L’article 45 permet le transfert de données personnelles vers un pays tiers si la Commission européenne a constaté que ce pays offre un niveau de protection “adéquat”, c’est-à-dire équivalent à celui prévu par le RGPD.
Et concrètement, ça veut dire quoi ?
Les données personnelles ne peuvent pas être envoyées n’importe où, n’importe comment. Avant d’effectuer un transfert vers un pays tiers (hors UE/EEE), l'organisme doit s’assurer que ce pays garantit une protection suffisante. Cela peut passer par une décision d’adéquation, des clauses contractuelles types, ou d'autres mécanismes encadrés. Le but : éviter que les données ne soient exposées à des risques juridiques ou de sécurité à l’étranger.