GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne est officiellement entré en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin de mettre en œuvre le RGPD, l’Allemagne a révisé la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, abrégée BDSG).

Le Délégué fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, abrégé BfDI), ainsi que les autorités de protection des données des différents Länder, sont chargés de la supervision, de l’orientation et de l’exécution du RGPD ainsi que de ses dispositions nationales d’application en Allemagne.

Le système allemand de protection des données est pleinement conforme au RGPD, tout en intégrant des exigences juridiques spécifiques au droit allemand, afin de garantir une protection complète et effective des données à caractère personnel.

II. Champ d’application

Les dispositions allemandes d’application du RGPD s’appliquent :

À tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis sur le territoire allemand ;

Aux organismes situés en dehors de l’Allemagne qui proposent des biens ou des services à des personnes se trouvant en Allemagne, ou qui surveillent leur comportement sur le territoire allemand.

Indépendamment du fait que le traitement des données ait lieu en Allemagne ou à l’étranger, la réglementation s’applique dès lors que des données à caractère personnel concernant des personnes situées en Allemagne sont concernées.

Le champ d’application couvre tant les traitements automatisés que les traitements non automatisés faisant partie d’un système de fichiers. Les activités de traitement effectuées à des fins strictement personnelles ou domestiques sont exclues du champ d’application.

III. Principes du traitement des données

Licéité, loyauté et transparence : tout traitement de données doit reposer sur une base juridique claire et les personnes concernées doivent être informées de manière transparente des finalités et des modalités du traitement.

Limitation des finalités : les données à caractère personnel ne peuvent être traitées que pour des finalités déterminées, explicites et légitimes, et ne doivent pas être utilisées au-delà de ces finalités initiales.

Minimisation des données : seules les données strictement nécessaires à la réalisation des finalités spécifiques doivent être collectées.

Exactitude : les données doivent être exactes, complètes et, si nécessaire, tenues à jour.

Limitation de la conservation : les données ne peuvent être conservées que pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ; à l’issue de cette période, elles doivent être supprimées ou rendues anonymes.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de prévenir toute violation, altération ou perte des données.

IV. Droits des personnes concernées

Conformément au RGPD et au droit allemand, les personnes concernées disposent des droits suivants :

Droit à l’information et droit d’accès : le droit d’être informé de la collecte et du traitement de leurs données et d’y accéder.

Droit de rectification : le droit d’obtenir la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : le droit de demander la suppression des données à caractère personnel lorsque les conditions légales sont remplies.

Droit à la limitation du traitement : le droit d’exiger la limitation de l’utilisation des données dans certaines situations spécifiques.

Droit à la portabilité des données : le droit de recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement.

Droit d’opposition : le droit de s’opposer au traitement fondé sur l’intérêt légitime ou l’intérêt public.

Droits relatifs aux décisions automatisées : en cas de décision fondée exclusivement sur un traitement automatisé, y compris le profilage, la personne concernée a le droit d’être informée, de s’y opposer et d’obtenir une intervention humaine.

Pour les mineurs âgés de moins de 16 ans (disposition spécifique allemande relative au RGPD), le traitement de leurs données requiert le consentement des parents ou du représentant légal, et les informations doivent être fournies dans un langage clair et compréhensible.

V. Obligations des sous-traitants et des responsables du traitement

Les sous-traitants doivent traiter les données strictement conformément aux instructions écrites du responsable du traitement (Verantwortlicher).

Ils sont tenus de mettre en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer la sécurité des données.

Ils doivent assister le responsable du traitement dans l’accomplissement de ses obligations légales au titre du RGPD, notamment en répondant aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit informer immédiatement le responsable du traitement, lequel est tenu de notifier l’autorité compétente, notamment le BfDI, dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et, lorsque le traitement présente un risque élevé, procéder à une analyse d’impact relative à la protection des données (AIPD ou DPIA).

Certaines organisations sont tenues de désigner un délégué à la protection des données (DPO) et de le déclarer auprès de l’autorité de contrôle compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données à caractère personnel vers un pays situé en dehors de l’Union européenne est envisagé, le responsable du traitement doit s’assurer que le pays destinataire offre un niveau de protection adéquat des données. Cette exigence peut être satisfaite notamment par :

Une décision d’adéquation adoptée par la Commission européenne (Adequacy Decision) ;

La conclusion des clauses contractuelles types de l’Union européenne (SCCs) ;

Ou tout autre mécanisme de transfert licite autorisé par le RGPD.

Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent recourir aux clauses contractuelles types actualisées de l’Union européenne (version du 4 juin 2021) ou à tout autre mécanisme légalement reconnu pour encadrer les transferts internationaux de données.

VII. Contrôle et exécution

Les autorités allemandes de protection des données (BfDI et autorités des Länder) disposent de larges pouvoirs de contrôle et de sanction :

Émettre des avertissements ou ordonner des mesures correctrices ;

Limiter ou interdire certaines activités de traitement ;

Infliger des amendes administratives élevées pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

En outre, le droit allemand permet aux personnes de formuler des instructions explicites concernant le traitement de leurs données, y compris des dispositions relatives à l’utilisation de celles-ci après leur décès. En l’absence d’instructions spécifiques, le traitement des données doit être effectué conformément aux exigences légales en vigueur.

Le cadre d’exécution du RGPD en Allemagne vise à garantir la protection effective des droits relatifs aux données à caractère personnel, à renforcer la conformité des entreprises et à favoriser l’instauration d’une confiance durable dans l’environnement numérique.