On parle de transfert de données lorsque des données personnelles sont transférées depuis le territoire européen vers un ou des pays situés hors de l’U.E.
 L’article 68 de la  loi du 06/01/78 interdit ces transferts sauf exceptions prévues à l’article 69, parmi lesquelles:
-si le pays destinataire des données personnelles a une législation reconnue par la Commission européenne comme offrant une protection adequate;
-si le transfert est encadré par des « clauses contractuelles types » ou par des règles d’entreprise « BCR »;
-si l’entreprise importatrice de données adhère aux principes du Safe Harbor Act.
Les flux transfrontières sont encadrées par des règles contraignantes auxquelles il est impératif de porter une attention toute particulière en tant que responsable de traitement et donc de leur sécurité.
Les données à caractère personnel peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant qui agit pour le compte et sous l’autorité du responsable de traitement.
Les flux de données vers des sous-traitants situés dans un pays ne bénéficiant pas d’une protection reconnue « adéquate », mais aussi les flux entre sous-traitants sont rigoureusement encadrés par la règlementation.