Article 12 du RGPD : Transparence des informations et des communications et des modalités de l’exercice des droits de la personne concernée

Sommaire :

Comprendre l’article 12

L’article 12 du RGPD  liste une série d’obligations que doit respecter le responsable de traitement dans l’exercice de ses fonctions.

Le responsable de traitement, c’est la personne chargée de prendre toutes les décisions concernant un traitement de données : comment les données sont utilisées, pour quel objectif, quelles données… Le responsable de traitement peut être une entreprise ou son dirigeant, ou le dirigeant d’un service spécifique.

Les obligations:

L’obligation de concision, de transparence, de compréhensibilité, d’accessibilité, de clarté, de l’information concernant le traitement des données d’une personne concernée. L’information communiquée à la personne concernée sur le traitement de ses données personnelles doit être claire et compréhensible, et ne contenir que les éléments essentiels. 

Une personne concernée, c’est la personne concernée par le traitement que vous réalisez, la personne dont vous détenez les données personnelles.

C’est également l’obligation de faciliter l’exercice des droits des personnes concernées par les traitements, et de traiter et informer de l’avancée de toute demande dans un délai de 1 mois (2 mois si beaucoup de demandes). En cas de traitement de la demande d’une durée supérieure à 2 mois, le responsable de traitement doit informer la personne concernée des motifs de son inaction et des possibilités de signalement. Cette facilitation peut être concrétisée par la mise en place d’un formulaire disponible et accessible facilement sur le site. 

Le responsable de traitement ne peut pas demander de paiement en échange d’une information, sauf dans le cas où la demande de la personne concernée est manifestement excessive (cas où la recherche de la donnée implique des efforts et des moyens conséquents de recherches parmi les archives par exemple). 

Le responsable de traitement doit vérifier l’identité de la personne concernée. En cas de doute, il lui est possible de demander des informations supplémentaires (comme une carte d’identité, à condition que l’envoi de celle-ci soit sécurisé). 

La création et la tenue d’un registre des traitements est une obligation qui incombe au responsable de traitement et/ou au sous-traitant : il doit documenter toute opération réalisée sur les données personnelles (collecte, utilisation, stockage…) dans ce registre.

Cette obligation prévue par le RGPD concerne : 

  • les entreprises de + de 250 salariés 
  • les entreprises qui effectuent des traitements pouvant comporter des risques pour les droits et libertés des personnes concernées 
  • les entreprises qui effectuent un traitement régulier 
  • les entreprises qui effectuent un traitement portant sur des données sensibles / relatives à des condamnations pénales ou des infractions (articles 9 et 10)

     

Le registre des traitements doit obligatoirement mentionner les informations suivantes : 

  • nom et coordonnées du responsable du traitement, ou à défaut du responsable conjoint du traitement ou du représentant du responsable de traitement  
  • nom et coordonnées du délégué à la protection des données (si il y en a un)
  • les finalités du traitement (les objectifs poursuivis par le traitement)
  • les catégories de personnes concernées et les catégories des données traitées
  • les catégories des destinataires des données 
  • si possible, les délais prévus pour l’effacement des différentes catégories de données 
  • si possible, les mesures de sécurité techniques et organisationnelles mises en place

     

Ce registre est tenu par le responsable de traitement concernant le traitement dont il est responsable. 

Le sous-traitant (ou son représentant) est également chargé de tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement. Ce registre doit mentionner :

  • nom et coordonnées du ou des sous-traitant et du responsable de traitement (ou leurs représentants) et celle du DPO (si il y en un) 
  • les catégories de traitements effectués 
  • si possible, une description des mesures de sécurité techniques et organisationnelles
    Ces registres doivent être écrits même électroniquement. Ils doivent pouvoir être soumis aux autorités de contrôle si celles-ci en font la demande.

     

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ? 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Article 12 du RGPD

  1. « Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

     

  2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
  3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.
  4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
  5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

    a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

    b) refuser de donner suite à ces demandes.

     

     Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande. 

  6. Sans préjudice de l’article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.  
  7. Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.
  8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées. »

Jurisprudence

Quelques décisions de la CNIL évoquant cet article :

Sanction : Carrefour France condamné à une amende de 2 250 000€ 

Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE.
Plusieurs points de l’article 12 ont été évoqués :

  •  la demande constante d’informations supplémentaires, même dans des situations ne présentant aucun doute. En effet, chaque personne concernée qui formulait une demande d’exercice des droits devait fournir un justificatif d’identité, alors même qu’aucun doute n’était évoqué. 
  • le délai de traitement des demandes d’exercice des droits des personnes concernées : les demandes étaient traitées dans un délai de 9 mois
  • la formation restreinte relève également la difficulté d’accès à la formation, illustrant un manque d’accessibilité

Amende de 300 000€ pour Free Mobile

Délibération de la formation restreinte n°SAN-2021-021 du 28 décembre 2021 concernant la société FREE MOBILE.
Les points évoqués: plusieurs manquements concernant l’exercice des droits des personnes concernées. En effet, les demandes n’étaient pas traitées, dépassant ainsi largement le délai prévu. Ce non traitement des demandes s’étend également aux non traitement des demandes des plaignants de ne pas recevoir de prospection commerciale. 

Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €