Si le pays qui n’est pas membre de l’Espace économique européen (Union européenne, Liechtenstein, Norvège et Islande) ou l’organisation internationale vers lequel les données sont transférées n’a pas été reconnu comme adéquat par la Commission européenne, il existe cependant différentes possibilités pour un transfert de données.
Dans ce cas, la CNPD recommande d’adopter, tout comme ses homologues européens, une approche par étapes fondée sur les meilleures pratiques et consistant à envisager de fournir des garanties adéquates. Les exportateurs de données devraient donc d’abord s’efforcer de trouver des possibilités de procéder au transfert à l’aide de garanties appropriées (clauses contractuelles, règles d’entreprise contraignantes (BCR), codes de conduite, mécanismes de certification, ou garanties spécifiques pour le transfert entre autorités ou organismes publics), et ne recourir aux dérogations qu’en l’absence de telles garanties.