GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne est entré officiellement en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin d’assurer la mise en œuvre du RGPD, l’Allemagne a révisé la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, dite BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), ainsi que les autorités de protection des données des différents Länder, sont chargés de superviser, d’orienter et de faire appliquer le RGPD ainsi que les dispositions nationales adoptées pour son exécution en Allemagne.

Le système allemand de protection des données est pleinement aligné sur le RGPD, tout en intégrant des exigences juridiques propres à l’ordre juridique allemand, afin de garantir un niveau élevé et effectif de protection des données à caractère personnel.

II. Champ d’application

Les dispositions allemandes d’application du RGPD s’appliquent :

À tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis sur le territoire allemand ;

Aux entités situées hors d’Allemagne qui proposent des biens ou des services à des personnes se trouvant en Allemagne ou qui surveillent leur comportement sur le territoire allemand.

Indépendamment du lieu où le traitement est effectivement réalisé, dès lors que des données à caractère personnel concernant des personnes situées en Allemagne sont traitées, la réglementation s’applique.

Le champ d’application couvre tant les traitements automatisés que les traitements non automatisés lorsqu’ils font partie d’un système de fichiers. Les activités de traitement effectuées exclusivement à des fins personnelles ou domestiques sont exclues de ce champ d’application.

III. Principes relatifs au traitement des données

Licéité, loyauté et transparence : tout traitement doit reposer sur une base juridique claire et les personnes concernées doivent être informées de manière compréhensible des finalités et des modalités du traitement.

Limitation des finalités : les données à caractère personnel ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes, et ne doivent pas être utilisées au-delà de ces finalités initiales.

Minimisation des données : seules les données strictement nécessaires à la réalisation d’une finalité spécifique peuvent être collectées.

Exactitude : les données doivent être exactes, complètes et mises à jour si nécessaire.

Limitation de la conservation : les données ne peuvent être conservées que pendant la durée strictement nécessaire à la réalisation des finalités poursuivies ; à l’issue de cette période, elles doivent être supprimées ou anonymisées.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants sont tenus de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de prévenir toute divulgation, altération ou perte de données.

IV. Droits des personnes concernées

Conformément au RGPD et au droit allemand, les personnes concernées disposent des droits suivants :

Droit à l’information et droit d’accès : être informées de la collecte de leurs données et accéder aux données les concernant ainsi qu’aux modalités de leur traitement.

Droit de rectification : obtenir la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : demander la suppression de données à caractère personnel lorsque les conditions légales sont remplies.

Droit à la limitation du traitement : obtenir la limitation de l’utilisation des données dans certaines situations prévues par la loi.

Droit à la portabilité des données : recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer à un traitement fondé sur l’intérêt légitime ou l’intérêt public.

Droits relatifs aux décisions automatisées : lorsqu’une décision est fondée exclusivement sur un traitement automatisé (y compris le profilage et les prévisions), bénéficier du droit à l’information, du droit d’opposition et du droit d’obtenir une intervention humaine.

Pour les mineurs de moins de 16 ans (disposition spécifique applicable en Allemagne dans le cadre du RGPD), le traitement de leurs données requiert le consentement des parents ou du représentant légal, et les informations doivent être fournies dans un langage clair et compréhensible.

V. Obligations des responsables du traitement et des sous-traitants

Le sous-traitant doit traiter les données strictement conformément aux instructions écrites du responsable du traitement (Verantwortlicher).

Il doit mettre en place des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données.

Il est tenu d’assister le responsable du traitement dans l’exécution de ses obligations légales au titre du RGPD, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit en informer immédiatement le responsable du traitement. Celui-ci doit notifier l’incident au BfDI dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (DPIA) lorsque le traitement présente un risque élevé.

Certaines organisations sont tenues de désigner un délégué à la protection des données (DPO) et de l’enregistrer auprès de l’autorité de contrôle compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données à caractère personnel vers un pays situé en dehors de l’Union européenne est envisagé, le responsable du traitement doit s’assurer que le pays destinataire garantit un niveau de protection adéquat. Cette exigence peut être satisfaite notamment par :

Une décision d’adéquation adoptée par la Commission européenne ;

La conclusion de clauses contractuelles types de l’Union européenne (SCCs) ;

Tout autre mécanisme de transfert autorisé par le RGPD.

Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent recourir aux clauses contractuelles types actualisées de l’Union européenne (version du 4 juin 2021) ou à un autre mécanisme de transfert conforme au droit applicable.

VII. Contrôle et application

Les autorités allemandes de protection des données (le BfDI et les autorités des Länder, DSB) disposent de larges pouvoirs de contrôle et de sanction :

Émettre des avertissements ou ordonner des mesures correctrices ;

Limiter ou interdire des activités de traitement ;

Infliger des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).

Par ailleurs, le droit allemand permet aux individus de donner des instructions explicites concernant le traitement de leurs données, y compris quant à leur utilisation après leur décès. En l’absence d’instructions spécifiques, le traitement doit être effectué conformément aux dispositions légales applicables.

Le cadre d’exécution du RGPD en Allemagne vise à protéger efficacement les droits des personnes concernées, à renforcer la conformité des entreprises et à favoriser l’établissement d’une confiance durable dans l’environnement numérique.