GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne est officiellement entré en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin de mettre en œuvre le RGPD, l’Allemagne a révisé la loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG).

Le Commissaire fédéral allemand à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), ainsi que les autorités de protection des données des différents Länder, sont chargés de la supervision, de l’orientation et de l’application du RGPD et de ses dispositions nationales d’exécution en Allemagne.

Le système allemand de protection des données est pleinement conforme au RGPD, tout en intégrant des exigences juridiques spécifiques au droit allemand afin de garantir une protection complète des données à caractère personnel.

II. Champ d’application

La réglementation allemande mettant en œuvre le RGPD s’applique :

À tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis sur le territoire allemand ;

Aux entités établies en dehors de l’Allemagne qui offrent des biens ou des services à des personnes situées en Allemagne, ou qui surveillent leur comportement sur le territoire allemand.

Que le traitement des données ait lieu en Allemagne ou à l’étranger, dès lors qu’il concerne des données à caractère personnel de personnes situées en Allemagne, la réglementation s’applique.

Le champ d’application couvre les traitements automatisés ainsi que les traitements non automatisés faisant partie d’un système de fichiers. Les activités de traitement effectuées à des fins exclusivement personnelles ou domestiques ne sont pas concernées.

III. Principes relatifs au traitement des données

Licéité, loyauté et transparence : tout traitement de données doit reposer sur une base juridique claire et les finalités ainsi que les modalités du traitement doivent être communiquées de manière transparente aux personnes concernées.

Limitation des finalités : les données à caractère personnel ne peuvent être utilisées que pour des finalités déterminées et légitimes, sans être détournées de leur objectif initial.

Minimisation des données : seules les données strictement nécessaires à la réalisation des finalités déterminées peuvent être collectées.

Exactitude : les données doivent être exactes, complètes et, le cas échéant, mises à jour en temps utile.

Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire à la réalisation des finalités poursuivies, puis être supprimées ou anonymisées.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de prévenir toute violation, altération ou perte de données.

IV. Droits des personnes concernées

Conformément au RGPD et au droit allemand, les personnes disposent des droits suivants :

Droit à l’information et droit d’accès : obtenir des informations sur les données collectées les concernant et accéder aux modalités de leur traitement.

Droit de rectification : demander la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : demander la suppression des données à caractère personnel lorsque les conditions légales sont réunies.

Droit à la limitation du traitement : obtenir la restriction du traitement dans certaines situations spécifiques.

Droit à la portabilité des données : recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer à un traitement fondé sur l’intérêt légitime ou l’intérêt public.

Droit relatif aux décisions automatisées : lorsqu’un traitement implique une prise de décision automatisée, y compris le profilage et la prédiction, la personne concernée dispose du droit à l’information, à l’opposition et à l’intervention humaine.

Pour les mineurs de moins de 16 ans (disposition spécifique au RGPD en Allemagne), le traitement des données nécessite le consentement des parents ou du représentant légal, et les informations doivent être fournies dans un langage clair et compréhensible.

V. Obligations des sous-traitants et des responsables du traitement

Les sous-traitants doivent traiter les données exclusivement conformément aux instructions écrites du responsable du traitement (Verantwortlicher).

Ils doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données.

Ils sont tenus d’assister le responsable du traitement dans le respect de ses obligations légales au titre du RGPD, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit en informer immédiatement le responsable du traitement, lequel doit notifier l’autorité compétente, notamment le BfDI, dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser, en cas de traitement à haut risque, une analyse d’impact relative à la protection des données (DPIA).

Certaines organisations sont tenues de désigner un délégué à la protection des données (DPO) et de l’enregistrer auprès de l’autorité de contrôle compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données à caractère personnel vers un pays situé en dehors de l’Union européenne est envisagé, le responsable du traitement doit s’assurer que le pays destinataire offre un niveau de protection adéquat. Cela peut être garanti par :

Une décision d’adéquation adoptée par la Commission européenne ;

La conclusion de clauses contractuelles types de l’Union européenne (SCCs) ;

Tout autre mécanisme de transfert légal autorisé par le RGPD.

Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent recourir aux clauses contractuelles types mises à jour (version du 4 juin 2021) ou à tout autre mécanisme légal approprié pour les transferts de données.

VII. Contrôle et application

Les autorités allemandes de protection des données (BfDI et autorités des Länder) disposent de larges pouvoirs de contrôle et d’exécution :

Émettre des avertissements ou ordonner des mesures correctives ;

Restreindre ou interdire certaines activités de traitement ;

Imposer des amendes administratives élevées pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

En outre, le droit allemand permet aux personnes de formuler des instructions explicites concernant le traitement de leurs données, y compris des dispositions relatives à l’utilisation de leurs données après leur décès. À défaut d’instructions claires, le traitement doit être conforme aux exigences légales applicables.

Le cadre d’application du RGPD en Allemagne vise à protéger les droits fondamentaux relatifs aux données à caractère personnel, à renforcer la conformité des entreprises et à favoriser l’établissement d’un climat de confiance numérique.