Le transfert des données à caractère personnel hors de l’UE n’est autorisé que sous certaines conditions telles qu’énoncées dans la directive 95/46/CE ainsi que dans le règlement général sur la protection des données qui sera pleinement applicable à partir de mai 2018. Si un pays est considéré par la Commission européenne comme offrant un niveau de protection adéquat , il sera soumis aux mêmes règles qu’un État membre de l’UE, ce qui signifie que le destinataire des données dans cet État ne sera pas tenu de prendre des mesures spécifiques pour permettre le transfert. Le transfert de données vers un pays sans une décision relative à l’adéquation du niveau de protection des données exige des garanties appropriées, telles que des clauses contractuelles types ou des règles d’entreprise contraignantes. Des dérogations à cette règle peuvent être obtenues dans des cas très spécifiques. Le Comité européen de la protection des données, dont le CEPD est membre, fournira à la Commission des avis sur ce sujet.