GDPR

I. Introduction

Le 25 mai 2018 marque l’entrée en vigueur officielle du Règlement général sur la protection des données (RGPD) de l’Union européenne en Allemagne, ainsi que dans l’ensemble des États membres de l’UE. Dans le cadre de cette mise en application, l’Allemagne a procédé à une révision de sa Loi fédérale sur la protection des données, connue sous le nom de Bundesdatenschutzgesetz (BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), conjointement avec les autorités de protection des données de chaque Land, assure la surveillance, l’orientation et l’exécution des dispositions prévues par le RGPD et par la législation allemande qui en assure la mise en œuvre.

Le dispositif allemand de protection des données repose entièrement sur les principes du RGPD, tout en intégrant certaines spécificités juridiques nationales destinées à renforcer la protection des données personnelles des individus.

II. Champ d’application

Les règles allemandes relatives à l’application du RGPD concernent :

tous les responsables du traitement (Verantwortlicher) et sous-traitants (Auftragsverarbeiter) établis sur le territoire de l’Allemagne ;

les entités situées hors d’Allemagne qui proposent des biens ou des services à des personnes présentes en Allemagne ou qui observent leur comportement sur le territoire allemand.

La réglementation s’applique indépendamment du lieu où le traitement des données est effectué. Dès lors que des données personnelles concernant des personnes situées en Allemagne sont traitées, ces dispositions sont applicables.

Elle couvre aussi bien les traitements automatisés que les traitements non automatisés lorsqu’ils font partie d’un système de fichiers. Les activités purement personnelles ou domestiques relatives au traitement des données ne sont pas concernées.

III. Principes fondamentaux du traitement des données

Licéité, loyauté et transparence : tout traitement doit être fondé sur une base juridique valable et les personnes concernées doivent être informées de manière claire des objectifs et des modalités du traitement.

Limitation des finalités : les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent être utilisées au-delà de ces objectifs.

Minimisation des données : seules les données strictement nécessaires à la réalisation de l’objectif poursuivi peuvent être collectées.

Exactitude : les données doivent rester exactes et complètes et être mises à jour lorsque cela est nécessaire.

Limitation de la conservation : les données personnelles ne doivent être conservées que pour la durée indispensable à la finalité du traitement, puis doivent être supprimées ou rendues anonymes.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en place des mesures techniques et organisationnelles adaptées afin de protéger les données contre toute divulgation, modification ou perte.

IV. Droits des personnes concernées

Conformément au RGPD et aux dispositions allemandes applicables, les personnes disposent notamment des droits suivants :

droit d’être informé et droit d’accès aux données les concernant ainsi qu’aux modalités de leur traitement ;

droit de rectifier des données personnelles inexactes ou incomplètes ;

droit à l’effacement des données personnelles, également appelé droit à l’oubli, lorsque les conditions légales sont remplies ;

droit de limiter le traitement des données dans certaines circonstances ;

droit à la portabilité des données, permettant de recevoir les données dans un format structuré, couramment utilisé et lisible, afin de les transmettre à un autre responsable du traitement ;

droit d’opposition au traitement lorsque celui-ci repose sur un intérêt légitime ou sur une mission d’intérêt public ;

droits liés à la prise de décision automatisée, y compris le droit d’être informé, de contester la décision et de demander l’intervention d’une personne physique.

Pour les personnes mineures de moins de 16 ans, conformément aux règles spécifiques appliquées en Allemagne, le traitement de leurs données nécessite l’accord préalable des parents ou du tuteur légal, et les informations doivent être présentées dans un langage simple et compréhensible.

V. Obligations relatives au traitement des données

Les sous-traitants doivent traiter les données uniquement conformément aux instructions écrites du responsable du traitement (Verantwortlicher).

Ils doivent également mettre en œuvre des mesures techniques et organisationnelles adéquates afin d’assurer un niveau élevé de sécurité des données.

Les sous-traitants doivent assister le responsable du traitement dans le respect des obligations prévues par le RGPD, notamment lorsqu’il s’agit de répondre aux demandes des personnes concernées.

En cas de violation de données personnelles, le sous-traitant est tenu d’en informer immédiatement le responsable du traitement. Celui-ci devra alors notifier l’incident au BfDI dans un délai maximal de 72 heures.

Le responsable du traitement doit tenir un registre des opérations de traitement et réaliser, lorsque nécessaire, une analyse d’impact relative à la protection des données (DPIA) pour les traitements présentant des risques élevés.

Certaines organisations sont également tenues de désigner un délégué à la protection des données (DPO) et de le déclarer auprès de l’autorité de contrôle compétente.

VI. Transfert international de données

Lorsque des données personnelles sont transférées vers des pays situés en dehors de l’Union européenne, le responsable du traitement doit garantir que le pays destinataire offre un niveau de protection des données adéquat. Cela peut être assuré notamment par :

une décision d’adéquation adoptée par la Commission européenne ;

l’utilisation des clauses contractuelles types de l’Union européenne (SCCs) ;

ou toute autre solution de transfert reconnue comme légale par le RGPD.

Depuis l’invalidation du mécanisme « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent recourir aux clauses contractuelles types actualisées de l’Union européenne (version du 4 juin 2021) ou à d’autres mécanismes de transfert conformes au RGPD.

VII. Contrôle et application

Les autorités allemandes chargées de la protection des données, notamment le BfDI et les autorités de contrôle des Länder (DSB), disposent de pouvoirs importants en matière de surveillance et d’exécution :

émettre des avertissements ou exiger des mesures correctives ;

restreindre ou interdire certaines opérations de traitement des données ;

imposer des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé étant retenu.

La législation allemande permet également aux personnes de définir des instructions précises concernant l’utilisation de leurs données personnelles, y compris après leur décès. En l’absence d’instructions explicites, le traitement des données doit être effectué conformément aux obligations légales en vigueur.

Le cadre allemand d’application du RGPD vise à garantir la protection effective des droits liés aux données personnelles, à renforcer la conformité des organisations et à instaurer un climat de confiance durable dans l’économie numérique.