Les responsables de traitement et les sous–traitants peuvent transférer des données hors UE seulement s’ils encadrent ces transferts avec des outils assurant un niveau de protection suffisant et appropriés des personnes.
Par ailleurs, les données transférées hors Union restent soumises au droit de l’Union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.
Ainsi, et hormis les transferts fondés sur une décision d’adéquation de la Commission Européenne, les responsables de traitement et les sous-traitants peuvent mettre en place :
- des règles d’entreprises contraignantes (BCR) ;
- des clauses contractuelles types approuvées par la Commission Européenne ;
- des clauses contractuelles adoptées par une autorité et approuvées par la Commission européenne.
> En savoir plus sur les transferts
De nouveaux outils sont également prévus :
- pour les sous-traitants : la possibilité de mettre en place des règles d’entreprises contraignantes ;
- pour les autorités publiques : le recours à des accords contraignants ;
- pour les responsables de traitement et les sous-traitants : l’adhésion à des codes de conduite ou à un mécanisme de certification. Ces deux outils doivent contenir des engagements contraignants.
Enfin, une autorisation spécifique de l’autorité de protection basée sur ces outils n’est plus requise.