale ne peut avoir lieu que dans certaines conditions décrites au chapitre V du RGPD. Ces conditions s’ajoutent aux obligations générales prévues par le RGPD. Par conséquent, une évaluation en deux étapes doit être appliquée:
- premièrement, le transfert de données à caractère personnel, en tant qu’ activité de traitement, doit avoir une base de licéité et respecter toutes les dispositions pertinentes du RGPD (par exemple, les principes de licéité du traitement, de transparence, les conditions applicables aux situations de sous-traitance, etc.);
- deuxièmement, les dispositions applicables aux transferts internationaux de données prévues au chapitre V du RGPD doivent être respectées. Ainsi, les transferts de données à caractère personnel vers un pays tiers ne sont possibles que si :
- le transfert de données est couvert par une décision d'adéquation émise par la Commission européenne conformément à l'article 45 du RGPD ; ou
- à défaut, si l’exportateur de données peut démontrer l’existence de garanties appropriées conformément à l’article 46 du RGPD ; ou
- à défaut, si le transfert relève de l’une des dérogations prévues à l’article 49 du RGPD.