GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données de l’Union européenne (RGPD) est entré en vigueur en Allemagne ainsi que dans l’ensemble des États membres de l’Union européenne. Pour mettre ce règlement en œuvre, l’Allemagne a également mis à jour sa Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG).

La supervision et l’application du RGPD en Allemagne sont assurées par le Commissaire fédéral à la protection des données et à la liberté d’information (BfDI) ainsi que par les autorités de protection des données de chaque Land.

Le système allemand de protection des données est donc entièrement aligné sur le RGPD tout en intégrant certaines dispositions juridiques propres à l’Allemagne afin de garantir une protection solide des données personnelles.

II. Champ d’application

La mise en œuvre du RGPD en Allemagne concerne :

Les responsables du traitement (Verantwortlicher) et les sous-traitants (Auftragsverarbeiter) établis en Allemagne ;

Les organisations situées en dehors de l’Allemagne qui proposent des biens ou des services à des personnes se trouvant en Allemagne, ou qui analysent ou surveillent leur comportement dans ce pays.

Peu importe que le traitement des données ait lieu en Allemagne ou ailleurs : dès lors que des données personnelles concernant des personnes situées en Allemagne sont traitées, la réglementation peut s’appliquer.

Ces règles couvrent les traitements de données automatisés ainsi que les traitements non automatisés lorsqu’ils font partie d’un système de fichiers. Les activités purement personnelles ou familiales ne sont pas concernées.

III. Principes du traitement des données

Licéité, loyauté et transparence : les données doivent être traitées sur une base légale claire et les personnes concernées doivent être informées de manière transparente.

Limitation des finalités : les données personnelles ne peuvent être utilisées que pour des objectifs précis et légitimes.

Minimisation des données : seules les informations nécessaires à l’objectif du traitement doivent être collectées.

Exactitude : les données doivent rester exactes et être mises à jour lorsque cela est nécessaire.

Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire à leur finalité.

Sécurité et confidentialité : des mesures techniques et organisationnelles doivent être mises en place pour protéger les données contre toute perte, divulgation ou modification non autorisée.

IV. Droits des personnes concernées

Selon le RGPD et la législation allemande, chaque personne dispose de plusieurs droits concernant ses données personnelles :

Le droit d’être informé et d’accéder aux données collectées ;

Le droit de faire corriger des données inexactes ou incomplètes ;

Le droit de demander la suppression de ses données lorsque les conditions légales sont remplies ;

Le droit de limiter l’utilisation de ses données dans certaines situations ;

Le droit de récupérer ses données dans un format structuré et de les transférer à un autre responsable du traitement ;

Le droit de s’opposer à certains traitements fondés sur un intérêt légitime ou public ;

Le droit d’être informé et de contester les décisions automatisées, y compris celles fondées sur l’analyse ou la prévision.

Pour les mineurs de moins de 16 ans, une règle spécifique s’applique en Allemagne : le traitement de leurs données nécessite l’accord des parents ou du représentant légal, et les informations doivent être présentées dans un langage clair et compréhensible.

V. Obligations des responsables du traitement et des sous-traitants

Les sous-traitants doivent toujours traiter les données conformément aux instructions écrites du responsable du traitement.

Ils doivent également mettre en place des mesures techniques et organisationnelles appropriées afin d’assurer la sécurité des données.

Ils doivent aider le responsable du traitement à respecter ses obligations légales prévues par le RGPD, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit informer immédiatement le responsable du traitement, qui devra signaler l’incident au BfDI dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact sur la protection des données (DPIA) lorsque les opérations présentent un risque élevé.

Certaines organisations doivent également désigner un délégué à la protection des données (DPO) et le déclarer auprès de l’autorité compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données personnelles vers un pays situé en dehors de l’Union européenne est envisagé, le responsable du traitement doit s’assurer que ce pays offre un niveau de protection adéquat. Cela peut être réalisé notamment par :

Une décision d’adéquation de la Commission européenne ;

La signature de clauses contractuelles types de l’Union européenne (SCCs) ;

Ou d’autres mécanismes de transfert autorisés par le RGPD.

Depuis l’invalidation du mécanisme « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent utiliser les clauses contractuelles types mises à jour par l’Union européenne (version du 4 juin 2021) ou d’autres mécanismes juridiques reconnus pour les transferts internationaux de données.

VII. Contrôle et application

En Allemagne, les autorités de protection des données (le BfDI et les autorités des Länder) disposent de pouvoirs étendus pour surveiller et faire appliquer la réglementation.

Elles peuvent adresser des avertissements ou demander des corrections ;

Limiter ou interdire certaines activités de traitement ;

Et imposer des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

La législation allemande permet également aux individus de donner des instructions précises concernant l’utilisation de leurs données personnelles, y compris après leur décès. Si aucune instruction n’est laissée, le traitement des données doit respecter les règles légales en vigueur.

L’objectif du cadre allemand d’application du RGPD est de protéger efficacement les droits liés aux données personnelles, d’encourager les entreprises à respecter les règles de conformité et de renforcer la confiance dans l’environnement numérique.