Pour le transfert de données à caractère personnel vers un Etat n'appartenant pas à l'Union européenne ou à une organisation internationale, la Commission nationale de l'informatique et des libertés peut autoriser les clauses contractuelles et les arrangements administratifs mentionnés aux a et b du 3 de l'article 46 du règlement (UE) 2016/679 du 27 avril 2016 susvisé. La commission se prononce dans un délai de deux mois à compter de la réception de la demande selon une procédure définie dans son règlement intérieur. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
La mise en œuvre du mécanisme de contrôle de la cohérence prévu à la section 2 du chapitre VII du règlement (UE) 2016/679 du 27 avril 2016 susvisé suspend les délais susmentionnés.

Lorsqu'un transfert a lieu en application du b du 3 de l'article 46 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, l'arrangement administratif fondant ce transfert est publié sur le site internet de la Commission nationale de l'informatique et des libertés.

Lorsque pour effectuer un transfert vers un Etat n'appartenant pas à l'Union européenne, le responsable du traitement ou le sous-traitant se fonde sur un code de conduite ou un mécanisme de certification approuvés conformément aux articles 72 et 74 du présent décret, il transmet à la Commission nationale de l'informatique et des libertés un engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

Lorsqu'un transfert a lieu en application du dernier alinéa du 1 de l'article 49 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, le responsable du traitement fournit à la personne concernée les informations spécifiques mentionnées à cet alinéa. La Commission nationale de l'informatique et des libertés définit des modèles relatifs à sa propre information et fixe la liste des annexes qui, le cas échéant, doivent être jointes.