Tout responsable de traitement qui souhaite exporter des données à caractère personnel hors de l’Espace économique européen doit d’abord se renseigner sur le niveau de protection adéquat du pays destinataire. En effet, lorsque le pays tiers est considéré comme offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert au sein de l’Espace économique européen.
ll faudra néanmoins toujours respecter les principes généraux du RGPD (respect notamment du principe de licéité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées).
C’est à la Commission européenne qu’il revient de constater par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat.
La Commission européenne a reconnu le caractère adéquat du niveau de protection des pays suivants :
- l’Andorre;
- l’Argentine;
- le Canada (pour les traitements soumis à la loi canadienne « Personal Information Protection and Electronic Documentation Act »);
- la Corée du Sud;
- les îles Féroé;
- Guernesey;
- l’Israël;
- l’île de Man;
- Japon;
- Jersey;
- la Nouvelle-Zélande;
- le Royaume-Uni;
- la Suisse;
- l’Uruguay.