Le Règlement général sur la protection des données (RGPD) prévoit une loi générale uniforme sur la protection des données en France et en Allemagne, complétée par des lois nationales sur la protection des données.
Si une entreprise française a une succursale en Allemagne ou offre des services transfrontaliers, un client allemand peut demander des informations sur les données stockées à son sujet par l’entreprise. S’il ne reçoit pas ces informations ou ne les reçoit pas à sa satisfaction, il peut saisir la Commission nationale de l’informatique et des libertés (CNIL) ou, p.ex. en Sarre, le Centre indépendant sarrois de protection des données à son choix.
Il est vrai que les autorités sollicitées devraient d’abord vérifier quelle est l’autorité compétente. Toutefois, dans les affaires transfrontalières, il est conseillé de respecter autant que possible les réglementations des deux pays, si elles diffèrent encore l’une de l’autre.
En Allemagne, 70 amendes ont été infligées au cours de la première année d’application, dont 3 en Sarre. L’amende individuelle la plus élevée en Allemagne était de 80 000 € pour la publication de données sensibles sur la santé sur Internet. En France, la CNIL a infligé une amende de 50 millions d’euros à Google, qui n’est pas encore définitive.
La base légale du traitement des données est fondée sur la loi, l’exécution d’un contrat (préalable), l’intérêt légitime, ou encore le consentement de la personne concernée conformément à l’art. 6 alinéa 1 RGPD. Il est intéressant de noter que le droit européen uniforme, le RGDP, est appliqué différemment en France et en Allemagne. Une différence remarquable est p.ex. que le consentement est beaucoup plus fréquemment utilisé en Allemagne qu’en France et dans les autres pays de l’UE. En France p.ex., le transfert de données vers les États-Unis ne serait assuré que dans des cas exceptionnels avec le consentement des personnes concernées. L’avantage est que le responsable du traitement n’a pas à faire face aux conséquences d’une révocation du consentement, ce qui peut se produire à tout moment et rend irrecevable toute transmission future de données aux États-Unis.
D’ailleurs, un transfert de données vers les États-Unis est formellement légal pour les entreprises allemandes et françaises en raison de la décision de la Commission européenne sur le « bouclier de protection de la vie privée UE-États-Unis », à condition que l’entreprise américaine destinataire possède une certification valide.
Le ministère du Commerce des États-Unis tient à jour la liste officielle (https://www.privacyshield.gov/list). La société américaine à laquelle les données doivent être transférées doit effectivement figurer sur la liste. En outre, la société S/L exportatrice de données (européenne) doit également utiliser la saisie de liste pour vérifier si la certification couvre la catégorie des données à transférer. Les catégories sont les données d’emploi = « HR » ou autres = « Non HR ».
Auteur : Claudie LEMMER, SaarLB