GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne est pleinement applicable en Allemagne ainsi que dans l’ensemble des États membres de l’Union européenne. Afin d’assurer la mise en œuvre de ce règlement, l’Allemagne a procédé à la révision de la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, ou BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), ainsi que les autorités de protection des données des différents Länder allemands, sont responsables de la supervision, de l’orientation et de l’application du RGPD ainsi que des dispositions nationales allemandes adoptées pour son exécution.

Le système allemand de protection des données s’aligne entièrement sur le RGPD, tout en intégrant certaines exigences juridiques propres au droit allemand afin de garantir un niveau élevé de protection des données personnelles.

II. Champ d’application

La mise en œuvre allemande du RGPD s’applique :

à tous les responsables du traitement (Verantwortlicher) et sous-traitants (Auftragsverarbeiter) établis sur le territoire de l’Allemagne ;

aux organisations situées en dehors de l’Allemagne qui proposent des biens ou des services à des personnes se trouvant en Allemagne ou qui surveillent leur comportement sur le territoire allemand.

Que les opérations de traitement de données aient lieu en Allemagne ou en dehors de celle-ci, la réglementation s’applique dès lors que des données personnelles concernant des personnes situées en Allemagne sont impliquées.

Le champ d’application comprend le traitement automatisé des données ainsi que le traitement non automatisé lorsqu’il s’inscrit dans un système de classement structuré. Les activités de traitement réalisées à des fins strictement personnelles ou domestiques sont exclues de ce champ d’application.

III. Principes du traitement des données

Licéité, loyauté et transparence : tout traitement de données doit reposer sur une base légale clairement définie et les personnes concernées doivent être informées de manière transparente de la finalité et des modalités du traitement.

Limitation de la finalité : les données personnelles ne peuvent être utilisées que pour des objectifs précis et légitimes et ne doivent pas être utilisées au-delà de leur objectif initial.

Minimisation des données : seules les données nécessaires à la réalisation de l’objectif spécifique poursuivi peuvent être collectées.

Exactitude : les données doivent rester exactes, complètes et être mises à jour lorsque cela est nécessaire.

Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées, après quoi elles doivent être supprimées ou rendues anonymes.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en place des mesures techniques et organisationnelles appropriées afin d’éviter toute fuite, altération ou perte de données.

IV. Droits des personnes concernées

Selon le RGPD et la législation allemande, les individus disposent des droits suivants :

Droit à l’information et droit d’accès : obtenir des informations sur les données collectées et accéder aux données les concernant ainsi qu’aux modalités de leur traitement.

Droit de rectification : demander la correction de toute donnée personnelle inexacte ou incomplète.

Droit à l’effacement (droit à l’oubli) : demander la suppression de données personnelles lorsque les conditions légales applicables sont réunies.

Droit à la limitation du traitement : demander la restriction de l’utilisation des données dans certaines circonstances spécifiques.

Droit à la portabilité des données : recevoir les données personnelles dans un format structuré, couramment utilisé et lisible, et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer à un traitement de données fondé sur l’intérêt légitime ou l’intérêt public.

Droits relatifs aux décisions automatisées : lorsqu’un traitement implique des décisions automatisées, y compris des analyses ou des prévisions, les personnes concernées disposent du droit d’être informées, de s’y opposer et de demander une intervention humaine.

Pour les mineurs de moins de 16 ans, conformément aux dispositions spécifiques appliquées en Allemagne dans le cadre du RGPD, le traitement de leurs données personnelles nécessite le consentement des parents ou du représentant légal, et les informations doivent être présentées dans un langage simple et compréhensible.

V. Obligations des sous-traitants

Les sous-traitants doivent traiter les données uniquement conformément aux instructions écrites du responsable du traitement (Verantwortlicher).

Ils doivent mettre en place des mesures techniques et organisationnelles appropriées afin d’assurer la protection et la sécurité des données.

Ils doivent également assister le responsable du traitement dans l’accomplissement de ses obligations prévues par le RGPD, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données personnelles, le sous-traitant doit en informer immédiatement le responsable du traitement, qui devra ensuite notifier l’autorité de contrôle compétente (BfDI) dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et effectuer une analyse d’impact relative à la protection des données (DPIA) lorsque les opérations de traitement présentent un risque élevé.

Certaines organisations sont également tenues de désigner un délégué à la protection des données (DPO) et d’enregistrer cette désignation auprès de l’autorité de contrôle compétente.

VI. Transfert international de données

Lorsqu’un transfert de données personnelles est effectué vers un pays situé en dehors de l’Union européenne, le responsable du traitement doit s’assurer que le pays destinataire garantit un niveau de protection adéquat. Cela peut être réalisé notamment par :

une décision d’adéquation adoptée par la Commission européenne ;

la conclusion de clauses contractuelles types de l’Union européenne (SCC) ;

ou d’autres mécanismes de transfert autorisés par le RGPD.

Depuis l’invalidation du mécanisme « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent recourir aux nouvelles clauses contractuelles types de l’Union européenne adoptées le 4 juin 2021 ou à d’autres mécanismes juridiques autorisés pour les transferts internationaux de données.

VII. Supervision et application

Les autorités allemandes de protection des données, notamment le BfDI et les autorités de protection des données des Länder, disposent de pouvoirs étendus de contrôle et d’exécution :

elles peuvent émettre des avertissements ou ordonner des mesures correctives ;

restreindre ou interdire certaines activités de traitement de données ;

imposer des sanctions financières importantes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

Par ailleurs, le droit allemand permet aux individus de formuler des instructions explicites concernant le traitement de leurs données personnelles, y compris des directives relatives à l’utilisation de ces données après leur décès. En l’absence d’instructions précises, le traitement des données doit être effectué conformément aux dispositions légales applicables.

Le cadre d’application du RGPD en Allemagne vise à protéger les droits liés aux données personnelles, à renforcer la conformité des entreprises et à favoriser l’instauration d’un climat de confiance dans l’économie numérique.