GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données de l’Union européenne (RGPD) est entré officiellement en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin de mettre en œuvre le RGPD, l’Allemagne a révisé la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, abrégé BDSG).

Le Commissaire fédéral allemand à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), ainsi que les autorités de protection des données des différents Länder, sont responsables de la supervision, de l’orientation et de l’application du RGPD et de ses dispositions d’exécution au niveau national.

Le système allemand de protection des données est entièrement aligné sur le RGPD, tout en intégrant certaines exigences juridiques spécifiques à l’Allemagne afin de garantir une protection complète des données personnelles.

II. Champ d’application

Les dispositions allemandes relatives à l’application du RGPD s’appliquent :

À tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis sur le territoire allemand ;

Aux organisations situées hors d’Allemagne qui proposent des biens ou des services à des personnes se trouvant en Allemagne ou qui surveillent leur comportement sur le territoire allemand.

Que le traitement des données ait lieu en Allemagne ou à l’étranger, ces règles s’appliquent dès lors que des données personnelles concernant des personnes situées en Allemagne sont impliquées.

Le champ d’application couvre à la fois les traitements automatisés de données et les traitements non automatisés faisant partie d’un système de fichiers. Les activités de traitement réalisées à des fins strictement personnelles ou domestiques ne sont pas concernées.

III. Principes du traitement des données

Légalité, équité et transparence : tout traitement de données doit reposer sur une base juridique claire et les personnes concernées doivent être informées de manière transparente de la finalité et des modalités du traitement.

Limitation des finalités : les données personnelles ne peuvent être utilisées que pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.

Minimisation des données : seules les données strictement nécessaires à la réalisation de l’objectif poursuivi doivent être collectées.

Exactitude : les données doivent être exactes, complètes et mises à jour lorsque cela est nécessaire.

Limitation de la conservation : les données ne peuvent être conservées que pendant la durée nécessaire à la réalisation de l’objectif du traitement, après quoi elles doivent être supprimées ou anonymisées.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en place des mesures techniques et organisationnelles appropriées afin d’éviter toute perte, divulgation, altération ou accès non autorisé aux données.

IV. Droits des personnes concernées

Conformément au RGPD et à la législation allemande, les individus disposent des droits suivants :

Droit à l’information et droit d’accès : connaître et consulter les données personnelles collectées ainsi que les modalités de leur traitement.

Droit de rectification : demander la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : demander la suppression des données personnelles lorsque les conditions légales sont remplies.

Droit à la limitation du traitement : restreindre l’utilisation ultérieure des données dans certaines situations.

Droit à la portabilité des données : recevoir les données dans un format structuré, couramment utilisé et lisible, et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer au traitement fondé sur l’intérêt légitime ou l’intérêt public.

Droits liés à la prise de décision automatisée : être informé, s’opposer et demander une intervention humaine lorsqu’une décision est fondée exclusivement sur un traitement automatisé, y compris le profilage.

Pour les mineurs de moins de 16 ans (disposition spécifique au RGPD appliquée en Allemagne), le traitement de leurs données nécessite le consentement des parents ou du représentant légal, et les informations doivent être présentées dans un langage compréhensible.

V. Obligations des sous-traitants

Les sous-traitants doivent traiter les données uniquement conformément aux instructions écrites du responsable du traitement.

Ils doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données.

Ils doivent assister le responsable du traitement dans l’exécution de ses obligations légales, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données personnelles, le sous-traitant doit immédiatement en informer le responsable du traitement, afin que celui-ci puisse notifier l’autorité compétente (BfDI) dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (DPIA) lorsque le traitement présente un risque élevé.

Certaines organisations doivent également désigner un délégué à la protection des données (DPO) et l’enregistrer auprès de l’autorité de contrôle compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données personnelles est effectué vers un pays situé en dehors de l’Union européenne, le responsable du traitement doit s’assurer que le pays destinataire offre un niveau de protection adéquat.

Cela peut être assuré notamment par :

Une décision d’adéquation de la Commission européenne ;

La signature des clauses contractuelles types de l’Union européenne (SCCs) ;

Ou d’autres mécanismes de transfert autorisés par le RGPD.

Depuis l’invalidation du mécanisme « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent utiliser les nouvelles clauses contractuelles types de l’UE (version du 4 juin 2021) ou d’autres bases juridiques appropriées pour les transferts internationaux de données.

VII. Supervision et application

Les autorités allemandes de protection des données (le BfDI et les autorités régionales des Länder) disposent de larges pouvoirs de contrôle et d’exécution.

Elles peuvent notamment :

Émettre des avertissements ou ordonner des mesures correctives ;

Limiter ou interdire certaines activités de traitement ;

Imposer des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel (le montant le plus élevé étant retenu).

En outre, la législation allemande permet aux individus de donner des instructions concernant le traitement de leurs données personnelles, y compris après leur décès. En l’absence d’instructions explicites, le traitement des données doit respecter les dispositions légales applicables.

Le cadre d’application du RGPD en Allemagne vise à garantir la protection des droits liés aux données personnelles, à renforcer la conformité des entreprises et à favoriser l’établissement d’un climat de confiance dans l’économie numérique.