Le transfert de données hors de l'Union européenne l'existence d'autorités de contrôle et des engagements internationaux pris par le pays tiers. 230. Compétence désormais exclusive de la Commission. - Principal changement par rapport à l'état du droit antérieur, cette évaluation du niveau de protection et la décision d'adéquation qui peut en découler relèvent désormais exclusivement de la Commission, contrairement au régime qui était fixé par l'article 25 de la directive 95/46 qui en confiait également le soin aux États membres. Aux termes de l'article 45, paragraphe 8, du RGPD, la Commission publie au Journal officiel de l'Union européenne et sur son site internet la liste des pays tiers pour lesquels elle a constaté qu'un niveau de protection adéquat est ou n'est plus assuré3. C'est sur la base de ce régime que le transfert de données entre l'Union européenne et les États-Unis avait été autorisé par le dispositif dit du « Safe Harbor » (A) et doit désormais l'être par celui du « Privacy Shield » (B). La question du transfert des données des passagers aériens (dites « PNR » pour Passenger Name Records) sur les vols transatlantiques s'est également posée à plusieurs reprises (C). A. Le Safe Harbor et son invalidation 1. Safe Harbor 231. Par une décision 2000/520 du 26 juillet 2000, la Commission européenne adoptait le mécanisme dit du « Safe Harbor » ou « sphère de sécurité » qui avait été négocié avec le gouvernement des États-Unis et en vertu duquel la Commission reconnaissait que les principes du Safe Harbor devaient être considérés comme assurant un niveau de protection adéquat au sens de l'ancien article 25 de la directive 95/46. Était par conséquent autorisé le transfert de données personnelles depuis l'Union européenne à destination des entreprises établies aux États-Unis qui s'étaient engagées à respecter les principes du Safe Harbor. Les entreprises étaient à cette fin incitées à s'autocertifier auprès du ministère du commerce américain comme respectant les règles du Safe Harbor. Une liste de ces entreprises était publiée. Les autorités américaines étaient compétentes pour vérifier le bon respect de ces principes, notamment sur 3. À noter que la Commission européenne a annoncé le 8 novembre 2017 qu'elle allait procéder à une analyse des 12 accords de transfert de données actuellement en vigueur : http://www.euractiv.com/section/data-protection/news/commission-conducting-review-ofall-foreign-data-transfer-deals/ 111http://www.euractiv.com/section/data-protection/news/commission-conducting-review-of