Playbook Allemagne : BDSG, TDDDG, et ce que les autorités allemandes appliquent réellement

L'Allemagne est le plus grand marché unique de l'Union européenne, avec environ 84,6 millions d'habitants, et son paysage d'application en matière de protection des données est le plus fragmenté de tous les États membres. Il existe une autorité de contrôle fédérale — la Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, abrégée BfDI — et seize autorités régionales, une par Bundesland. Ce sont les autorités régionales que la plupart des opérateurs rencontrent en premier, car la majorité des responsables de traitement du secteur privé relèvent du contrôle régional plutôt que fédéral.

Ce playbook est la vue d'un opérateur sur ce que cela signifie en pratique : à quelle autorité vous parlez, quelles lois s'appliquent en plus du GDPR, et ce que les DPAs allemandes ont effectivement appliqué.

La pile législative

Trois pièces législatives importent, dans cet ordre de spécificité.

Le General Data Protection Regulation de l'Union européenne s'applique directement en Allemagne comme dans tout État membre. Les règles substantielles sur la base légale, les droits des personnes concernées et la responsabilité en découlent.

2. Bundesdatenschutzgesetz (BDSG)

Le BDSG est la loi fédérale allemande de protection des données. Il met en œuvre les clauses d'ouverture du GDPR — les endroits où le règlement invite explicitement les États membres à légiférer — et ajoute des règles sur les données des employés, la vidéosurveillance et le rôle du Datenschutzbeauftragter. Deux conséquences pratiques pour les opérateurs :

Les obligations de désigner un DPO sont plus larges qu'en vertu de l'GDPR Art. 37. Selon le BDSG § 38, tout responsable de traitement en Allemagne disposant d'au moins 20 employés traitant régulièrement des données personnelles par des moyens automatisés doit nommer un Datenschutzbeauftragter. Ce seuil est spécifique à l'Allemagne et concerne de nombreuses PME qui n'auraient pas besoin d'un DPO en Espagne ou en Italie.
Les données des employés sont régies par le BDSG § 26, qui pose des exigences spécifiques pour le traitement des données personnelles dans le contexte de l'emploi.

3. TDDDG (anciennement TTDSG)

Le Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, abrégé TDDDG, est la transposition allemande de l'ePrivacy Directive Art. 5(3) — la loi cookies. Il a été renommé depuis TTDSG en 2024 pour refléter son champ d'application étendu aux services numériques au sens large.

Pour les opérateurs de sites web, la disposition opérationnelle est le TDDDG § 25, qui exige un consentement opt-in avant tout stockage ou accès à des informations sur l'équipement terminal d'un utilisateur, sauf lorsque cela est strictement nécessaire. C'est la règle au regard de laquelle les cookie banners sont évaluées en Allemagne.

Les DPAs allemandes ont, dans une orientation conjointe de la Datenschutzkonferenz (DSK), notamment dans la déclaration de la DSK du 11 juillet 2023 sur les services télémédias, pris la position suivante :

« Strictement nécessaire » est interprété strictement — cookies de panier, jetons de session et cookies CSRF se qualifient ; l'analytics, même first-party, en règle générale non.
Un bouton de refus doit se trouver sur la même couche de bannière que le bouton d'acceptation.
Les cases pré-cochées et les mentions « en continuant à naviguer, vous consentez » ne constituent pas un consentement.

Qui supervise quoi

La carte de supervision importe, car les plaintes sont acheminées vers l'autorité du lieu d'établissement du responsable de traitement, et non du lieu de résidence de la personne concernée.

Autorité fédérale — BfDI. Supervise les organismes publics fédéraux, les fournisseurs de télécommunications et les opérateurs postaux. Pour un opérateur de site web commercial typique, la BfDI n'est pas votre autorité de contrôle.
Autorités régionales — seize Landesdatenschutzbeauftragte. Supervisent les responsables de traitement du secteur privé et les organismes publics régionaux. Les plus en vue sont le Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) pour les responsables privés en Bavière, le Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI), et la commissaire de Berlin (BlnBDI), qui voit une part disproportionnée d'affaires du secteur tech, simplement parce que tant d'entreprises tech allemandes sont basées à Berlin.

Si votre entité juridique allemande est à Munich, vous parlez au BayLDA. Si elle est à Francfort, vous parlez au HBDI. Si vous n'avez pas d'établissement allemand mais que vous orientez vos services vers le marché allemand, l'autorité chef de file hors Allemagne s'applique via le mécanisme du guichet unique du GDPR — mais un utilisateur allemand peut toujours se plaindre localement, et la DPA allemande acheminera la plainte.

Tendances récentes d'application

Trois domaines ont été visibles dans l'application allemande.

Application sur les bannières cookies

Les DPAs allemandes ont publié des orientations et des décisions sur les bannières qui dissimulaient le bouton de refus ou pré-chargeaient des traceurs. Les ordres spécifiques, amendes et détails d'affaires sont documentés dans les rapports annuels des autorités.

Le schéma qui attire l'application est celui que notre scanner signale comme pre_consent_tracking : la bannière apparaît, mais le réseau est déjà occupé.

Risk score: 78 / 100

Le score de risque est un signal interne au scanner ; ce n'est pas une qualification juridique. La capture réseau sous-jacente — quelles requêtes ont été déclenchées avant la décision de consentement et ce qu'elles transportaient — est l'artefact qu'un régulateur ou un DPO examinerait.

Les données des employés restent un domaine d'attention fédérale

La BfDI et plusieurs autorités régionales ont publié des orientations sur les outils de surveillance des employés, le suivi du temps de travail et l'utilisation de l'IA générative sur les données des employés. Les opérateurs utilisant des plateformes RH avec des fournisseurs mondiaux doivent s'attendre à des questions sur les transferts et sur la base légale au titre du BDSG § 26 plutôt que de l'ordinaire GDPR Art. 6(1)(f).

Transferts vers les États-Unis

Même après l'entrée en vigueur du EU-US Data Privacy Framework en juillet 2023, les DPAs allemandes ont continué à examiner les transferts vers les États-Unis. Pour les transferts vers des pays hors UE sans décision d'adéquation, une analyse d'impact des transferts au titre des SCCs est le standard appliqué par les DPA allemandes depuis Schrems II. Pour les transferts vers les États-Unis, le EU-US Data Privacy Framework fournit l'adéquation spécifiquement pour les destinataires certifiés au titre de celui-ci ; les transferts vers des destinataires américains non certifiés reposent toujours sur des SCCs assortis de mesures complémentaires. Les opérateurs s'appuyant uniquement sur des SCCs sans analyse documentée doivent s'attendre à des questions.

Checklist opérateur

Si vous opérez sur ou vers le marché allemand, la liste pratique courte :

Vérifiez si votre seuil d'obligation de désigner un DPO a été franchi au titre du BDSG § 38, et pas seulement au titre de l'GDPR Art. 37.
Auditez votre bannière de consentement au regard du TDDDG § 25 et de l'orientation de la DSK : refus sur la même couche que l'acceptation, aucun traceur préchargé, pas de nudging.
Identifiez quelle autorité régionale supervise votre entité juridique allemande, et lisez ses domaines d'attention publiés — ils varient.
Documentez votre mécanisme de transfert pour tout sous-traitant établi aux États-Unis.
Lancez un scan de vos pages d'atterrissage en allemand et comparez-le à l'article de connaissance sur le tracking avant consentement.

Le marché allemand est vaste, sophistiqué et bien supervisé. Les DPAs allemandes publient des orientations sur la conformité des bannières cookies et ont émis des ordres d'application contre des opérateurs dont les bannières ne respectaient pas ces orientations. Le schéma qui fonctionne est le plus simple : ne charger rien de non essentiel, demander clairement, respecter la réponse.