Article 12 du RGPD

Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

RGPD » chapitre 3 - droits de la personne concernée » section 1 - transparence et modalités »  article 12

  1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
  2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
  3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.
  4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
  5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:
    • a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou
    • b) refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

  1. Sans préjudice de l’article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
  2. Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.
  3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées.

Article 12 du RGPD : Ce qu'il faut comprendre

L’article 12 du RGPD impose aux responsables du traitement de fournir des informations aux personnes concernées de manière transparente, claire et accessible. Cela concerne toutes les informations liées à la collecte et au traitement de leurs données personnelles, ainsi que les réponses aux demandes qu’elles peuvent formuler en vertu des articles 15 à 22 (demandes d’accès, de rectification, d’effacement, etc.). Voici plus de détails, avec quelques exemples pour mieux comprendre :

Clarté et accessibilité des informations

Le responsable doit communiquer de manière compréhensible et adaptée au public, en particulier s’il s’agit d’enfants. Les informations doivent être rédigées de manière simple, sans jargon juridique ou technique complexe.

Exemple :

  • Si une entreprise collecte des données d’enfants pour une application éducative, elle doit expliquer dans des termes simples ce qu’elle fait avec les données (comme « Nous utilisons ton nom et ton adresse pour t’envoyer des notifications sur les nouveaux jeux disponibles »).

Moyens de communication

Les informations peuvent être fournies par écrit, en ligne, ou même oralement si la personne le demande et que son identité est vérifiée par d’autres moyens. Cela permet de s’adapter aux préférences de la personne concernée.

Exemple :

  • Si un utilisateur demande à une entreprise par téléphone ce qu’elle fait de ses données personnelles, l’entreprise peut fournir cette information oralement, tant qu’elle vérifie que la personne est bien celle qu’elle prétend être.

Délais de réponse

Le responsable du traitement doit répondre aux demandes relatives aux droits de la personne concernée dans un délai d’un mois. Si la demande est complexe ou si le volume de demandes est élevé, ce délai peut être prolongé de deux mois supplémentaires. Dans ce cas, la personne concernée doit être informée du délai et des raisons de l’extension dans le mois suivant sa demande.

Exemple :

  • Si une personne demande à une entreprise de lui fournir une copie de ses données personnelles, l’entreprise doit lui répondre dans les 30 jours, ou la prévenir si elle a besoin de plus de temps pour traiter la demande.

Refus ou frais pour demandes excessives

Si une demande est manifestement infondée ou excessive (par exemple si elle est répétée trop souvent sans raison valable), le responsable peut soit refuser d’y répondre, soit demander le paiement de frais raisonnables pour couvrir les coûts administratifs.

Exemple :

  • Si une personne demande plusieurs fois par mois à une entreprise de lui fournir toutes les données qu’elle détient sur elle sans que ses données aient changé, l’entreprise pourrait juger cette demande excessive et soit exiger des frais, soit refuser de répondre.

Icônes pour faciliter la compréhension

Le règlement encourage également l’utilisation d’icônes standardisées pour rendre les informations sur le traitement des données plus facilement compréhensibles, surtout dans les environnements numériques.

Exemple :

  • Un site web pourrait utiliser des icônes indiquant que les données collectées seront partagées avec des tiers ou utilisées à des fins de publicité. Ces icônes seraient facilement visibles et compréhensibles, même pour des personnes non spécialistes de la protection des données.

Vérification d’identité

Le responsable du traitement peut demander des informations supplémentaires pour vérifier l’identité de la personne qui fait une demande de droit d’accès, de rectification, ou d’effacement, surtout s’il y a un doute raisonnable sur son identité.

Exemple :

  • Si une personne demande à une entreprise de supprimer ses données personnelles, l’entreprise peut lui demander une pièce d’identité ou des informations supplémentaires pour s’assurer qu’elle est bien celle à qui appartiennent les données.

Gratuité

En règle générale, les informations doivent être fournies gratuitement. Cependant, si la demande est excessive ou répétitive, des frais peuvent être appliqués.

Exemple :

  • Une entreprise doit fournir gratuitement une copie des données personnelles d’un utilisateur à sa demande. Si l’utilisateur demande plusieurs copies dans un court laps de temps, l’entreprise peut exiger des frais pour couvrir les coûts.

← Article 11 – Traitement ne nécessitant pas l’identification
Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée →

Les articles du RGPD mentionnant l'article 12

Votre site internet est-il en conformité vis à vis des données personnelles ?

Il impose aux sites internet de fournir des informations claires et accessibles aux utilisateurs sur la manière dont leurs données sont collectées et traitées.

Faites auditer votre site gratuitement par un développeur consultant en RGPD !

Audit RGPD gratuit