📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 12 du RGPD : Transparence des informations et des communications et des modalités de l’exercice des droits de la personne concernée

Sommaire

Introduction 

La protection des données personnelles est au cœur de la réglementation européenne

L’article 12 du RGPD oblige les entreprises et organisations à bien expliquer aux gens comment elles utilisent leurs données. Elles doivent donner des informations faciles à comprendre, courtes et accessibles.

Cet article sert aussi à aider les personnes à utiliser leurs droits : voir, modifier ou supprimer leurs données.

Explication de l’article 

L’article 12 du RGPD liste une série d’obligations que doit respecter le responsable de traitement dans l’exercice de ses fonctions.

Le responsable de traitement est la personne chargée de prendre toutes les décisions concernant un traitement de données : comment les données sont utilisées, pour quel objectif, quelles données…

Le responsable de traitement peut être une entreprise ou son dirigeant, ou le dirigeant d’un service spécifique.

Les obligations :

  • Fournir des informations concises, transparentes, compréhensibles et accessibles sur le traitement des données.
  • L’information doit être claire, essentielle et compréhensible pour la personne concernée (celle dont les données sont traitées).
  • Faciliter l’exercice des droits des personnes concernées et répondre dans un délai d’un mois (2 mois si beaucoup de demandes).
  • Si le traitement dure plus de 2 mois, informer la personne des motifs du retard et des possibilités de signalement.
  • Mettre en place un formulaire disponible et accessible facilement sur le site.
  • Ne pas demander de paiement pour fournir l’information, sauf si la demande est manifestement excessive.
  • Vérifier l’identité de la personne et, si nécessaire, demander des justificatifs sécurisés.

Registre des traitements :

  • Obligatoire pour les entreprises de plus de 250 salariés, celles traitant des données sensibles ou à risque, ou réalisant des traitements réguliers.
  • Documenter toutes les opérations sur les données (collecte, usage, stockage).
  • Contenu obligatoire :
    • Nom et coordonnées du responsable ou représentant
    • DPO (si existant)
    • Finalités du traitement
    • Catégories de personnes et de données
    • Destinataires des données
    • Délais d’effacement (si possible)
    • Mesures de sécurité mises en place

Le sous-traitant doit aussi tenir un registre avec :

  • Ses coordonnées et celles du responsable du traitement et du DPO
  • Catégories de traitements réalisés
  • Mesures de sécurité techniques et organisationnelles (si possible)

Ces registres peuvent être électroniques et doivent être accessibles aux autorités de contrôle.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

  1. « Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
  2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
  3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.
  4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
  5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ou :b) refuser de donner suite à ces demandes. Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
  6. Sans préjudice de l’article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
  7. Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.
  8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées. »

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

La Directive 95/46/CE ne comportait pas d’article équivalent directement à l’article 12 du RGPD. Elle prévoyait des principes généraux de transparence et d’information dans plusieurs de ses articles (notamment articles 10 à 14), mais sans codifier en un texte clair et unique les modalités précises et détaillées de la communication et de l’exercice des droits comme le fait l’article 12 du RGPD.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 48

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le droit à l’information s’exerce dans les conditions prévues aux articles 12 à 14 du règlement (UE) 2016/679 du 27 avril 2016.

En particulier, lorsque les données à caractère personnel sont collectées auprès d’un mineur de moins de quinze ans, le responsable de traitement transmet au mineur les informations mentionnées à l’article 13 de ce règlement dans un langage clair et facilement accessible.

La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est également informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant du droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort, dans les conditions 

Analyse des trois textes qui précèdent

L’article 12 du RGPD n’est pas entièrement nouveau, mais il représente une évolution significative et un renforcement par rapport aux dispositions équivalentes de la Directive 95/46/CE et à celles de la Loi Informatique et Libertés. 

Cette nouvelle rédaction formalise et clarifie l’obligation de transparence des responsables du traitement envers les personnes concernées. L’article 12 met l’accent sur une communication concise, transparente, compréhensible et facilement accessible, avec des termes clairs et simples. Ce niveau de détail et d’exigence en matière de clarté et d’accessibilité dépasse largement ce qui était prévu auparavant.

Par ailleurs, l’article 12 précise explicitement les modalités pratiques d’exercice des droits des personnes : il encadre les délais de réponse à un mois (avec possibilité de prolongation justifiée), oblige à faciliter l’exercice des droits, et définit les cas où le responsable du traitement peut refuser ou facturer certaines demandes manifestement infondées ou excessives. Ces précisions ne figuraient pas de manière aussi explicite dans la directive 95/46 CE et dans la Loi Informatique et Libertés. 

En résumé, l’article 12 du RGPD n’invente pas le principe de transparence, mais il en fixe un cadre juridique beaucoup plus détaillé, contraignant et opérationnel, destiné à garantir un véritable accès informé et effectif des personnes à leurs données et droits. Il marque un tournant dans l’approche européenne de la protection des données, en rendant la transparence plus concrète et centrée sur l’expérience réelle des personnes concernées.

Vous avez besoin d’un accompagnement RGPD clair et efficace ? Trouvez votre DPO externe avec Mon Expert RGPD.

Jurisprudences

Françaises

Délibération SAN-2020-008 du 18 novembre 2020

Sanction : 600 000€ d’amende pour Carrefour (Délibération SAN-2020-008 du 18 novembre 2020)
 La CNIL a sanctionné Carrefour pour plusieurs manquements à l’article 12 du RGPD :

  • Demande constante d’informations supplémentaires même sans doute raisonnable
  • Délai de traitement des demandes d’exercice des droits de 9 mois
  • Difficulté d’accès aux formulaires illustrant un manque d’accessibilité

Délibération SAN-2021-021 du 28 décembre 2021

Sanction concernant Free Mobile (Délibération SAN-2021-021 du 28 décembre 2021)
Plusieurs manquements concernant l’exercice des droits des personnes concernées. Les demandes n’étaient pas traitées, dépassant largement le délai prévu. Ce non-traitement s’étendait également aux demandes de ne pas recevoir de prospection commerciale.

Délibération SAN-2023-021 du 27 décembre 2023

Société immobilière (délibération SAN-2024-021) :

Les deux affaires, Amazon France Logistique (sanction de 32 millions d’euros, délibération SAN-2023-021) et la société du secteur immobilier (sanction de 40 000 euros, délibération SAN-2024-021), traitent toutes deux de manquements aux obligations prévues par le RGPD, notamment à l’article 12 qui encadre la transparence, l’information claire et la facilitation de l’exercice des droits des personnes concernées.

Dans ces dossiers, la CNIL a constaté que les responsables du traitement n’avaient pas respecté leur obligation d’informer les salariés de manière concise, compréhensible et accessible sur les traitements intrusifs mis en place (surveillance en temps réel, logiciels de suivi, captures d’écran, vidéosurveillance). Ce manquement à l’article 12 s’ajoute aux violations des principes fondamentaux du RGPD, tels que le principe de minimisation (article 5.1 c), la licéité du traitement (article 6), et aux obligations de sécurité des données (article 32).

Européennes

CJUE, Arrêt C-307/22, FT contre DW (26 octobre 2023)

La Cour a précisé que l’obligation de fournir à la personne concernée, à titre gratuit, une première copie de ses données personnelles s’impose au responsable du traitement même lorsque cette demande est motivée dans un but étranger aux objectifs du RGPD.

C-154/21 (12 janvier 2023) – Österreichische Post (Informations relatives aux destinataires de données personnelles)

La Cour a précisé que le responsable du traitement doit fournir à la personne concernée, sur demande, l’identité des destinataires concrets des données personnelles la concernant. Toutefois, cette obligation peut être limitée par l’article 12, paragraphe 5, du RGPD, qui permet au responsable du traitement de refuser ou de demander des frais pour des demandes d’accès qui sont manifestement infondées, excessives ou répétitives.

Ainsi, dans cet arrêt, la CJUE indique que si la demande d’accès à l’identité des destinataires concrets est jugée manifestement infondée ou excessive selon l’article 12.5, le responsable du traitement peut se limiter à fournir uniquement les catégories de destinataires plutôt que leur identité précise. Cela montre que l’article 12 joue un rôle-clé pour équilibrer l’effectivité du droit d’accès avec la gestion raisonnée des demandes.

Recommandations

Groupe 29

Lignes directrices portabilité des données WP242rev.01 (2017) :
 https://www.cnil.fr/sites/cnil/files/atoms/files/wp242rev01_fr.pdf

Lignes directrices transparence WP260rev.01 (2018) :
 https://www.cnil.fr/sites/default/files/atoms/files/wp260_guidelines-transparence-fr.pdf

CEPD

Lignes directrices 01/2022 (droit d’accès et exercice des droits) :
https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_fr.pdf

CNIL

Recommandation exercice des droits par mandataire (mai 2021) :
 https://www.cnil.fr/fr/exercice-des-droits-par-un-mandat-la-cnil-publie-sa-recommandation

Guide pratique et fiches sur exercice des droits article 12 :
 https://www.cnil.fr/fr/les-droits-des-personnes-sur-leurs-donnees

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.