La Commission européenne a établi une liste des pays accordant une protection adéquate. Il s’agit des vingt-cinq pays de l’Union européenne, des pays membres de l’Espace Economique Européen (1), des pays ayant fait l’objet d’une reconnaissance de protection adéquate (2). En ce qui concerne les Etats-Unis, un accord au titre du Safe Harbor, a été négocié. La Cnil n’a pas à autoriser les transferts vers les pays dont la protection est jugée adéquate. Cette situation est gérée lors des formalités déclaratives. Pour les pays tiers n’ayant pas une protection suffisante, l’opération de transfert n’est possible que si elle entre dans les dérogations définies de manière restrictive à l’article 69 de la loi de 1978, à défaut de quoi, une autorisation de la Cnil est nécessaire. L’autorisation s’obtient en encadrant le flux d’échanges par une convention de flux transfrontières ou des règles internes. Enfin, il convient d’ajouter que les règles internes (codes de bonne conduite, chartes) constituent pour les groupes de sociétés une alternative à la convention de flux. Adoptées de manière unilatérale par la direction du groupe, elles évitent de conclure au-tant de contrats qu’il existe de transferts de données en son sein.