1 Les États, les territoires, les secteurs déterminés dans un État, et les organismes internationaux avec un niveau de protection adéquat sont mentionnés à l’annexe 1.
2 Pour évaluer si un État, un territoire, un secteur déterminé dans un État, ou un organisme international garantit un niveau de protection adéquat, les critères suivants sont en particulier pris en compte:
- les engagements internationaux de l’État ou de l’organisme international, notamment en matière de protection des données;
- l’état de droit et le respect des droits de l’homme;
- la législation applicable, notamment en matière de protection des données, de même que sa mise en œuvre et la jurisprudence y relative;
- la garantie effective des droits des personnes concernées et des voies de droit;
- le fonctionnement effectif d’une ou de plusieurs autorités indépendantes chargées de la protection des données dans l’État concerné, ou auxquelles un organisme international est soumis, et disposant de pouvoirs et de compétences suffisants.
3 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est consulté lors de chaque évaluation. Les appréciations effectuées par des organismes internationaux ou des autorités étrangères chargées de la protection des données peuvent être prises en compte.
4 L’adéquation du niveau de protection est réévaluée périodiquement.
5 Les évaluations doivent être publiées.
6 Lorsque l’évaluation visée à l’al. 4 ou que d’autres informations indiquent que le niveau de protection adéquat n’est plus garanti, l’annexe 1 est modifiée sans effet sur les communications de données déjà effectuées.