GDPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en vigueur en Allemagne ainsi que dans l’ensemble des États membres de l’Union européenne. Afin d’en assurer l’application, l’Allemagne a mis à jour sa Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (BfDI), ainsi que les autorités régionales des différents Länder, veillent au respect, à l’interprétation et à l’application du RGPD et de ses dispositions nationales en Allemagne.

Le système allemand de protection des données est aligné sur le RGPD et intègre également certaines exigences spécifiques au droit allemand, afin de garantir un haut niveau de protection des données personnelles.

II. Champ d’application

La réglementation allemande relative au RGPD concerne :

Les responsables du traitement et les sous-traitants établis en Allemagne ;

Les organisations situées en dehors de l’Allemagne qui proposent des biens ou services à des personnes situées en Allemagne ou qui surveillent leur comportement sur le territoire allemand.

Peu importe que le traitement ait lieu en Allemagne ou à l’étranger : dès lors qu’il concerne des données personnelles de personnes situées en Allemagne, la réglementation s’applique.

Elle couvre les traitements automatisés ainsi que les traitements non automatisés intégrés dans un système de fichiers. Les traitements effectués à des fins strictement personnelles ou domestiques ne sont pas concernés.

III. Principes du traitement des données

Le traitement des données repose sur plusieurs principes fondamentaux :

Licéité, loyauté et transparence : toute utilisation des données doit avoir une base légale et être clairement expliquée aux personnes concernées.

Limitation des finalités : les données ne peuvent être utilisées que pour des objectifs précis et légitimes.

Minimisation des données : seules les données nécessaires à l’objectif poursuivi peuvent être collectées.

Exactitude : les données doivent être exactes et mises à jour.

Limitation de la conservation : les données sont conservées uniquement pendant la durée nécessaire, puis supprimées ou anonymisées.

Sécurité et confidentialité : des mesures techniques et organisationnelles doivent être mises en place pour éviter toute fuite, altération ou perte de données.

IV. Droits des personnes

En vertu du RGPD et du droit allemand, chaque personne dispose de droits importants :

Droit d’information et d’accès ;

Droit de rectification ;

Droit à l’effacement ;

Droit à la limitation du traitement ;

Droit à la portabilité des données ;

Droit d’opposition ;

Droit relatif aux décisions automatisées, y compris le profilage, avec possibilité d’intervention humaine.

Pour les mineurs de moins de 16 ans en Allemagne, le traitement des données nécessite le consentement des parents ou du représentant légal, et les informations doivent être formulées de manière claire et compréhensible.

V. Obligations des sous-traitants

Les sous-traitants doivent suivre strictement les instructions écrites du responsable du traitement.

Ils doivent assurer la sécurité des données par des mesures techniques et organisationnelles adaptées.

Ils doivent assister le responsable du traitement dans le respect des obligations prévues par le RGPD, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, ils doivent informer immédiatement le responsable du traitement, qui doit notifier l’autorité compétente dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités et réaliser une analyse d’impact (DPIA) lorsque le traitement présente un risque élevé.

Certaines organisations doivent également désigner un délégué à la protection des données (DPO).

VI. Transferts internationaux

Lorsqu’un transfert de données a lieu vers un pays situé en dehors de l’Union européenne, des garanties adéquates doivent être mises en place, telles que :

Une décision d’adéquation de la Commission européenne ;

Les clauses contractuelles types de l’Union européenne ;

Tout autre mécanisme autorisé par le RGPD.

Depuis l’invalidation du « Privacy Shield » en juillet 2020, les entreprises doivent utiliser les clauses contractuelles types mises à jour (juin 2021) ou un autre mécanisme légal approprié.

VII. Contrôle et sanctions

Les autorités allemandes disposent de pouvoirs étendus pour faire respecter la réglementation :

Avertissements et injonctions ;

Restriction ou interdiction des traitements ;

Amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel.

La législation allemande permet également aux personnes de donner des instructions concernant le traitement de leurs données, y compris après leur décès. En l’absence d’instructions, le traitement doit respecter les règles légales applicables.

L’objectif du cadre allemand d’application du RGPD est de protéger les droits des individus, d’encourager la conformité des entreprises et de renforcer la confiance numérique.