GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données de l’Union européenne (RGPD) est officiellement entré en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin de mettre en œuvre le RGPD, l’Allemagne a révisé la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, abrégée BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI) ainsi que les autorités de protection des données des différents Länder sont chargés de superviser, d’orienter et d’appliquer le RGPD ainsi que les dispositions nationales allemandes qui en assurent la mise en œuvre.

Le système allemand de protection des données est entièrement conforme au RGPD, tout en intégrant certaines exigences juridiques spécifiques à l’Allemagne afin de garantir une protection complète des données personnelles.

II. Champ d’application

La réglementation allemande relative à la mise en œuvre du RGPD s’applique à :

Tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis sur le territoire allemand ;

Les organisations situées en dehors de l’Allemagne qui proposent des biens ou des services à des personnes se trouvant en Allemagne, ou qui surveillent leur comportement sur le territoire allemand.

Que le traitement des données ait lieu en Allemagne ou à l’étranger, la réglementation s’applique dès lors que des données personnelles concernant des personnes situées en Allemagne sont impliquées.

Le champ d’application couvre les traitements de données automatisés ainsi que les traitements non automatisés faisant partie d’un système de fichiers. Les activités de traitement de données à caractère purement personnel ou domestique ne sont pas concernées.

III. Principes du traitement des données

Licéité, loyauté et transparence : tout traitement de données doit reposer sur une base juridique claire et les personnes concernées doivent être informées de manière transparente des finalités et des modalités du traitement.

Limitation des finalités : les données personnelles ne peuvent être utilisées que pour des finalités déterminées et légitimes, et ne doivent pas être utilisées au-delà de ces finalités initiales.

Minimisation des données : seules les données nécessaires à la réalisation d’une finalité spécifique doivent être collectées.

Exactitude : les données doivent être exactes, complètes et tenues à jour lorsque cela est nécessaire.

Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire à la réalisation des finalités du traitement, puis supprimées ou anonymisées.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin d’éviter toute divulgation, altération ou perte de données.

IV. Droits des personnes concernées

Conformément au RGPD et à la législation allemande, les personnes disposent des droits suivants :

Droit à l’information et droit d’accès : connaître les données collectées à leur sujet et accéder aux informations relatives à leur traitement.

Droit de rectification : demander la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : demander la suppression des données personnelles lorsque les conditions légales sont remplies.

Droit à la limitation du traitement : restreindre l’utilisation ultérieure des données dans certaines situations.

Droit à la portabilité des données : recevoir leurs données dans un format structuré, couramment utilisé et lisible, et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer au traitement fondé sur un intérêt légitime ou sur l’intérêt public.

Droit relatif à la prise de décision automatisée : lorsque des décisions automatisées sont utilisées (y compris l’analyse ou la prédiction), les personnes concernées disposent du droit d’être informées, de s’y opposer et de demander une intervention humaine.

Pour les mineurs de moins de 16 ans (disposition spécifique du RGPD en Allemagne), le traitement de leurs données nécessite le consentement des parents ou du représentant légal, et les informations doivent être fournies dans un langage clair et compréhensible.

V. Obligations des responsables du traitement et des sous-traitants

Les sous-traitants doivent traiter les données uniquement sur la base d’instructions écrites du responsable du traitement.

Ils doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer la sécurité des données.

Ils doivent assister le responsable du traitement dans l’exécution de ses obligations prévues par le RGPD, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit immédiatement informer le responsable du traitement, lequel doit notifier l’incident au BfDI dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (DPIA) lorsque les opérations présentent un risque élevé.

Certaines organisations sont également tenues de désigner un délégué à la protection des données (DPO) et de le déclarer auprès de l’autorité de contrôle compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données personnelles vers un pays situé en dehors de l’Union européenne est envisagé, le responsable du traitement doit s’assurer que le pays destinataire garantit un niveau de protection adéquat. Cela peut être assuré notamment par :

Une décision d’adéquation adoptée par la Commission européenne ;

La signature de clauses contractuelles types de l’Union européenne (SCCs) ;

D’autres mécanismes de transfert autorisés par le RGPD.

Depuis l’invalidation du mécanisme « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent utiliser les clauses contractuelles types actualisées de l’Union européenne (version du 4 juin 2021) ou d’autres mécanismes juridiques autorisés pour les transferts internationaux de données.

VII. Contrôle et application

Les autorités allemandes de protection des données (le BfDI et les autorités des Länder) disposent de larges pouvoirs de contrôle et d’exécution :

Émettre des avertissements ou ordonner des mesures correctives ;

Limiter ou interdire certaines activités de traitement de données ;

Infliger des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).

En outre, la législation allemande permet aux individus de donner des instructions explicites concernant le traitement de leurs données personnelles, y compris concernant l’utilisation de ces données après leur décès. En l’absence d’instructions explicites, le traitement doit respecter les dispositions légales applicables.

Le cadre d’application du RGPD en Allemagne vise à protéger les droits des personnes en matière de données personnelles, à renforcer la conformité des entreprises et à favoriser la confiance dans l’environnement numérique.