Lors de la transmission des données à l'étranger, l'IP doit garantir une protection adéquate de ces données. A cet égard, la "garantie d'une protection adéquate par la législation de l'Etat concerné ou par l'organe international" (art. 16, al. 1, nLPD/art. 8 nOLPD) signifie que les données personnelles ne peuvent être communiquées à l'étranger que si l'Etat concerné garantit une protection adéquate des données. Les Etats, territoires, secteurs spécifiques dans un Etat et organes internationaux offrant une protection adéquate des données sont énumérés à l'annexe 1 de l'OCRPD (art. 8, al. 1, nOLPD). Le caractère adéquat de la protection des données est réévalué périodiquement (art. 8, al. 4, nOLPD). Les évaluations sont publiées (art. 8, al. 5, nOLPD). Si l'évaluation selon l'art. 8, al. 4, nOLPD ou d'autres informations montrent que la protection adéquate des données n'est plus garantie, l'annexe 1 est modifiée; cela n'a aucune incidence sur les communications de données déjà effectuées (art. 8, al. 6, nOLPD).

Pour les pays tiers ne disposant pas d'un niveau de protection des données équivalent, l'IP doit procéder à des clarifications/assurances supplémentaires. Si l'Etat ne figure pas sur la liste des pays selon l'annexe 1 de la nOLPD, une protection des données appropriée doit être garantie d'une autre manière, par exemple par l'utilisation de clauses contractuelles standard (art. 9-12 nOLPD).

L'Angleterre figure à l'annexe 1 de la la nOLPD parmi les "États, territoires, secteurs spécifiques dans un État et organes internationaux assurant une protection adéquate des données" (39 Royaume-Uni**; 15 Gibraltar**; 17 Guernesey**; 19 Île de Man**; 25 Jersey***). Pour déterminer si un État, un territoire, un secteur spécifique d'un État ou une institution internationale assure une protection adéquate des données, il est tenu compte, entre autres, des obligations internationales de l'État ou de l'institution internationale, en l'occurrence le Royaume-Uni et ses autres territoires (Gibraltar, Guernesey, l'Île de Man, Jersey), notamment en matière de protection des données (art. 8, al. 2, let. a, nOLPD).

Etant donné que le Royaume-Uni n'est plus membre de l'Union européenne (UE), le Conseil fédéral se base, en ce qui concerne le niveau de protection des données du Royaume-Uni dans la la nOLPD, sur la décision d'adéquation de la Commission européenne ("Commission UE") selon l'art. 45, al. 3 RGPD du 28 juin 2021. La décision d'adéquation est assortie d'une clause de caducité qui limite sa durée de validité à quatre ans, période pendant laquelle la Commission européenne entend surveiller la situation juridique et les éventuelles divergences concernant le niveau de protection des données.

L'exception de Jersey, la protection des données du Royaume-Uni est reconnue par la Commission européenne comme équivalente au RGPD et donc adéquate. Le Conseil fédéral se base sur cette reconnaissance: La protection des données du Royaume-Uni, y compris Gibraltar, Guernesey, l'île de Man et Jersey, est reconnue comme équivalente à la loi révisée sur la protection des données et donc adéquate.