L'article 9 est ainsi rédigé :

« Art. 9. - Transfert de données vers l'étranger.

Certains transferts de données à caractère personnel peuvent être réalisés vers des pays tiers à l'Union européenne qui ne sont pas membres de l'Espace économique européen et qui n'ont pas été reconnus par une décision de la Commission européenne comme assurant un niveau de protection adéquat, dès lors que :

- le traitement garantit un niveau suffisant de protection de la vie privée ainsi que des droits et libertés fondamentaux des personnes, notamment par la mise en oeuvre des clauses contractuelles types émises par la Commission européenne dans ses décisions du 15 juin 2001 (décision n° 2001/497/CE), du 27 décembre 2001 (décision n° 2002/16/CE) ou du 27 décembre 2004 (décision n° 2004/915/CE) ou par l'adoption de règles internes d'entreprise ayant fait l'objet d'une décision favorable de la Commission nationale de l'informatique et des libertés ;

- le responsable de traitement a clairement informé les personnes de l'existence d'un transfert de données vers des pays tiers conformément aux dispositions de l'article 32 de la loi informatique et libertés et de l'article 7 de la présente norme ;

- le responsable de traitement s'engage, sur simple demande de la personne concernée, à apporter une information complète sur le ou les pays d'établissement du destinataire des données, la finalité du transfert envisagé, de la ou des catégories de destinataires des données, la nature de la protection accordée aux données transférées.

Les données à caractère personnel susceptibles de faire l'objet d'un transfert vers certains pays situés en dehors de l'Union européenne sont celles prévues à l'article 3 uniquement dans le cadre :

- de la gestion d'un fichier client ;

- de la gestion d'opérations de prospection commerciale réalisées par un sous-traitant établi dans un pays tiers. »