GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne est officiellement entré en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin de mettre en œuvre le RGPD, l’Allemagne a révisé la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), ainsi que les autorités de protection des données des différents Länder, sont chargés de la supervision, de l’orientation et de l’application du RGPD et de ses dispositions nationales d’exécution en Allemagne.

Le système allemand de protection des données est pleinement conforme au RGPD, tout en intégrant des exigences juridiques spécifiques au droit allemand afin de garantir une protection complète des données à caractère personnel.

II. Champ d’application

Les dispositions allemandes d’application du RGPD s’appliquent :

À tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis sur le territoire allemand ;

Aux entités établies hors d’Allemagne qui offrent des biens ou des services à des personnes situées en Allemagne, ou qui surveillent leur comportement sur le territoire allemand.

Indépendamment du lieu où le traitement des données est effectué, dès lors que des données à caractère personnel de personnes situées en Allemagne sont concernées, la réglementation s’applique.

Le champ d’application couvre les traitements automatisés ainsi que les traitements non automatisés faisant partie d’un système de fichiers. Les activités de traitement réalisées à des fins exclusivement personnelles ou domestiques ne relèvent pas de ce cadre juridique.

III. Principes relatifs au traitement des données

Licéité, loyauté et transparence : tout traitement doit reposer sur une base juridique claire et les personnes concernées doivent être informées de manière précise quant aux finalités et modalités du traitement.

Limitation des finalités : les données à caractère personnel ne peuvent être utilisées que pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement d’une manière incompatible avec ces finalités.

Minimisation des données : seules les données strictement nécessaires à la réalisation des objectifs déterminés peuvent être collectées.

Exactitude : les données doivent être exactes, complètes et, si nécessaire, mises à jour en temps utile.

Limitation de la conservation : les données ne peuvent être conservées que pendant la durée nécessaire à la réalisation des finalités poursuivies, puis doivent être supprimées ou anonymisées.

Intégrité et confidentialité : le responsable du traitement et le sous-traitant sont tenus de mettre en place des mesures techniques et organisationnelles appropriées afin de prévenir toute violation, altération ou perte de données.

IV. Droits des personnes concernées

Conformément au RGPD et au droit allemand, les personnes concernées disposent des droits suivants :

Droit à l’information et d’accès : obtenir des informations sur les données collectées les concernant et accéder aux modalités de leur traitement.

Droit de rectification : exiger la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : demander la suppression des données personnelles lorsque les conditions légales sont réunies.

Droit à la limitation du traitement : obtenir la limitation de l’utilisation ultérieure des données dans certaines circonstances.

Droit à la portabilité des données : recevoir les données dans un format structuré, couramment utilisé et lisible, et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer à un traitement fondé sur l’intérêt légitime ou l’intérêt public.

Droit relatif aux décisions automatisées : lorsqu’un traitement implique une prise de décision automatisée, y compris le profilage et les prédictions, la personne concernée a le droit d’être informée, de s’y opposer et d’obtenir une intervention humaine.

Pour les mineurs de moins de 16 ans, conformément aux dispositions spécifiques applicables en Allemagne, le traitement de leurs données nécessite le consentement des parents ou du tuteur légal, et les informations doivent être fournies dans un langage clair et compréhensible.

V. Obligations des sous-traitants et responsables du traitement

Le sous-traitant doit traiter les données exclusivement sur la base des instructions écrites du responsable du traitement.

Des mesures techniques et organisationnelles appropriées doivent être mises en œuvre afin d’assurer la sécurité des données.

Le sous-traitant doit assister le responsable du traitement dans l’exécution de ses obligations légales au titre du RGPD, notamment en ce qui concerne la réponse aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant est tenu d’en informer immédiatement le responsable du traitement, lequel doit notifier l’autorité compétente, notamment le BfDI, dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (DPIA) lorsque le traitement présente un risque élevé.

Certaines organisations sont tenues de désigner un délégué à la protection des données (DPO) et de l’enregistrer auprès de l’autorité de contrôle compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données à caractère personnel est effectué vers un pays situé en dehors de l’Union européenne, le responsable du traitement doit s’assurer que le pays destinataire garantit un niveau de protection adéquat, notamment par les moyens suivants :

Une décision d’adéquation adoptée par la Commission européenne ;

La conclusion des clauses contractuelles types (SCC) de l’Union européenne ;

Tout autre mécanisme de transfert légalement autorisé par le RGPD.

Depuis l’invalidation du mécanisme dit « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent recourir aux clauses contractuelles types mises à jour (version du 4 juin 2021) ou à d’autres mécanismes de transfert conformes au droit applicable.

VII. Contrôle et exécution

Les autorités allemandes de protection des données, y compris le BfDI et les autorités des Länder, disposent de pouvoirs étendus de contrôle et d’exécution :

Émettre des avertissements ou ordonner des mesures correctives ;

Restreindre ou interdire des activités de traitement ;

Infliger des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu.

En outre, le droit allemand permet aux personnes de formuler des instructions explicites concernant le traitement de leurs données, y compris des dispositions relatives à l’utilisation de celles-ci après leur décès. En l’absence d’instructions spécifiques, le traitement doit être conforme aux exigences légales applicables.

Le cadre allemand d’application du RGPD vise à garantir la protection effective des droits relatifs aux données personnelles, à renforcer la conformité des entreprises et à promouvoir la confiance dans l’environnement numérique.