GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est applicable en Allemagne ainsi que dans l’ensemble des États membres de l’Union européenne. Afin d’en assurer la mise en œuvre, l’Allemagne a procédé à la révision de sa loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG).

Le contrôle, l’accompagnement et l’application du RGPD et de ses dispositions nationales sont assurés par le Commissaire fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI) ainsi que par les autorités compétentes de chaque Land.

Le dispositif allemand de protection des données est aligné sur le RGPD et tient compte des particularités juridiques nationales afin d’assurer une protection efficace et complète des données à caractère personnel.

II. Champ d’application

Les règles allemandes d’exécution du RGPD concernent :

les responsables du traitement (Verantwortlicher) et les sous-traitants (Auftragsverarbeiter) établis en Allemagne ;

les organisations situées hors d’Allemagne qui offrent des biens ou des services à des personnes se trouvant en Allemagne ou qui surveillent leur comportement sur le territoire allemand.

Ces règles s’appliquent que le traitement ait lieu en Allemagne ou à l’étranger, dès lors que des données personnelles de personnes situées en Allemagne sont impliquées.

Elles couvrent les traitements automatisés ainsi que les traitements non automatisés intégrés dans un système de classement. Les traitements réalisés exclusivement à des fins personnelles ou familiales sont exclus du champ d’application.

III. Principes relatifs au traitement des données

Licéité, loyauté et transparence : chaque traitement doit reposer sur une base juridique valable et les personnes concernées doivent être clairement informées des finalités et des modalités du traitement.

Limitation des finalités : les données ne peuvent être utilisées que pour des objectifs déterminés et légitimes, sans être détournées de leur finalité initiale.

Minimisation des données : seules les informations strictement nécessaires à l’objectif poursuivi doivent être collectées.

Exactitude : les données doivent rester exactes et à jour.

Limitation de la conservation : les données doivent être conservées uniquement pendant la durée nécessaire, puis supprimées ou rendues anonymes.

Sécurité et confidentialité : des mesures techniques et organisationnelles adaptées doivent être mises en place afin d’éviter toute violation, modification ou perte de données.

IV. Droits des personnes concernées

En vertu du RGPD et du droit allemand, toute personne dispose des droits suivants :

Droit à l’information et d’accès : être informée et accéder aux données la concernant ainsi qu’aux modalités de leur traitement.

Droit de rectification : faire corriger des données inexactes ou incomplètes.

Droit à l’effacement : demander la suppression des données lorsque les conditions légales sont remplies.

Droit à la limitation du traitement : obtenir la restriction de l’utilisation des données dans certaines situations.

Droit à la portabilité : recevoir les données dans un format structuré et transférable vers un autre responsable du traitement.

Droit d’opposition : s’opposer à un traitement fondé sur l’intérêt légitime ou l’intérêt public.

Droits liés aux décisions automatisées : bénéficier d’informations, d’un droit d’opposition et d’une intervention humaine en cas de décision fondée exclusivement sur un traitement automatisé, y compris le profilage.

Pour les mineurs de moins de 16 ans, la législation allemande exige le consentement des parents ou du représentant légal, et les informations doivent être présentées dans un langage accessible.

V. Obligations des acteurs du traitement

Les sous-traitants doivent agir uniquement sur instruction écrite du responsable du traitement.

Ils doivent garantir la sécurité des données grâce à des mesures techniques et organisationnelles appropriées.

Ils doivent également assister le responsable du traitement dans le respect de ses obligations légales, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit en informer immédiatement le responsable, qui dispose de 72 heures pour notifier l’autorité compétente, notamment le BfDI.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact (DPIA) lorsque le traitement présente un risque élevé.

Certaines entités ont l’obligation de désigner un délégué à la protection des données (DPO) et d’en informer l’autorité de contrôle compétente.

VI. Transferts internationaux

Tout transfert de données personnelles vers un pays situé en dehors de l’Union européenne nécessite de garantir un niveau de protection adéquat, notamment par :

une décision d’adéquation de la Commission européenne ;

la signature de clauses contractuelles types (SCCs) ;

ou tout autre mécanisme reconnu par le RGPD.

Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent recourir aux clauses contractuelles types actualisées du 4 juin 2021 ou à un autre mécanisme légal autorisé.

VII. Contrôle et sanctions

Les autorités allemandes de protection des données, dont le BfDI et les autorités régionales, disposent de pouvoirs étendus :

adresser des avertissements ou ordonner des corrections ;

restreindre ou interdire certains traitements ;

imposer des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé.

Le droit allemand permet également aux personnes de définir des instructions précises concernant le traitement de leurs données, y compris après leur décès. En l’absence d’instructions spécifiques, le traitement doit respecter les exigences légales.

Le cadre allemand d’application du RGPD vise à protéger efficacement les droits des individus, à renforcer la conformité des organisations et à instaurer une confiance durable dans l’environnement numérique.