GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne est officiellement entré en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin de mettre en œuvre le RGPD, l’Allemagne a révisé la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, abrégé BDSG).

Le Commissaire fédéral allemand à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, abrégé BfDI), ainsi que les autorités de protection des données des différents Länder, sont chargés de superviser, de guider et d’appliquer le RGPD ainsi que les dispositions nationales allemandes qui en assurent la mise en œuvre.

Le système allemand de protection des données est pleinement conforme au RGPD, tout en intégrant certaines exigences juridiques spécifiques à l’Allemagne afin de garantir une protection complète des données personnelles.

II. Champ d’application

La réglementation allemande mettant en œuvre le RGPD s’applique :

à tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis sur le territoire allemand ;

aux organisations situées en dehors de l’Allemagne qui offrent des biens ou des services à des personnes se trouvant en Allemagne, ou qui surveillent leur comportement sur le territoire allemand.

Que le traitement des données ait lieu en Allemagne ou à l’étranger, dès lors qu’il concerne des données personnelles de personnes situées en Allemagne, ces dispositions s’appliquent.

Le champ d’application couvre aussi bien le traitement automatisé des données que le traitement non automatisé lorsqu’il fait partie d’un système de fichiers. Les activités de traitement de données réalisées à des fins purement personnelles ou domestiques ne relèvent pas de ce cadre.

III. Principes du traitement des données

Licéité, loyauté et transparence : tout traitement de données doit reposer sur une base juridique claire et les personnes concernées doivent être informées de manière transparente des finalités et des modalités du traitement.

Limitation des finalités : les données personnelles ne peuvent être utilisées que pour des objectifs déterminés et légitimes, sans être utilisées au-delà de leur finalité initiale.

Minimisation des données : seules les données strictement nécessaires à la réalisation d’un objectif spécifique peuvent être collectées.

Exactitude : les données doivent être exactes, complètes et mises à jour en temps utile.

Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées, puis doivent être supprimées ou anonymisées.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles afin de prévenir toute divulgation, altération ou perte de données.

IV. Droits des personnes concernées

Conformément au RGPD et à la législation allemande, les personnes disposent des droits suivants :

Droit à l’information et droit d’accès : connaître les données collectées à leur sujet et la manière dont elles sont traitées.

Droit de rectification : demander la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : demander la suppression des données personnelles lorsque les conditions légales sont remplies.

Droit à la limitation du traitement : limiter l’utilisation ultérieure des données dans certaines situations.

Droit à la portabilité des données : recevoir leurs données dans un format structuré, couramment utilisé et lisible, et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer au traitement fondé sur l’intérêt légitime ou l’intérêt public.

Droit relatif aux décisions automatisées : lorsqu’un traitement implique une prise de décision automatisée (y compris l’analyse ou la prédiction), les personnes disposent d’un droit à l’information, d’un droit d’opposition et du droit de demander une intervention humaine.

Pour les mineurs de moins de 16 ans (disposition spécifique du RGPD en Allemagne), le traitement de leurs données nécessite le consentement des parents ou du tuteur légal, et les informations doivent être fournies dans un langage clair et compréhensible.

V. Obligations des sous-traitants

Les sous-traitants doivent strictement respecter les instructions écrites du responsable du traitement (Verantwortlicher) lors du traitement des données.

Ils doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données.

Ils doivent également assister le responsable du traitement dans l’exécution de ses obligations légales au titre du RGPD, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit en informer immédiatement le responsable du traitement, qui devra notifier l’autorité de contrôle compétente (BfDI) dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (DPIA) lorsque le traitement présente un risque élevé.

Certaines organisations doivent également désigner un délégué à la protection des données (DPO) et l’enregistrer auprès de l’autorité de contrôle compétente.

VI. Transfert international de données

Lorsque des données personnelles sont transférées vers des pays situés en dehors de l’Union européenne, le responsable du traitement doit s’assurer que le pays destinataire garantit un niveau de protection adéquat des données. Cela peut être assuré par les moyens suivants :

une décision d’adéquation adoptée par la Commission européenne ;

la signature de clauses contractuelles types de l’Union européenne (SCC) ;

ou tout autre mécanisme de transfert autorisé par le RGPD.

Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent utiliser les nouvelles clauses contractuelles types de l’Union européenne (version du 4 juin 2021) ou d’autres mécanismes légaux de transfert de données.

VII. Supervision et application

Les autorités allemandes de protection des données (BfDI et les autorités des Länder) disposent de larges pouvoirs de contrôle et d’application :

émettre des avertissements ou ordonner des mesures correctives ;

restreindre ou interdire certaines activités de traitement de données ;

imposer des amendes importantes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel (le montant le plus élevé étant retenu).

En outre, la législation allemande permet aux individus de donner des instructions explicites concernant le traitement de leurs données, y compris des directives sur l’utilisation de leurs données après leur décès. En l’absence d’instructions claires, le traitement des données doit être effectué conformément aux dispositions légales.

Le cadre d’application du RGPD en Allemagne vise à protéger les droits liés aux données personnelles, à renforcer la conformité des entreprises et à favoriser l’établissement de la confiance dans l’environnement numérique.