GDPR

I. Introduction

À compter du 25 mai 2018, le Règlement général sur la protection des données (RGPD) est devenu applicable en Allemagne ainsi que dans l’ensemble des États membres de l’Union européenne. Dans le cadre de cette mise en œuvre, l’Allemagne a procédé à la révision de sa Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (BfDI), conjointement avec les autorités de contrôle des différents Länder, assure la surveillance, l’interprétation et l’application du RGPD ainsi que des dispositions nationales adoptées pour son exécution.

Le régime allemand de protection des données s’aligne intégralement sur le RGPD tout en intégrant des particularités juridiques nationales destinées à renforcer la protection des données personnelles.

II. Champ d’application

Les règles allemandes relatives à l’exécution du RGPD concernent :

Les responsables du traitement (Verantwortlicher) et les sous-traitants (Auftragsverarbeiter) établis en Allemagne ;

Les entités étrangères qui proposent des biens ou des services à des personnes se trouvant en Allemagne ou qui surveillent leur comportement sur le territoire allemand.

Le lieu matériel du traitement est indifférent : dès lors que des données à caractère personnel de personnes situées en Allemagne sont impliquées, la réglementation s’applique.

Sont visés les traitements automatisés ainsi que les traitements non automatisés intégrés à un système structuré de fichiers. Les traitements réalisés dans un cadre strictement personnel ou familial sont exclus.

III. Principes fondamentaux du traitement

Licéité, loyauté et transparence : tout traitement doit reposer sur un fondement juridique valable et être communiqué de manière claire à la personne concernée.

Limitation des finalités : les données ne peuvent être traitées que pour des finalités déterminées et légitimes, sans détournement ultérieur incompatible.

Minimisation : seules les données nécessaires à la finalité poursuivie doivent être collectées.

Exactitude : les données doivent rester exactes et actualisées.

Limitation de la conservation : les données doivent être supprimées ou rendues anonymes une fois la finalité atteinte.

Sécurité et confidentialité : des mesures techniques et organisationnelles adaptées doivent être mises en place pour prévenir tout accès non autorisé, toute altération ou toute perte.

IV. Droits des personnes

En vertu du RGPD et des dispositions allemandes, chaque personne bénéficie notamment :

Du droit d’être informée et d’accéder à ses données ;

Du droit de rectifier des données inexactes ou incomplètes ;

Du droit à l’effacement lorsque les conditions légales sont réunies ;

Du droit à la limitation du traitement dans certains cas spécifiques ;

Du droit à la portabilité des données vers un autre responsable ;

Du droit d’opposition à certains traitements fondés sur l’intérêt légitime ou public ;

Du droit à ne pas faire l’objet d’une décision exclusivement automatisée, avec possibilité d’intervention humaine.

Pour les mineurs de moins de 16 ans, le traitement des données requiert le consentement parental ou du représentant légal, et l’information doit être présentée de manière accessible et compréhensible.

V. Obligations des acteurs du traitement

Le sous-traitant agit uniquement sur instructions écrites du responsable du traitement.

Des mesures de sécurité appropriées doivent être adoptées afin d’assurer la protection des données.

Le sous-traitant doit coopérer avec le responsable pour lui permettre de satisfaire aux obligations légales, notamment en matière de droits des personnes concernées.

En cas de violation de données, l’information doit être transmise sans délai au responsable, lequel doit notifier l’autorité compétente dans les 72 heures.

Le responsable doit tenir un registre des traitements et effectuer, le cas échéant, une analyse d’impact sur la protection des données.

Certaines structures sont légalement tenues de désigner un délégué à la protection des données et d’en informer l’autorité de contrôle compétente.

VI. Transferts internationaux

Tout transfert de données vers un pays tiers doit garantir un niveau de protection adéquat, notamment par :

Une décision d’adéquation de la Commission européenne ;

La mise en place de clauses contractuelles types de l’Union européenne ;

Ou tout autre mécanisme conforme au RGPD.

Depuis l’invalidation du Privacy Shield le 16 juillet 2020, les entreprises allemandes doivent recourir aux clauses contractuelles types révisées du 4 juin 2021 ou à un autre mécanisme légalement reconnu.

VII. Surveillance et sanctions

Les autorités allemandes de protection des données disposent de pouvoirs étendus, notamment :

L’émission d’avertissements ou d’injonctions correctives ;

La limitation ou l’interdiction de traitements ;

L’imposition d’amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel.

Le droit allemand reconnaît également la possibilité pour toute personne de définir des instructions précises concernant le traitement de ses données, y compris pour la période postérieure à son décès. En l’absence de telles instructions, le traitement doit rester conforme aux exigences légales applicables.

Le cadre allemand d’application du RGPD a pour objectif de garantir l’effectivité des droits fondamentaux liés aux données personnelles, de renforcer la conformité des organisations et de consolider la confiance dans l’économie numérique.