GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne est pleinement applicable en Allemagne ainsi que dans l’ensemble des États membres de l’Union européenne. Pour assurer sa mise en œuvre, l’Allemagne a également adapté sa Loi fédérale sur la protection des données, connue sous le nom de Bundesdatenschutzgesetz (BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (BfDI), ainsi que les autorités de protection des données des différents Länder, sont chargés de superviser, d’orienter et d’appliquer les règles du RGPD ainsi que les dispositions nationales correspondantes.

Le cadre allemand de protection des données est donc entièrement conforme au RGPD, tout en intégrant certaines exigences juridiques spécifiques à l’Allemagne afin de garantir un niveau élevé de protection des données personnelles.

II. Champ d’application

Les règles allemandes relatives à l’application du RGPD concernent :

Les responsables du traitement (Verantwortlicher) et les sous-traitants (Auftragsverarbeiter) établis en Allemagne ;

Les organisations situées hors d’Allemagne qui proposent des produits ou des services à des personnes se trouvant en Allemagne, ou qui surveillent leur comportement sur ce territoire.

Le lieu du traitement des données n’a pas d’importance : dès lors que les données personnelles de personnes situées en Allemagne sont concernées, la réglementation s’applique.

Le champ d’application inclut les traitements automatisés ainsi que les traitements non automatisés intégrés dans un système de fichiers. Les activités de traitement effectuées exclusivement à des fins personnelles ou domestiques sont toutefois exclues.

III. Principes fondamentaux du traitement des données

Le traitement des données personnelles en Allemagne repose sur plusieurs principes fondamentaux :

Légalité, équité et transparence : le traitement doit être fondé sur une base légale claire et les personnes concernées doivent être informées de manière compréhensible.

Limitation de la finalité : les données personnelles ne peuvent être utilisées que pour des objectifs précis et légitimes.

Minimisation des données : seules les informations nécessaires à la finalité du traitement doivent être collectées.

Exactitude des données : les informations doivent être correctes, complètes et mises à jour si nécessaire.

Limitation de la durée de conservation : les données doivent être supprimées ou anonymisées une fois l’objectif atteint.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en place des mesures techniques et organisationnelles pour protéger les données contre toute utilisation non autorisée, perte ou altération.

IV. Droits des personnes concernées

Conformément au RGPD et à la législation allemande, les personnes disposent de plusieurs droits concernant leurs données personnelles :

Le droit d’être informé et le droit d’accès à leurs données ;

Le droit de rectifier des données inexactes ou incomplètes ;

Le droit à l’effacement des données dans certaines situations ;

Le droit de limiter le traitement des données ;

Le droit à la portabilité des données vers un autre responsable du traitement ;

Le droit de s’opposer au traitement fondé sur l’intérêt légitime ou public ;

Les droits liés aux décisions automatisées, y compris le droit de demander une intervention humaine.

En Allemagne, le traitement des données concernant les mineurs de moins de 16 ans nécessite le consentement des parents ou du représentant légal, et les informations doivent être présentées de manière claire et compréhensible.

V. Obligations des acteurs du traitement des données

Les sous-traitants doivent traiter les données uniquement sur la base des instructions écrites du responsable du traitement.

Ils doivent également mettre en œuvre des mesures de sécurité appropriées pour protéger les données personnelles.

Ils sont tenus d’assister le responsable du traitement dans l’exécution de ses obligations prévues par le RGPD, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données personnelles, le sous-traitant doit immédiatement informer le responsable du traitement afin que celui-ci puisse notifier l’autorité compétente dans un délai de 72 heures.

Les responsables du traitement doivent également tenir un registre des activités de traitement et effectuer une analyse d’impact relative à la protection des données lorsque le traitement présente des risques élevés.

Certaines organisations sont par ailleurs tenues de désigner un délégué à la protection des données (DPO).

VI. Transferts internationaux de données

Lorsqu’un transfert de données personnelles est effectué vers un pays situé en dehors de l’Union européenne, le responsable du traitement doit garantir un niveau de protection adéquat.

Cela peut être réalisé notamment grâce à :

Une décision d’adéquation adoptée par la Commission européenne ;

L’utilisation des clauses contractuelles types de l’Union européenne (SCCs) ;

Ou d’autres mécanismes juridiques autorisés par le RGPD.

Depuis l’invalidation du mécanisme Privacy Shield en juillet 2020, les entreprises allemandes doivent utiliser les nouvelles clauses contractuelles types adoptées le 4 juin 2021 ou d’autres mécanismes conformes pour les transferts de données vers des pays tiers.

VII. Contrôle et application

Les autorités allemandes de protection des données, notamment le BfDI et les autorités des Länder, disposent de pouvoirs étendus de contrôle et d’application.

Elles peuvent adresser des avertissements, ordonner des mesures correctives, restreindre ou interdire certaines activités de traitement, et imposer des sanctions administratives importantes.

Les amendes peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel de l’entreprise, le montant le plus élevé étant retenu.

Par ailleurs, la législation allemande permet aux personnes de formuler des instructions concernant l’utilisation de leurs données personnelles, y compris après leur décès. En l’absence d’instructions spécifiques, le traitement des données doit se conformer aux dispositions légales applicables.

Ce cadre vise à garantir une protection solide des données personnelles, à renforcer la conformité des organisations et à instaurer une relation de confiance dans l’environnem

ent numérique.