Le responsable de traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un Etat n'appartenant pas à l'Union européenne que lorsque les conditions suivantes sont respectées :

1° Le transfert de ces données est nécessaire à l'une des finalités énoncées au premier alinéa de l'article 87 ;

2° Les données à caractère personnel sont transférées à un responsable établi dans cet Etat n'appartenant pas à l'Union européenne ou au sein d'une organisation internationale qui est une autorité compétente chargée des fins relevant en France du premier alinéa de l'article 87 ;

3° Si les données à caractère personnel proviennent d'un autre Etat, l'Etat qui a transmis ces données a préalablement autorisé ce transfert conformément à son droit national.

Toutefois, si l'autorisation préalable ne peut pas être obtenue en temps utile, ces données à caractère personnel peuvent être transmises à nouveau sans l'autorisation préalable de l'Etat qui a transmis ces données lorsque cette nouvelle transmission est nécessaire à la prévention d'une menace grave et immédiate pour la sécurité publique d'un autre Etat ou pour la sauvegarde des intérêts essentiels de la France. L'autorité dont provenaient ces données personnelles en est informée sans retard ;

4° La Commission européenne a adopté une décision d'adéquation en application de l'article 36 de la directive (UE) 2016/680 du 27 avril 2016 ou, en l'absence d'une telle décision, un instrument juridiquement contraignant fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en l'absence d'une telle décision et d'un tel instrument, le responsable de traitement a évalué toutes les circonstances du transfert et estime qu'il existe de telles garanties appropriées.

Les garanties appropriées fournies par un instrument juridique contraignant mentionnées au 4° peuvent résulter soit des garanties relatives à la protection des données mentionnées dans les conventions mises en œuvre avec cet Etat n'appartenant pas à l'Union européenne, soit de dispositions juridiquement contraignantes exigées à l'occasion de l'échange de données.

Lorsque le responsable de traitement autre qu'une juridiction effectuant une activité de traitement dans le cadre de ses activités juridictionnelles transfère des données à caractère personnel sur le seul fondement de l'existence de garanties appropriées au regard de la protection des données à caractère personnel, il avise la Commission nationale de l'informatique et des libertés des catégories de transferts relevant de ce fondement.

Dans ce cas, le responsable de traitement doit garder trace de la date et de l'heure du transfert, des informations sur l'autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Ces informations sont mises à la disposition de la Commission nationale de l'informatique et des libertés à sa demande.

Lorsque la Commission européenne a abrogé, modifié ou suspendu une décision d'adéquation adoptée en application de l'article 36 de la directive (UE) 2016/680 du 27 avril 2016, le responsable de traitement peut néanmoins transférer des données à caractère personnel ou autoriser le transfert de données déjà transmises vers un Etat n'appartenant pas à l'Union européenne si des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ou si ce responsable estime, après avoir évalué toutes les circonstances du transfert, qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel.

Par dérogation à l'article 112, le responsable de traitement de données à caractère personnel ne peut, en l'absence de décision d'adéquation ou de garanties appropriées, transférer ces données ou autoriser le transfert de données déjà transmises vers un Etat n'appartenant pas à l'Union européenne que lorsque le transfert est nécessaire :

1° A la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne ;

2° A la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit français le prévoit ;

3° Pour prévenir une menace grave et immédiate pour la sécurité publique d'un autre Etat ;

4° Dans des cas particuliers, à l'une des finalités énoncées au premier alinéa de l'article 87 ;

5° Dans un cas particulier, à la constatation, à l'exercice ou à la défense de droits en justice en rapport avec les mêmes fins.

Dans les cas mentionnés aux 4° et 5° du présent article, le responsable de traitement de données à caractère personnel ne transfère pas ces données s'il estime que les libertés et droits fondamentaux de la personne concernée l'emportent sur l'intérêt public dans le cadre du transfert envisagé.

Lorsqu'un transfert est effectué aux fins de la sauvegarde des intérêts légitimes de la personne concernée, le responsable de traitement garde trace de la date et de l'heure du transfert, des informations sur l'autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Il met ces informations à la disposition de la Commission nationale de l'informatique et des libertés à sa demande.

Toute autorité publique compétente mentionnée au premier alinéa de l'article 87 peut, dans certains cas particuliers, transférer des données à caractère personnel directement à des destinataires établis dans un Etat n'appartenant pas à l'Union européenne lorsque les autres dispositions de la présente loi applicables aux traitements relevant du même article 87 sont respectées et que les conditions ci-après sont remplies :

1° Le transfert est nécessaire à l'exécution de la mission de l'autorité compétente qui transfère ces données pour l'une des finalités énoncées au premier alinéa dudit article 87 ;

2° L'autorité compétente qui transfère ces données établit qu'il n'existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l'intérêt public rendant nécessaire le transfert dans le cas considéré ;

3° L'autorité compétente qui transfère ces données estime que le transfert à l'autorité compétente de l'autre Etat est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ;

4° L'autorité compétente de l'autre Etat est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié ;

5° L'autorité compétente qui transfère ces données informe le destinataire de la finalité ou des finalités pour lesquelles les données à caractère personnel transmises doivent exclusivement faire l'objet d'un traitement par ce destinataire, à condition qu'un tel traitement soit nécessaire.

L'autorité compétente qui transfère des données informe la Commission nationale de l'informatique et des libertés des transferts répondant aux conditions prévues au présent article.

L'autorité compétente garde trace de la date et de l'heure de ce transfert, des informations sur le destinataire, de la justification du transfert et des données à caractère personnel transférées.