GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données de l’Union européenne (RGPD) est officiellement entré en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin de mettre en œuvre le RGPD, l’Allemagne a révisé la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, ci-après BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, ci-après BfDI), ainsi que les autorités de protection des données des différents Länder, sont chargés de la supervision, de l’orientation et de l’application du RGPD ainsi que de ses dispositions nationales d’exécution en Allemagne.

Le système allemand de protection des données est entièrement conforme au RGPD, tout en intégrant des exigences juridiques spécifiques à l’Allemagne afin de garantir une protection complète des données à caractère personnel.

II. Champ d’application

La réglementation allemande d’application du RGPD s’applique :

À tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis sur le territoire allemand ;

Aux entités situées en dehors de l’Allemagne qui proposent des biens ou des services à des personnes se trouvant en Allemagne ou qui surveillent leur comportement sur le territoire allemand.

Indépendamment du lieu où le traitement des données est effectué, en Allemagne ou à l’étranger, dès lors qu’il concerne des données à caractère personnel de personnes situées en Allemagne, la réglementation est applicable.

Le champ d’application couvre les traitements automatisés ainsi que les traitements non automatisés faisant partie d’un système de fichiers. Les activités de traitement de données effectuées à des fins strictement personnelles ou domestiques ne relèvent pas du champ d’application.

III. Principes relatifs au traitement des données

Licéité, loyauté et transparence : tout traitement de données doit reposer sur une base juridique claire et les personnes concernées doivent être informées de manière transparente des finalités et des modalités du traitement.

Limitation des finalités : les données à caractère personnel ne peuvent être utilisées que pour des finalités déterminées et légitimes, sans dépasser l’objectif initialement défini.

Minimisation des données : seules les données strictement nécessaires à la réalisation des finalités spécifiques doivent être collectées.

Exactitude : les données doivent être exactes, complètes et mises à jour en temps utile.

Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire à la réalisation des finalités, puis supprimées ou anonymisées.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de prévenir toute violation, altération ou perte de données.

IV. Droits des personnes concernées

Conformément au RGPD et au droit allemand, les personnes disposent des droits suivants :

Droit à l’information et d’accès : le droit d’être informé et d’accéder aux données collectées ainsi qu’aux modalités de leur traitement.

Droit de rectification : le droit de demander la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : le droit de demander la suppression des données personnelles lorsque les conditions légales sont remplies.

Droit à la limitation du traitement : le droit de restreindre l’utilisation ultérieure des données dans certaines circonstances.

Droit à la portabilité des données : le droit de recevoir les données dans un format structuré, couramment utilisé et lisible, et de les transmettre à un autre responsable du traitement.

Droit d’opposition : le droit de s’opposer au traitement fondé sur un intérêt légitime ou sur l’intérêt public.

Droit relatif aux décisions automatisées : en cas de décisions automatisées, y compris le profilage et les analyses prédictives, les personnes disposent du droit d’être informées, de s’y opposer et d’obtenir une intervention humaine.

Pour les mineurs de moins de 16 ans, conformément aux dispositions spécifiques allemandes du RGPD, le traitement des données requiert le consentement des parents ou du représentant légal et les informations doivent être fournies dans un langage clair et compréhensible.

V. Obligations des sous-traitants et des responsables du traitement

Les sous-traitants doivent strictement se conformer aux instructions écrites du responsable du traitement (Verantwortlicher).

Ils doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer la sécurité des données.

Ils doivent assister le responsable du traitement dans l’exécution de ses obligations légales au titre du RGPD, notamment en répondant aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit informer immédiatement le responsable du traitement, lequel doit notifier l’incident au BfDI dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (DPIA) en cas de traitement à haut risque.

Certaines organisations sont tenues de désigner un délégué à la protection des données (DPO) et de l’enregistrer auprès de l’autorité de contrôle compétente.

VI. Transferts internationaux de données

En cas de transfert de données à caractère personnel vers des pays situés en dehors de l’Union européenne, le responsable du traitement doit s’assurer que le pays destinataire offre un niveau de protection adéquat, notamment par les moyens suivants :

Une décision d’adéquation adoptée par la Commission européenne ;

La conclusion de clauses contractuelles types de l’Union européenne (SCCs) ;

Tout autre mécanisme de transfert légal autorisé par le RGPD.

Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent recourir aux clauses contractuelles types mises à jour (version du 4 juin 2021) ou à d’autres mécanismes juridiques valides pour le transfert de données.

VII. Supervision et application

Les autorités allemandes de protection des données (BfDI et autorités des Länder) disposent de larges pouvoirs de contrôle et d’exécution :

Émettre des avertissements ou ordonner des mesures correctives ;

Restreindre ou interdire des activités de traitement ;

Infliger des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel (le montant le plus élevé étant retenu).

En outre, le droit allemand permet aux individus de formuler des instructions explicites concernant le traitement de leurs données, y compris des dispositions relatives à l’utilisation des données après leur décès. En l’absence d’instructions spécifiques, le traitement doit être conforme aux exigences légales.

Le cadre d’exécution du RGPD en Allemagne vise à garantir les droits relatifs aux données personnelles, à renforcer la conformité des entreprises et à promouvoir l’établissement d’une confiance numérique durable