DGPR

I. Introduction

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré officiellement en vigueur en Allemagne ainsi que dans les autres États membres de l’Union européenne. Afin de mettre en œuvre le RGPD, l’Allemagne a révisé la Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG).

Le Commissaire fédéral à la protection des données et à la liberté d’information (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), ainsi que les autorités de protection des données des différents Länder, sont chargés de la supervision, de l’orientation et de l’application du RGPD et de ses dispositions nationales d’exécution.

Le système allemand de protection des données est pleinement conforme au RGPD et intègre également des exigences juridiques spécifiques à l’Allemagne afin de garantir une protection complète des données à caractère personnel.

II. Champ d’application

Les dispositions allemandes d’application du RGPD s’appliquent :

À tous les responsables du traitement (Verantwortlicher) ou sous-traitants (Auftragsverarbeiter) établis en Allemagne ;

Aux entités situées en dehors de l’Allemagne qui offrent des biens ou des services à des personnes se trouvant en Allemagne ou qui surveillent leur comportement sur le territoire allemand.

Indépendamment du lieu où le traitement des données est effectué, dès lors que des données à caractère personnel concernant des personnes situées en Allemagne sont impliquées, la réglementation s’applique.

Le champ d’application couvre les traitements automatisés ainsi que les traitements non automatisés faisant partie d’un système de fichiers. Les activités de traitement effectuées à des fins strictement personnelles ou domestiques ne sont pas concernées.

III. Principes relatifs au traitement des données

Licéité, loyauté et transparence : tout traitement doit reposer sur une base juridique claire et les finalités ainsi que les modalités du traitement doivent être communiquées de manière transparente aux personnes concernées.

Limitation des finalités : les données à caractère personnel ne peuvent être utilisées que pour des finalités déterminées et légitimes et ne doivent pas être traitées d’une manière incompatible avec ces finalités initiales.

Minimisation des données : seules les données strictement nécessaires à la réalisation d’un objectif spécifique peuvent être collectées.

Exactitude : les données doivent être exactes, complètes et tenues à jour.

Limitation de la conservation : les données ne peuvent être conservées que pendant la durée nécessaire à la réalisation des finalités poursuivies et doivent ensuite être supprimées ou anonymisées.

Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en place des mesures techniques et organisationnelles appropriées afin d’éviter toute violation, altération ou perte des données.

IV. Droits des personnes concernées

Conformément au RGPD et au droit allemand, les personnes disposent des droits suivants :

Droit à l’information et d’accès : obtenir des informations sur les données collectées les concernant et accéder à ces données ainsi qu’aux modalités de leur traitement.

Droit de rectification : faire corriger toute donnée inexacte ou incomplète.

Droit à l’effacement (droit à l’oubli) : demander la suppression des données personnelles lorsque les conditions légales sont remplies.

Droit à la limitation du traitement : restreindre l’utilisation ultérieure des données dans certaines situations.

Droit à la portabilité des données : recevoir les données dans un format structuré, couramment utilisé et lisible, et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer à un traitement fondé sur l’intérêt légitime ou l’intérêt public.

Droit relatif aux décisions automatisées : en cas de décision fondée exclusivement sur un traitement automatisé, y compris le profilage, bénéficier d’un droit d’information, d’opposition et d’intervention humaine.

Pour les mineurs de moins de 16 ans (disposition spécifique en Allemagne), le traitement des données requiert le consentement des parents ou du représentant légal, et les informations doivent être fournies dans un langage compréhensible.

V. Obligations des sous-traitants et des responsables du traitement

Le sous-traitant doit traiter les données exclusivement sur instruction écrite du responsable du traitement (Verantwortlicher).

Il doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données.

Il doit assister le responsable du traitement dans l’accomplissement de ses obligations légales au titre du RGPD, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit informer immédiatement le responsable du traitement, lequel est tenu de notifier le BfDI dans un délai de 72 heures.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (DPIA) lorsque le traitement présente un risque élevé.

Certaines organisations sont tenues de désigner un délégué à la protection des données (DPO) et de le déclarer auprès de l’autorité de contrôle compétente.

VI. Transferts internationaux de données

Lorsqu’un transfert de données à caractère personnel vers un pays situé en dehors de l’Union européenne est envisagé, le responsable du traitement doit s’assurer que le pays destinataire garantit un niveau de protection adéquat, notamment par les moyens suivants :

Une décision d’adéquation de la Commission européenne ;

La conclusion de clauses contractuelles types de l’Union européenne (SCCs) ;

Tout autre mécanisme de transfert autorisé par le RGPD.

Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent recourir aux clauses contractuelles types mises à jour (version du 4 juin 2021) ou à d’autres mécanismes de transfert légaux.

VII. Contrôle et application

Les autorités allemandes de protection des données (BfDI et autorités des Länder) disposent de larges pouvoirs de supervision et d’exécution :

Émettre des avertissements ou ordonner des mesures correctives ;

Limiter ou interdire des activités de traitement ;

Imposer des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

En outre, le droit allemand permet aux personnes de donner des instructions explicites concernant le traitement de leurs données, y compris après leur décès. À défaut d’instructions spécifiques, le traitement doit respecter les dispositions légales applicables.

Le cadre allemand d’exécution du RGPD vise à protéger les droits des personnes, à renforcer la conformité des entreprises et à favoriser l’établissement d’un climat de confiance numérique.