L’article 44 pose le principe fondamental : un transfert de données personnelles hors de l’Union européenne ne peut avoir lieu que si un niveau de protection équivalent à celui garanti par le RGPD est assuré.
Et concrètement, ça veut dire quoi ?
Les données personnelles ne peuvent pas être envoyées n’importe où, n’importe comment. Avant d’effectuer un transfert vers un pays tiers (hors UE/EEE), l'organisme doit s’assurer que ce pays garantit une protection suffisante. Cela peut passer par une décision d’adéquation, des clauses contractuelles types, ou d'autres mécanismes encadrés. Le but : éviter que les données ne soient exposées à des risques juridiques ou de sécurité à l’étranger.