GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données de l’Union européenne (RGPD) est officiellement entré en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin de mettre en œuvre le RGPD, l’Allemagne a révisé la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, abrégée BDSG).

Le Commissaire fédéral allemand à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, abrégé BfDI), ainsi que les autorités de protection des données des différents Länder, sont chargés de superviser, d’orienter et d’assurer l’application du RGPD et des dispositions nationales allemandes qui en découlent.

Le système allemand de protection des données est entièrement aligné sur le RGPD, tout en intégrant certaines exigences juridiques propres à l’Allemagne afin de garantir une protection complète et efficace des données personnelles.

II. Champ d’application

La réglementation allemande relative à la mise en œuvre du RGPD s’applique :

à tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis sur le territoire allemand ;

aux organisations situées en dehors de l’Allemagne qui offrent des biens ou des services à des personnes se trouvant en Allemagne, ou qui surveillent leur comportement sur le territoire allemand.

Indépendamment du lieu où le traitement des données est effectué, en Allemagne ou à l’étranger, la réglementation s’applique dès lors que des données personnelles concernant des personnes situées en Allemagne sont impliquées.

Le champ d’application couvre aussi bien les traitements automatisés que les traitements non automatisés faisant partie d’un système de fichiers. Les activités de traitement de données effectuées à des fins strictement personnelles ou domestiques ne relèvent pas de ce champ d’application.

III. Principes du traitement des données

Licéité, loyauté et transparence : tout traitement de données doit reposer sur une base juridique claire et les personnes concernées doivent être informées de manière transparente de la finalité et des modalités du traitement.

Limitation des finalités : les données personnelles ne peuvent être utilisées que pour des objectifs précis et légitimes et ne doivent pas être traitées d’une manière incompatible avec ces finalités initiales.

Minimisation des données : seules les données strictement nécessaires à la réalisation de l’objectif déterminé peuvent être collectées.

Exactitude : les données doivent être exactes, complètes et mises à jour lorsque cela est nécessaire.

Limitation de la durée de conservation : les données ne doivent être conservées que pendant la durée nécessaire à la réalisation de l’objectif du traitement, puis doivent être supprimées ou anonymisées.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de prévenir toute fuite, altération ou perte de données.

IV. Droits des personnes concernées

Conformément au RGPD et à la législation allemande, les personnes concernées disposent des droits suivants :

Droit à l’information et droit d’accès : connaître et accéder aux données collectées les concernant ainsi qu’aux modalités de leur traitement.

Droit de rectification : demander la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : demander la suppression de leurs données personnelles lorsque les conditions légales sont réunies.

Droit à la limitation du traitement : restreindre l’utilisation ultérieure des données dans certaines situations.

Droit à la portabilité des données : recevoir les données dans un format structuré, couramment utilisé et lisible, et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer au traitement fondé sur un intérêt légitime ou une mission d’intérêt public.

Droit relatif à la prise de décision automatisée : lorsqu’une décision automatisée est utilisée (y compris l’analyse ou la prévision), les personnes concernées ont le droit d’être informées, de s’y opposer et de demander une intervention humaine.

Pour les mineurs âgés de moins de 16 ans (disposition spécifique du RGPD en Allemagne), le traitement de leurs données nécessite le consentement des parents ou du tuteur légal, et les informations doivent être fournies dans un langage clair et compréhensible.

V. Obligations des responsables et des sous-traitants

Le traitement des données doit être effectué strictement conformément aux instructions écrites du responsable du traitement (Verantwortlicher).

Des mesures techniques et organisationnelles appropriées doivent être mises en place afin de garantir la sécurité des données.

Les sous-traitants doivent assister le responsable du traitement dans le respect de ses obligations légales au titre du RGPD, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit informer immédiatement le responsable du traitement, lequel devra notifier l’incident au BfDI dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (DPIA) lorsque le traitement présente un risque élevé.

Certaines organisations doivent désigner un délégué à la protection des données (DPO) et l’enregistrer auprès de l’autorité de contrôle compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données personnelles vers des pays situés en dehors de l’Union européenne est envisagé, le responsable du traitement doit s’assurer que le pays destinataire garantit un niveau de protection des données adéquat. Cela peut être assuré par :

une décision d’adéquation adoptée par la Commission européenne ;

la signature des clauses contractuelles types de l’Union européenne (SCCs) ;

ou d’autres mécanismes de transfert autorisés par le RGPD.

Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent utiliser les clauses contractuelles types de l’Union européenne mises à jour (version du 4 juin 2021) ou recourir à d’autres mécanismes de transfert légaux.

VII. Supervision et application

Les autorités allemandes de protection des données (le BfDI et les autorités des Länder, DSB) disposent de pouvoirs étendus de supervision et d’application :

émettre des avertissements ou ordonner des mesures correctives ;

restreindre ou interdire certaines activités de traitement de données ;

infliger des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

En outre, la législation allemande permet aux individus de donner des instructions explicites concernant le traitement de leurs données, y compris des dispositions relatives à l’utilisation de ces données après leur décès. En l’absence d’instructions explicites, le traitement des données doit se conformer aux exigences légales applicables.

Le cadre allemand de mise en œuvre du RGPD vise à protéger les droits liés aux données personnelles, à renforcer la conformité des organisations et à favoriser l’établissement d’un climat de confiance dans l’environnement numérique.