Transferts hors UE

Les transferts de données personnelles hors de l'Union européenne sont régis par les articles 44 à 50 du RGPD. Ils ne sont licites que si le pays destinataire offre un niveau de protection adéquat (décision d'adéquation de la Commission), à défaut moyennant des garanties appropriées (BCR, SCC) ou dérogations limitées (consentement, exécution contractuelle). L'invalidation du Privacy Shield par l'arrêt Schrems II (2020) a complexifié les transferts vers les États-Unis ; le Data Privacy Framework (juillet 2023) en constitue le nouveau cadre, contesté en justice.