GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne est entré officiellement en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin d’assurer sa mise en œuvre, l’Allemagne a révisé la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), ainsi que les autorités de protection des données des Länder, sont chargés du contrôle, de l’orientation et de l’application du RGPD et de ses dispositions nationales d’exécution en Allemagne.

Le système allemand de protection des données est pleinement conforme au RGPD, tout en intégrant des exigences juridiques spécifiques au droit allemand afin de garantir une protection complète des données à caractère personnel.

II. Champ d’application

Les dispositions allemandes d’application du RGPD s’appliquent :

À tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis en Allemagne ;

Aux entités situées en dehors de l’Allemagne qui offrent des biens ou services à des personnes se trouvant en Allemagne, ou qui surveillent leur comportement sur le territoire allemand.

Indépendamment du lieu où le traitement des données est effectué, dès lors qu’il concerne des données à caractère personnel de personnes situées en Allemagne, la réglementation s’applique.

Le champ d’application couvre le traitement automatisé des données ainsi que le traitement non automatisé faisant partie d’un système de fichiers. Les activités de traitement effectuées à des fins exclusivement personnelles ou domestiques sont exclues.

III. Principes relatifs au traitement des données

Licéité, loyauté et transparence : tout traitement doit reposer sur une base légale claire et les personnes concernées doivent être informées de manière transparente des finalités et modalités du traitement.

Limitation des finalités : les données personnelles ne peuvent être utilisées que pour des finalités déterminées, explicites et légitimes, sans détournement ultérieur.

Minimisation des données : seules les données strictement nécessaires à la réalisation de la finalité poursuivie peuvent être collectées.

Exactitude : les données doivent être exactes, complètes et, le cas échéant, mises à jour.

Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire à la réalisation de la finalité, puis supprimées ou anonymisées.

Intégrité et confidentialité : les responsables et sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin d’éviter toute violation, altération ou perte des données.

IV. Droits des personnes concernées

Conformément au RGPD et au droit allemand, toute personne dispose des droits suivants :

Droit à l’information et d’accès : obtenir des informations sur les données collectées et les modalités de leur traitement, ainsi qu’y accéder.

Droit de rectification : demander la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : exiger la suppression des données lorsque les conditions légales sont remplies.

Droit à la limitation du traitement : restreindre l’utilisation des données dans certaines circonstances.

Droit à la portabilité : recevoir les données dans un format structuré, couramment utilisé et lisible, et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer au traitement fondé sur l’intérêt légitime ou l’intérêt public.

Droit relatif à la prise de décision automatisée : être informé, s’opposer et demander une intervention humaine en cas de décisions automatisées, y compris le profilage.

Pour les mineurs de moins de 16 ans (disposition spécifique allemande), le traitement de leurs données nécessite le consentement des parents ou du tuteur légal, et les informations doivent être fournies dans un langage clair et compréhensible.

V. Obligations des sous-traitants et responsables

Les sous-traitants doivent traiter les données strictement selon les instructions écrites du responsable.

Ils doivent mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données.

Ils doivent assister le responsable dans l’exécution de ses obligations légales, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit informer immédiatement le responsable, lequel est tenu de notifier le BfDI dans un délai de 72 heures.

Le responsable doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (DPIA) lorsque le traitement présente un risque élevé.

Certaines organisations sont tenues de désigner un délégué à la protection des données (DPO) et d’en informer l’autorité de contrôle compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données personnelles vers un pays tiers en dehors de l’Union européenne est envisagé, le responsable doit garantir un niveau de protection adéquat, notamment par :

Une décision d’adéquation de la Commission européenne ;

La signature de clauses contractuelles types (SCCs) de l’Union européenne ;

Ou tout autre mécanisme légal autorisé par le RGPD.

Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent recourir aux clauses contractuelles types mises à jour (version du 4 juin 2021) ou à d’autres mécanismes juridiques appropriés.

VII. Supervision et application

Les autorités allemandes de protection des données (BfDI et autorités des Länder) disposent de larges pouvoirs de contrôle et de sanction :

Émettre des avertissements ou ordonner des mesures correctives ;

Limiter ou interdire des activités de traitement ;

Infliger des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).

Le droit allemand permet également aux personnes de donner des instructions explicites concernant le traitement de leurs données, y compris après leur décès. En l’absence d’instructions spécifiques, le traitement doit respecter les exigences légales.

Le cadre d’application allemand du RGPD vise à protéger les droits des personnes, à renforcer la conformité des entreprises et à promouvoir la confiance dans l’environnement numérique.