RGPD : quelles avancées ? Allemagne : la mise en œuvre avance

Le 27 Avril 2017, le Bundestag a adopté une nouvelle loi sur la protection des données (Bundesdatenschutz –BDSG), remplaçant une loi entrée en vigueur il y a plus de 40 ans. Il s’agit d’adapter la législation allemande aux dispositions du Règlement général de la protection des données (RGPD) qui entrera en vigueur en mai 2018. D’autres lois, plus spécialisées, devraient suivre.

Dispositions de la nouvelle loi :

Amendes. La violation de la loi allemande peut faire encourir une amende allant jusqu’à 50.000 euros. L’article 84 du RGPD dispose en effet que les États membres doivent déterminer le régime de sanctions pour les violations non-prévues par l’article 83 du Règlement. Les sanctions doivent être effectives, proportionnées et dissuasives. Or, l’article 43 dispose qu’en cas de demande d’information non traitée, volontairement ou par négligence, traitée de manière incorrecte ou hors délai, une amende de seulement 50.000€ pourra être infligée au responsable de traitement sauf pour les autorités et organismes publics. Pour ces derniers, aucune amende ne sera imposée.

Sanctions. La législation allemande prévoit en cas de violation de la protection des données personnelles, en plus des amendes, des sanctions pénales pouvant aller jusqu’à 3 ans d’emprisonnement.

Recours/Indemnisation. En cas de violation, les personnes pourront recevoir une compensation en demandant des dommages et intérêts au nom du préjudice moral subi (article 83 du BDSG). Les clients ainsi que les associations pourront engager des procédures judiciaires : de quoi espérer une facilitation des réclamations des personnes concernées.

Des inquiétudes. Dans le cas de la recherche scientifique ou historique, les catégories particulières de données personnelles peuvent être traitées sans le consentement de la personne concernée, à condition que cela soit nécessaire aux fins du traitement et à condition que ça ne soit pas contraire à l’intérêt supérieur de la personne concernée. Le contrôleur doit certes prévoir des mesures appropriées pour protéger les intérêts des personnes concernées, mais les mesures ne sont pas précisées ce qui laisse une large marge d’interprétation. Il n’est donc pas certain que les garanties soient suffisantes pour répondre aux exigences du RGPD.

Des améliorations. La restriction de l’article 32 du BDSG concernant l’obligation d’information si elle « nécessit[ait] un effort disproportionné » pour le responsable de traitement a été supprimée par le Bundestag. Nombreux étaient les juristes qui doutaient de la conformité avec le RGPD.

DPO. Les entreprises ayant plus de 10 salariés et traitant des données seront obligées d’avoir un Délégué à la protection des données alors que le RGPD le rend obligatoire uniquement pour les autorités et organismes publics, lorsque les activités de base du responsable consistent en des opérations de traitement qui exigent un suivi régulier et systématique (en raison de la nature ou de la finalité du traitement) ou lorsque l’activité consiste en un traitement à grande échelle de catégories particulières de données article 37).

 

Nombreux sont ceux qui s’inquiètent de la démarche allemande : le Législateur allemand a cherché à largement utiliser les clauses d’ouverture et à garder des spécificités nationales. Si tous les Etats membres suivent la même stratégie, l’objectif premier, l’harmonisation, risque de ne pas être atteint. Pour autant, on peut noter que certaines propositions allemandes sont extrêmement intéressantes. A cet égard, l’AEDH se réjouit de l’introduction d’indemnisations dans la législation ainsi que de la possibilité de recours juridiques.

 

 

Retour à la page précédente