Article 12 du RGPD : Transparence des informations et des communications et des modalités de l’exercice des droits de la personne concernée

Article 12 du RGPD

1. « Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

    

2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
   
   a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

   b) refuser de donner suite à ces demandes.

    

    Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande. 

6. Sans préjudice de l’article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.  
7. Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.
8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées. »

Jurisprudence

Quelques décisions de la CNIL évoquant cet article :

Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE.
Plusieurs points de l’article 12 ont été évoqués :

•  la demande constante d’informations supplémentaires, même dans des situations ne présentant aucun doute. En effet, chaque personne concernée qui formulait une demande d’exercice des droits devait fournir un justificatif d’identité, alors même qu’aucun doute n’était évoqué. 
• le délai de traitement des demandes d’exercice des droits des personnes concernées : les demandes étaient traitées dans un délai de 9 mois
• la formation restreinte relève également la difficulté d’accès à la formation, illustrant un manque d’accessibilité
  

Délibération de la formation restreinte n°SAN-2021-021 du 28 décembre 2021 concernant la société FREE MOBILE.
Les points évoqués: plusieurs manquements concernant l’exercice des droits des personnes concernées. En effet, les demandes n’étaient pas traitées, dépassant ainsi largement le délai prévu. Ce non traitement des demandes s’étend également aux non traitement des demandes des plaignants de ne pas recevoir de prospection commerciale.