Téléphone :+1(803) 380-6524
E-mail :customer@cyphwood.com
Adresse :4519 W MONTAGUE AVE LOT 1,CHARLESTON,SC 294185658,United States
Heures d’ouverture : du lundi au vendredi, de 9 h 00 à 18 h 00 (heure d’Europe centrale)
I. Introduction
Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne s’applique officiellement en Allemagne ainsi que dans l’ensemble des États membres de l’Union européenne. Afin d’assurer sa mise en œuvre, l’Allemagne a modifié sa Loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG).
Le Commissaire fédéral à la protection des données et à la liberté d’information (BfDI), ainsi que les autorités de protection des données des différents Länder, sont responsables du contrôle, de l’orientation et de l’application du RGPD et de ses dispositions nationales en Allemagne.
Le système allemand de protection des données est pleinement aligné sur le RGPD, tout en intégrant des exigences juridiques propres à l’Allemagne afin de garantir une protection complète des données personnelles.
II. Champ d’application
La législation allemande mettant en œuvre le RGPD s’applique :
Aux responsables du traitement (Verantwortlicher) et aux sous-traitants (Auftragsverarbeiter) établis en Allemagne ;
Aux organisations situées hors d’Allemagne qui offrent des biens ou des services à des personnes se trouvant en Allemagne ou qui surveillent leur comportement sur le territoire allemand.
Que le traitement des données ait lieu en Allemagne ou à l’étranger, dès lors qu’il concerne des données personnelles de personnes situées en Allemagne, la réglementation s’applique.
Elle couvre les traitements automatisés ainsi que les traitements non automatisés intégrés dans un système de fichiers. Les activités purement personnelles ou domestiques sont exclues du champ d’application.
III. Principes du traitement des données
Licéité, loyauté et transparence : tout traitement doit reposer sur une base juridique claire et les personnes concernées doivent être informées de manière transparente des finalités et des modalités du traitement.
Limitation des finalités : les données personnelles ne peuvent être utilisées que pour des finalités précises et légitimes, sans être détournées de leur objectif initial.
Minimisation des données : seules les données nécessaires à la réalisation d’un objectif déterminé peuvent être collectées.
Exactitude : les données doivent être exactes, complètes et régulièrement mises à jour.
Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire, puis supprimées ou anonymisées.
Sécurité et confidentialité : les responsables du traitement et les sous-traitants doivent adopter des mesures techniques et organisationnelles appropriées pour éviter toute violation, altération ou perte de données.
IV. Droits des personnes concernées
En vertu du RGPD et du droit allemand, les personnes disposent notamment des droits suivants :
Droit à l’information et d’accès : connaître les données collectées et accéder aux informations relatives à leur traitement.
Droit de rectification : demander la correction de données inexactes ou incomplètes.
Droit à l’effacement (droit à l’oubli) : demander la suppression des données lorsque les conditions prévues par la loi sont remplies.
Droit à la limitation du traitement : restreindre l’utilisation ultérieure des données dans certaines situations.
Droit à la portabilité des données : recevoir les données dans un format structuré, couramment utilisé et lisible, et les transmettre à un autre responsable du traitement.
Droit d’opposition : s’opposer à un traitement fondé sur un intérêt légitime ou public.
Droits liés aux décisions automatisées : en cas de décisions automatisées, y compris le profilage, bénéficier d’un droit d’information, d’opposition et d’intervention humaine.
Pour les mineurs de moins de 16 ans, conformément aux dispositions spécifiques applicables en Allemagne, le traitement de leurs données nécessite le consentement des parents ou du représentant légal, et les informations doivent être présentées dans un langage clair et compréhensible.
V. Obligations des acteurs du traitement
Les sous-traitants doivent agir uniquement sur la base des instructions écrites du responsable du traitement (Verantwortlicher).
Ils doivent mettre en place des mesures techniques et organisationnelles adaptées afin d’assurer la sécurité des données.
Ils doivent assister le responsable du traitement dans le respect de ses obligations légales au titre du RGPD, notamment pour répondre aux demandes des personnes concernées.
En cas de violation de données, le sous-traitant doit en informer immédiatement le responsable du traitement, lequel doit notifier l’incident au BfDI dans un délai de 72 heures.
Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (DPIA) lorsque le traitement présente un risque élevé.
Certaines entités sont tenues de désigner un délégué à la protection des données (DPO) et de le déclarer auprès de l’autorité de contrôle compétente.
VI. Transferts internationaux de données
Lorsqu’il est envisagé de transférer des données personnelles vers un pays situé en dehors de l’Union européenne, le responsable du traitement doit s’assurer que ce pays garantit un niveau de protection adéquat, notamment par :
Une décision d’adéquation adoptée par la Commission européenne ;
La signature de clauses contractuelles types de l’Union européenne (SCCs) ;
Tout autre mécanisme de transfert autorisé par le RGPD.
Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises allemandes doivent utiliser les clauses contractuelles types mises à jour (version du 4 juin 2021) ou tout autre mécanisme juridique valide pour encadrer les transferts de données.
VII. Contrôle et sanctions
Les autorités allemandes de protection des données, dont le BfDI et les autorités des Länder, disposent de pouvoirs étendus de contrôle et de sanction :
Adresser des avertissements ou imposer des mesures correctives ;
Restreindre ou interdire certaines activités de traitement ;
Imposer des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu.
Par ailleurs, le droit allemand permet aux individus de donner des instructions explicites concernant le traitement de leurs données, y compris des dispositions relatives à l’utilisation de leurs données après leur décès. En l’absence d’instructions spécifiques, le traitement doit être conforme aux exigences légales.
Le cadre allemand d’application du RGPD vise à protéger efficacement les droits liés aux données personnelles, à renforcer la conformité des organisations et à favoriser l’établissement d’un climat de confiance numérique.