Pour la Commission nationale de l'informatique et des libertés (Cnil), le transfert par les entreprises de données vers un pays étranger ne doit manifestement pas porter atteinte aux droits de la personne et exclure tout traitement permettant le contrôle individuel de l'activité des employés. Par deux décisions du 17 novembre 2005, la Cnil définit précisément le cadre dans lequel les transferts de données vers l'étranger pourront être autorisés. A ce titre, il convient que le traitement garantisse un niveau de protection suffisant de la vie privée et des libertés fondamentales des personnes. En outre, le responsable doit clairement informer les personnes concernées de l'existence d'un transfert de données vers l'étranger. Enfin, ledit responsable s'engage, sur simple demande des intéressés, à apporter une information complète sur le ou les pays d'établissement du destinataire des données, la finalité du transfert envisagé, la ou les catégories de destinataires des informations, ainsi que la nature de la protection accordée aux données transférées.