1. Le consentement de la personne concernée quant à la collecte et sauvegarde de données personnelles

Les entreprises, associations ou organismes publics qui souhaitent récolter des données personnelles doivent recueillir l’accord express de la personne concernée. Le consentement nécessite la forme écrite sauf lorsque, compte tenu de faits particuliers, une autre forme est plus appropriée.

Cela suppose que les personnes concernées soient informées sur le type de données qui vont être recueillies et pour quel but celles-ci sont sauvegardées. De même, il doit être notifié à la personne concernée lorsque les données recueillies vont être diffusées.

Fréquemment, ces indications portant sur la protection des données personnelles sont fournies mais n’apparaissent pas de manière claire sous cet intitulé. Elles sont en effet souvent cachées notamment dans les conditions générales de vente. Il est ainsi possible de rayer les mentions prévoyant une diffusion de données personnelles à des tiers. Si cela n’a pas été fait, il est toujours possible par la suite de révoquer à tout moment une déclaration d’accord, sans avoir à en donner les motifs.

Il suffit d’envoyer le texte suivant au prestataire concerné : « Par la présente, je révoque, en application de l’article 28 alinéa 4 de la loi allemande sur la protection des données fédérales (« Bundesdatenschutzgesetz » ou BDSG), l’utilisation ou la transmission de mes données pour la publicité ou pour l’étude de marché ou le sondage d’opinion et vous prie de bloquer les données sauvegardées liées à ma personne » (« Hiermit widerspreche ich gemäß § 28 Abs. 4 BDSG der Nutzung oder Übermittlung meiner Daten für Werbung oder Markt- und Meinungsforschung und fordere Sie auf, die zu meiner Person gespeicherten Daten zu sperren »).

Néanmoins, l’individu qui est actif sur les réseaux sociaux et d’autres sites Internet n’a pas d’autres choix que de révéler des informations personnelles. Il est possible de suivre le principe « aussi moins que possible, autant que nécessaire » pour protéger sa vie privée. En effet, les données qui sont conservées dans les formulaires ne sont pas toutes nécessaires par exemple pour l’exécution d’un contrat. De cette catégorie font parties par exemple les questions relatives à la taille du ménage et aux revenus, quand il ne s’agit pas dans les faits d’opérations de crédit. Les exploitants de cartes de fidélité demandent fréquemment de tels détails pour classer les habitudes de consommation de leurs clients. La plupart du temps, mais pas tout le temps, de telles données sont signalées avec l’indication « renseignements donnés volontairement ».

2. L’utilisation des données dans le respect de l’objet fixé

Les données ne doivent être utilisées que dans le but pour lequel elles ont été prévues.

La transmission et l’utilisation de ces données dans d’autres buts sont uniquement permises dans quelques cas très restreints. Par exemple, lorsque les données proviennent de répertoires et de listes publiques, ceci est nécessaire aux fins de préservation des intérêts légitimes des tiers ou de défense contre les dangers pour la sécurité étatique et publique.

3. Les droits inaliénables de faire respecter l’utilisation de ses données

Les droits de l’intéressé à l’information, à la correction et à l’effacement ou au blocage ne peuvent être exclus ou limités par convention. Ils sont dits « inaliénables ».

a. Le droit d’obtenir des précisions quant à l’utilisation de ses données personnelles

Il peut parfois arriver de recevoir de la publicité de la part d’entreprises avec lesquelles on n’a jamais entretenu de relation contractuelle. Dans de tels cas, l’individu peut demander à l’expéditeur à savoir d’où il tient ses coordonnées, assortie d’une demande pressante visant à faire bloquer immédiatement les données, c’est-à-dire de ne plus les utiliser ou même ne plus les diffuser auprès de tiers. Sans cette demande, la publicité cessera rarement par elle-même.

b. En cas d’inexactitude des données : le droit de corriger, supprimer, verrouiller

Toute donnée inexacte doit être corrigée (articles 20 et 35 de la BDSG). Ainsi les personnes concernées peuvent, sous certaines conditions, réclamer la suppression ou le blocage de leurs données.