GDPR

 

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est applicable en Allemagne comme dans l’ensemble des États membres de l’Union européenne. Pour assurer sa mise en œuvre, l’Allemagne a adapté sa loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), ainsi que les autorités de protection des données des différents Länder, veillent à la bonne application du RGPD et de ses règles nationales d’exécution.

Le cadre allemand de protection des données est donc aligné sur le RGPD, tout en intégrant certaines exigences propres au droit allemand afin d’assurer une protection élevée des données personnelles.

II. Champ d’application

Les règles allemandes relatives au RGPD s’appliquent :

À tous les responsables du traitement (Verantwortlicher) et sous-traitants (Auftragsverarbeiter) établis en Allemagne ;

Aux organisations situées en dehors de l’Allemagne qui proposent des biens ou des services à des personnes se trouvant en Allemagne ou qui surveillent leur comportement sur le territoire allemand.

Peu importe que le traitement ait lieu en Allemagne ou à l’étranger : dès lors qu’il concerne des données personnelles de personnes situées en Allemagne, la réglementation s’applique.

Elle couvre les traitements automatisés ainsi que les traitements non automatisés intégrés dans un système de fichiers. Les activités strictement personnelles ou domestiques ne sont pas concernées.

III. Principes de traitement des données

Licéité, loyauté et transparence : tout traitement doit reposer sur une base juridique valable et être expliqué de manière claire aux personnes concernées.

Limitation des finalités : les données ne peuvent être utilisées que pour des objectifs précis et légitimes, sans être détournées de leur finalité initiale.

Minimisation des données : seules les données nécessaires à l’objectif poursuivi peuvent être collectées.

Exactitude : les informations doivent être exactes, complètes et régulièrement mises à jour si nécessaire.

Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire, puis supprimées ou rendues anonymes.

Sécurité et confidentialité : des mesures techniques et organisationnelles appropriées doivent être mises en place afin d’éviter toute fuite, altération ou perte de données.

IV. Droits des personnes concernées

En vertu du RGPD et du droit allemand, chaque personne dispose notamment des droits suivants :

Droit à l’information et droit d’accès : savoir quelles données sont collectées et comment elles sont traitées, et y accéder.

Droit de rectification : faire corriger des données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : demander la suppression des données lorsque les conditions légales sont réunies.

Droit à la limitation du traitement : demander que l’utilisation des données soit restreinte dans certaines situations.

Droit à la portabilité : recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable.

Droit d’opposition : s’opposer à un traitement fondé sur l’intérêt légitime ou l’intérêt public.

Droits relatifs aux décisions automatisées : en cas de décision fondée uniquement sur un traitement automatisé, y compris le profilage, la personne concernée peut être informée, s’y opposer et demander une intervention humaine.

Pour les mineurs de moins de 16 ans, le traitement des données nécessite l’accord des parents ou du représentant légal, et les informations doivent être présentées dans un langage clair et accessible.

V. Obligations des responsables du traitement et des sous-traitants

Les sous-traitants doivent agir strictement selon les instructions écrites du responsable du traitement (Verantwortlicher).

Ils doivent mettre en place des mesures techniques et organisationnelles appropriées afin d’assurer la sécurité des données.

Ils assistent le responsable du traitement dans le respect de ses obligations légales, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit informer immédiatement le responsable, qui devra notifier l’autorité compétente, notamment le BfDI, dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et, lorsque le risque est élevé, réaliser une analyse d’impact relative à la protection des données (DPIA).

Certaines organisations sont tenues de désigner un délégué à la protection des données (DPO) et de le déclarer auprès de l’autorité compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données personnelles vers un pays hors de l’Union européenne est envisagé, il est nécessaire de garantir un niveau de protection adéquat. Cela peut se faire par :

Une décision d’adéquation de la Commission européenne ;

La signature de clauses contractuelles types de l’Union européenne (SCCs) ;

Tout autre mécanisme de transfert autorisé par le RGPD.

Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent utiliser les clauses contractuelles types mises à jour (version du 4 juin 2021) ou un autre mécanisme légal approprié pour encadrer les transferts internationaux.

VII. Contrôle et application

Les autorités allemandes de protection des données, dont le BfDI et les autorités régionales, disposent de pouvoirs étendus :

Adresser des avertissements ou imposer des mesures correctives ;

Limiter ou interdire certains traitements ;

Infliger des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Le droit allemand permet également aux personnes de donner des instructions explicites concernant l’utilisation de leurs données, y compris après leur décès. En l’absence d’instructions spécifiques, le traitement doit respecter strictement la législation en vigueur.

Le cadre allemand d’application du RGPD a pour objectif de protéger efficacement les droits liés aux données personnelles, de renforcer la conformité des organisations et de consolider la confiance dans l’environnement numérique.