Guide complet de la loi fédérale allemande sur la protection desdonnées (BDSG) et des lois sur la confidentialité des données

Avez-vous du mal à vous y retrouver dans le paysage en constante évolution des lois allemandes relatives à la protection des données personnelles ? Vous vous sentez dépassé par des acronymes tels que BDSG, TTDSG et GDPR ? Vous n'êtes pas seul ! Dans cet article de blog, nous allons passer au travers du jargon juridique et faire la lumière sur les lois allemandes relatives à la protection des données.

Quelles sont les lois allemandes sur la protection des données ?

En 2018, l'Allemagne a rejoint les efforts déployés à l'échelle de l'UE pour renforcer la confidentialité des données avec le Règlement général sur la protection des données (RGPD). Mais le pays ne s'est pas arrêté là. Il a également promulgué la Bundesdatenschutzgesetz (BDSG), une loi nationale qui affine le RGPD pour le contexte allemand.

La BDSG a deux objectifs principaux :

• Combler les lacunes: Le RGPD offre aux États membres une certaine flexibilité dans l'interprétation de ses exigences en matière de traitement des données. Le BDSG exerce cette flexibilité en clarifiant et en précisant certains aspects du RGPD pour les entreprises et les particuliers allemands.
• Renforcement de l'application de la loi: La partie 3 du BDSG met en œuvre la directive européenne relative à l'application des lois, garantissant des pratiques cohérentes en matière de protection des données dans le cadre des enquêtes et des procédures pénales dans toute l'Europe.

Mais la protection des données en Allemagne ne se limite pas au BDSG. Diverses lois sectorielles, comme celles relatives à la finance et à l'énergie, ont leurs propres règles en matière de protection des données.

Depuis décembre 2021, la loi sur la protection des données dans le secteur des télécommunications et des télémédias (Telekommunikation-Telemedien-Datenschutzgesetz, TTDSG) apporte une clarté bien nécessaire au secteur des télécommunications et des télémédias. Cette loi répond à une incertitude de longue date sur la manière dont les réglementations existantes en matière de protection des données s'appliquaient à ces secteurs à la lumière du RGPD. Elle transpose également en droit allemand l'exigence de l'UE relative au "consentement en matière de cookies", ce qui garantit aux utilisateurs une plus grande transparence et un meilleur contrôle en ce qui concerne les cookies et le suivi en ligne.

En bref, l'approche de l'Allemagne en matière de protection des données est complète et multicouche. La BDSG, la TTDSG et d'autres lois sectorielles se conjuguent pour créer un cadre juridique solide qui donne aux individus les moyens d'agir et tient les organisations pour responsables du traitement des données.

Qu'est-ce que la loi fédérale sur la protection des données (BDSG) ?

La loi fédérale sur la protection des données (BDSG), connue sous le nom de Bundesdatenschutzgesetz en allemand, est un texte législatif essentiel qui régit la protection des données et de la vie privée en Allemagne. Elle sert de loi nationale mettant en œuvre les dispositions du règlement général sur la protection des données (RGPD) de l'Union européenne dans le pays. Le BDSG définit des réglementations et des lignes directrices spécifiques concernant la collecte, le traitement et le stockage des données personnelles par les entités publiques et privées opérant dans la juridiction de l'Allemagne.

Le BDSG décrit les droits des personnes concernées, les obligations des responsables du traitement et des sous-traitants, les règles relatives aux transferts de données et les procédures de contrôle et d'application des autorités chargées de la protection des données. Il prévoit également des sanctions en cas de non-respect de ses dispositions, notamment des amendes et d'autres mesures visant à garantir la responsabilité et à protéger les droits des personnes à la vie privée et à la protection des données.

La loi fédérale sur la protection des données s'applique-t-elle à moi ?

La question de savoir si le BDSG s'applique à vous dépend de plusieurs facteurs:

1. Le lieu de résidence:
   - Si vous résidez en Allemagne, le BDSG s'applique à vous : Cela signifie que vous disposez de divers droits et protections concernant vos données personnelles en vertu de la loi.
2. - Si vous ne résidez pas en Allemagne, le BDSG ne s'applique généralement pas directement à vous : Cependant, il peut être pertinent si:
3. a) vous êtes un responsable du traitement des données ou un sous-traitant qui traite les données personnelles de résidents allemands : Dans ce cas, vous devez vous conformer au BDSG en plus de toute autre loi applicable en matière de protection des données.
4. b) Vos activités impliquent le transfert de données à caractère personnel d'Allemagne vers un autre pays : Le BDSG contient des dispositions régissant les transferts internationaux de données auxquelles vous devrez peut-être vous conformer.
5. Données personnelles:
6. - Le BDSG s'applique au traitement des données personnelles : Il s'agit de toute information permettant d'identifier une personne, telle que son nom, son adresse, son adresse électronique, son numéro de téléphone, son adresse IP, ses cookies, etc.
7. - Si vous ne traitez pas de données à caractère personnel, le RGPD ne s'applique pas à vous.

En plus de ce qui précède, il est toujours recommandé de consulter un professionnel du droit pour savoir si le BDSG s'applique à votre situation. Il pourra prendre en compte les spécificités de vos activités et de vos pratiques de traitement des données afin de vous fournir des conseils précis et adaptés.

Quels sont les droits des personnes concernées en vertu du BDSG ?

1. Droit à l'information et à l'accès: Les personnes concernées ont le droit d'obtenir des informations transparentes sur le traitement de leurs données à caractère personnel. Il s'agit notamment d'informations sur les finalités du traitement, les catégories de données à caractère personnel traitées, les destinataires ou les catégories de destinataires auxquels les données sont divulguées et les périodes de conservation envisagées. En outre, les personnes concernées ont le droit de demander l'accès à leurs données personnelles détenues par les responsables du traitement.
2. Droit de rectification: Les personnes concernées ont le droit de demander la rectification des données personnelles inexactes ou incomplètes les concernant. À la réception d'une telle demande, les responsables du traitement doivent rapidement corriger toute inexactitude ou mettre à jour les informations incomplètes..
3. Droit à l'effacement (droit à l'oubli): Les personnes concernées ont le droit de demander l'effacement de leurs données à caractère personnel dans certaines circonstances. Il s'agit notamment des situations où les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, où la personne concernée retire son consentement ou où le traitement des données est illégal.
4. Droit à la limitation du traitement: Les personnes concernées ont le droit de demander la limitation du traitement de leurs données à caractère personnel dans des situations spécifiques. Il peut s'agir de situations dans lesquelles l'exactitude des données est contestée par la personne concernée, le traitement est illégal ou le responsable du traitement n'a plus besoin des données pour la finalité initiale.
5. Droit à la portabilité des données: Les personnes concernées ont le droit de recevoir leurs données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans entrave de la part du responsable du traitement initial.
6. Droit d'opposition:

Licéité du traitement en vertu du BDSG

Pour déterminer la licéité du traitement en vertu du BDSG, il faut s'y retrouver dans ses complexités et comprendre comment il interagit avec le RGPD. Voici quelques points clés à prendre en compte :

Principes Généraux

• Légalité, équité et transparence: Tout traitement de données à caractère personnel doit être licite, loyal et transparent.
• Limitation des finalités: Les données ne peuvent être collectées et traitées qu'à des fins spécifiques, explicites et légitimes.
• Minimisation des données: Seule la quantité minimale de données à caractère personnel nécessaire à la finalité poursuivie peut être collectée et traitée.
• Exactitude: Les données à caractère personnel doivent être exactes et, si nécessaire, mises à jour.
• Limitation du stockage: Les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire aux fins pour lesquelles elles ont été traitées.
• Intégrité et confidentialité: Des mesures techniques et organisationnelles appropriées doivent être mises en œuvre pour protéger les données à caractère personnel contre tout accès, divulgation, modification ou destruction non autorisés.
• Responsabilité: Le responsable du traitement est chargé de veiller au respect des principes de licéité du traitement.

Bases juridiques du traitement

Le BDSG, tout comme le RGPD, identifie six bases légales pour le traitement des données personnelles :

1. Le consentement: La personne concernée donne librement et spécifiquement son consentement éclairé au traitement.
2. Exécution du contrat: Le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée.
3. Obligation légale: Le traitement est nécessaire au respect d'une obligation légale.
4. Intérêts vitaux: Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne.
5. Intérêt public: Le traitement est nécessaire à l'exécution d'une mission d'intérêt public.
6. Intérêts légitimes: Le traitement est nécessaire aux fins des intérêts légitimes du responsable du traitement ou d'un tiers, sauf si les intérêts ou les libertés et droits fondamentaux de la personne concernée l'emportent sur ces intérêts.

Conditions spécifiques au BDSG

• Vidéosurveillance: Le traitement de données à caractère personnel par le biais de la vidéosurveillance requiert des exigences supplémentaires en matière de justification et de notification.
• Tests génétiques: Les tests génétiques ne peuvent être effectués qu'avec le consentement éclairé de la personne concernée et dans des conditions spécifiques.
• Profilage: Le profilage pouvant donner lieu à une prise de décision automatisée exige la transparence et le droit d'opposition.

Le BDSG exige-t-il un délégué à la protection des données (DPD)?

Oui, le BDSG peut exiger un délégué à la protection des données (DPD ou DPO) dans certaines situations, de la même manière que le RGPD, mais avec quelques stipulations supplémentaires spécifiques à l'Allemagne.

L'exigence d'un DPD par le BDSG dépend de deux facteurs: le nombre d'employés impliqués dans le traitement des données et la nature des activités de traitement.

Nombre d'employés

• En règle générale, le BDSG exige un DPD si un responsable du traitement ou un sous-traitant emploie en permanence au moins 20 personnes chargées du traitement automatisé de données à caractère personnel. Cette exigence s'applique quelle que soit la nature des activités de traitement.
• Toutefois, même si vous avez moins de 20 employés, vous pouvez être tenu de désigner un DPD si vos activités de traitement impliquent:
• - un traitement à haut risque, tel que le suivi à grande échelle de personnes ou le traitement de données sensibles telles que des informations sur la santé.
• - le traitement régulier et systématique de catégories particulières de données à caractère personnel, telles que l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques aux fins d'identification unique, ou les données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne.

Nature des activités de traitement

• Le BDSG tient également compte de la nature des activités de traitement pour déterminer si un DPD est nécessaire. Cela signifie que même si vous avez 20 employés ou plus, vous n'aurez peut-être pas besoin d'un DPD si vos activités de traitement sont considérées comme présentant un faible risque.
• Par exemple, si votre entreprise ne collecte et ne traite que des données à caractère personnel de base à des fins administratives, vous n'êtes peut-être pas tenu de désigner un DPD.
• En revanche, si votre entreprise exerce des activités de traitement à haut risque, telles que celles mentionnées ci-dessus, il est plus probable que vous soyez tenu de désigner un DPD, quel que soit le nombre de vos employés.

Facteurs supplémentaire

• Le BDSG prévoit une certaine souplesse dans la désignation d'un DPD. Vous pouvez désigner un employé interne, un prestataire de services externe ou un groupe de personnes pour agir en tant que DPD.
• Le DPD doit être indépendant et disposer de l'expertise et des qualifications nécessaires. Il ne doit pas être soumis à des instructions qui pourraient interférer avec ses fonctions.

Le BDSG n'impose pas à toutes les entreprises de désigner un DPD. L'obligation dépend du nombre d'employés impliqués dans le traitement des données et de la nature des activités de traitement. Si vous n'êtes pas sûr de devoir désigner un DPD, il est recommandé de consulter un professionnel du droit spécialisé dans la protection des données.

Comment gérer les transferts de données dans le cadre de la BDSG ?

Le transfert de données personnelles en dehors de l'Allemagne dans le cadre du BDSG nécessite une réflexion approfondie et le respect de réglementations spécifiques. Voici un aperçu de la manière de gérer les transferts de données de manière responsable :

1. Évaluer le transfert: Déterminer les données transférées, le pays destinataire des données et la base juridique du transfert.
2. Identifier le cadre juridique applicable: Le BDSG et le RGPD jouent tous deux un rôle, et d'autres règles spécifiques au secteur peuvent s'appliquer.
3. Choisir un mécanisme de transfert: Le RGPD et le BDSG prévoient plusieurs mécanismes, chacun ayant ses propres exigences et sa propre pertinence. Voici quelques options clés:
4. - Décision d'adéquation: Choisissez un pays considéré par la Commission européenne comme offrant une protection adéquate des données (actuellement, aucun pays ne s'applique à l'Allemagne).
5. - Clauses contractuelles types (CCN): Utiliser des contrats pré-approuvés entre l'expéditeur et le destinataire qui garantissent une protection adéquate des données.
6. - Règles d'entreprise contraignantes (BCR): Applicables aux entreprises multinationales disposant de règles internes de protection des données approuvées par les autorités chargées de la protection des données.
7. - Dérogations: Dans des cas limités, des exceptions telles que le consentement explicite ou les intérêts vitaux des personnes peuvent permettre le transfert de données vers des pays ne disposant pas de garanties adéquates.