Article 12 📖 RGPD. Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

Article 12 RGPD. Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

Lignes directrices & Jurisprudence Considérants Connexe

Lignes directrices & Jurisprudence

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

The obligation to provide the necessary information and obtain data subjects’ consent ultimately lies with the entity that sends and reads the cookie. In most cases, this is the ad network provider. When publishers are joint-controllers, for example in those cases where they transfer directly identifiable information to ad network providers, they are also bound by the obligation to provide information to data subjects about the data processing.

Considérants

(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu'il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.

Connexe

Article 13 RGPD. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Article 14 RGPD. Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

Article 15 RGPD. Droit d'accès de la personne concernée

Article 16 RGPD. Droit de rectification

Article 17 RGPD. Droit à l'effacement («droit à l'oubli»)

Article 18 RGPD. Droit à la limitation du traitement

Article 19 RGPD. Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

Article 20 RGPD. Droit à la portabilité des données

Article 21 RGPD. Droit d'opposition

Article 22 RGPD. Décision individuelle automatisée, y compris le profilage

Article 34 RGPD. Communication à la personne concernée d'une violation de données à caractère personnel

Groupe de travail «Article 29» Lignes directrices sur la transparence au sens du règlement (UE) 2016/679

«concises, transparentes, compréhensibles et aisément accessibles»

L’exigence que la fourniture d’informations aux personnes concernées et que les communications qui leur sont adressées soient réalisées d’une manière «concise et transparente» signifie que les responsables du traitement devraient présenter les informations/communications de façon efficace et succincte afin d’éviter de noyer d’informations les personnes concernées. Ces informations devraient être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale. Dans un contexte en ligne, la présentation d’une déclaration de confidentialité ou de dispositions en matière de protection de la vie privée sur différents niveaux permet à la personne concernée de naviguer jusqu’à la section spécifique de la déclaration ou de l’avis sur la protection de la vie privée à laquelle elle souhaite accéder immédiatement plutôt que de devoir faire défiler de grandes quantités de texte à la recherche d’informations spécifiques.

Le critère «aisément accessible» signifie que la personne concernée ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder: par exemple, ces informations pourraient être communiquées aux personnes concernées directement ou au moyen d’un lien qui leur serait adressé; leur emplacement et accès pourraient être clairement indiqués, ou elles pourraient être fournies en réponse à une question en langage naturel (par exemple, dans une déclaration de confidentialité ou des dispositions en matière de protection de la vie privée sur différents niveaux en ligne, dans une FAQ, au moyen de fenêtres contextuelles qui s’activent quand une personne concernée remplit un formulaire en ligne, ou dans un contexte numérique interactif avec un agent conversationnel. Ces mécanismes sont présentés plus en détail ci-après, notamment aux points 33 à 40).

«Des termes clairs et simples»

S’agissant d’informations écrites (et lorsque des informations écrites sont prononcées oralement ou, au moyen de méthodes audio/audiovisuelles, notamment pour les personnes concernées souffrant de problèmes de vue), les bonnes pratiques applicables au principe d’écriture claire doivent être suivies [11] . Une exigence linguistique semblable (pour des «termes clairs et compréhensibles») a été précédemment appliquée dans la législation de l’Union [12] et est explicitement énoncée dans le contexte du consentement au considérant 42 du RGPD [13] . L’exigence de termes clairs et simples signifie que les informations devraient être fournies de la façon la plus simple possible, en évitant des phrases et des structures linguistiques complexes. Les informations devraient être concrètes et fiables; elles ne devraient pas être formulées dans des termes abstraits ou ambigus ni laisser de place à différentes interprétations. Plus particulièrement, les finalités et fondements juridiques du traitement des données à caractère personnel devraient être clairs.

«Par écrit ou par d’autres moyens»

Bien entendu, les déclarations et avis sur la protection de la vie privée à différents niveaux ne sont pas les seuls moyens électroniques écrits dont disposent les responsables du traitement. Ces derniers peuvent également utiliser des avis apparaissant dans des fenêtres contextuelles à des moments spécifiques, des avis apparaissant par pression sur l’écran ou par déplacement au-dessus de l’écran, et des tableaux de bord sur la protection de la vie privée. Les moyens électroniques non écrits pouvant être utilisés en sus d’une déclaration ou d’un avis sur la protection de la vie privée à différents niveaux peuvent inclure des vidéos ainsi que des alertes vocales pour smartphone ou objet connecté [25] . Les «autres moyens», qui ne sont pas nécessairement électroniques, peuvent inclure, par exemple, des bandes dessinées, des infographies ou des organigrammes. Lorsque les informations sur la transparence sont destinées spécifiquement à des enfants, les responsables du traitement devraient prendre en compte le type de mesures pouvant être particulièrement accessibles aux enfants (par exemple, des dessins animés, des bandes dessinées, des pictogrammes, des animations, etc.).

2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

ISO 27701 Lignes directrices & Jurisprudence Considérants Connexe

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 12(2) GDPR:

7.3.1 Determining and fulfilling obligations to PII principals

Control

The organization should determine and document their legal, regulatory and business obligations to PII principals related to the processing of their PII and provide the means to meet these obligations.

[…]

Se connecter
lire le texte complet

Lignes directrices & Jurisprudence

(EN)

Documents

Spanish Data Protection Agency (AEPD), Guide on use of cookies (2021).

Considérants

(59) Des modalités devraient être prévues pour faciliter l'exercice par la personne concernée des droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas échéant, d'obtenir sans frais, notamment, l'accès aux données à caractère personnel, et leur rectification ou leur effacement, et l'exercice d'un droit d'opposition. Le responsable du traitement devrait également fournir les moyens de présenter des demandes par voie électronique, en particulier lorsque les données à caractère personnel font l'objet d'un traitement électronique. Le responsable du traitement devrait être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d'un mois et de motiver sa réponse lorsqu'il a l'intention de ne pas donner suite à de telles demandes.

(64) Le responsable du traitement devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne. Un responsable du traitement ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.

Connexe

Article 15 RGPD. Droit d'accès de la personne concernée

Article 16 RGPD. Droit de rectification

Article 17 RGPD. Droit à l'effacement («droit à l'oubli»)

Article 18 RGPD. Droit à la limitation du traitement

Article 19 RGPD. Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

Article 20 RGPD. Droit à la portabilité des données

Article 21 RGPD. Droit d'opposition

Article 22 RGPD. Décision individuelle automatisée, y compris le profilage

Article 11 RGPD. Traitement ne nécessitant pas l'identification

[…]

2. Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 15 à 20 ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d’exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l’identifier.

3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

Connexe

Article 15 RGPD. Droit d'accès de la personne concernée

Article 16 RGPD. Droit de rectification

Article 17 RGPD. Droit à l'effacement («droit à l'oubli»)

Article 18 RGPD. Droit à la limitation du traitement

Article 19 RGPD. Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

Article 20 RGPD. Droit à la portabilité des données

Article 21 RGPD. Droit d'opposition

Article 22 RGPD. Décision individuelle automatisée, y compris le profilage

4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:

Connexe

Article 13 RGPD. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Article 14 RGPD. Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

Article 15 RGPD. Droit d'accès de la personne concernée

Article 16 RGPD. Droit de rectification

Article 17 RGPD. Droit à l'effacement («droit à l'oubli»)

Article 18 RGPD. Droit à la limitation du traitement

Article 19 RGPD. Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

Article 20 RGPD. Droit à la portabilité des données

Article 21 RGPD. Droit d'opposition

Article 22 RGPD. Décision individuelle automatisée, y compris le profilage

a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

b) refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

6. Sans préjudice de l’article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.

Connexe

Article 11 RGPD. Traitement ne nécessitant pas l'identification

Article 15 RGPD. Droit d'accès de la personne concernée

Article 16 RGPD. Droit de rectification

Article 17 RGPD. Droit à l'effacement («droit à l'oubli»)

Article 18 RGPD. Droit à la limitation du traitement

Article 19 RGPD. Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

Article 20 RGPD. Droit à la portabilité des données

Article 21 RGPD. Droit d'opposition

7. Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.

Connexe

Article 13 RGPD. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Article 14 RGPD. Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées.

Connexe

Article 92 RGPD. Exercice de la délégation

Règlement général sur la protection des données (RGPD)

Dernière version consolidée (Rectificatif, JO L 127 du 23.5.2018, p. 2 (2016/679)). EUR-Lex – 02016R0679-20160504 – FR

Explication ISO 27701 Considérants Lignes directrices & Jurisprudence Laisser un commentaire

Explication

(EN) Different provisions of the General Data Protection Regulation provide for obligations to inform data subjects – the legal term designating common people – about the processing of their personal information. Controllers – the persons who control the processing of personal data – have to conform to certain requirements regarding how they provide the information to the data subjects, whether beforehand in a privacy notice available to the general public or when they reply to an individual request.

Article 12 addresses first the form of the information that must be provided. It must be communicated “in a concise, transparent, intelligible, and easily accessible form”. The provision further states that controllers should use “clear and plain language” in their communication. All these adjectives seem self-explanatory, but they deserve a closer look to clarify their actual meaning in the context of data protection laws.

Conciseness refers to the fact that the information must be presented briefly but also in a comprehensive manner. Controllers may have a large amount of information to provide to a person depending on the nature of the request, but they have to present it succinctly nonetheless. The principle can be translated in the manner that the information is physically presented and structured (see below). Excluding irrelevant, redundant, or unnecessary information is another way to keep the communication “concise”.

Transparency is one of the key principles of the GDPR [Article 5(1)(a), recital 39, and Guidelines on Transparency]. It must be regarded as a general obligation encompassing openness, honesty, and truthfulness. A company must proactively divulge all the necessary information about how it processes personal data or communicate it when asked for. It should not hide information nor try to bury down important details. The information must be accessible first-handed or freely transmitted when requested.

Intelligibility means that privacy-related information must be comprehensible. The concept overlaps other principles but the main idea is that the information must be easy to understand (recitals 39 and 58) and presented in a form adapted to the audience (adults, children, professionals, special context, etc.). The writing style should be simple, easily accessible words should be preferred and complex terms should be explained. The information communicated should be straightforward, avoid any ambiguity, and leave no room to interpretation.

Ease of access implies that data protection information should be easy to access. The way the information is provided should be adapted to the context or platform where it is presented. A link to the privacy policy can be prominently presented at the bottom of an email or displayed where people usually look for it on a website, in the footer, for example. It should not be hidden in a counterintuitive menu in an application where users will never think to look for it. As a rule of thumb, information about privacy in an application should never be more than “two taps away”, according to the Guidelines on Transparency.

Using clear and plain language coincides with the intelligibility principle. The language used must be adapted and tailored to the audience. Basic and easy to understand words must be preferred. Complex legal terminology should be avoided and if necessary should be clarified. Sentences and paragraphs should be short and the language structure should be kept as simple as possible (Guidelines on Transparency). Special attention must be given to that point when controllers address children (recital 58). The language used should be easily understandable to a child (see our commentary under Article 8).

Information in line with these requirements must be transmitted in “writing” or by any “other means”. The chosen mean depends on the targeted audience and it includes electronic forms such as applications or websites (recital 58). It might be provided, if adapted to the situation, through cartoons, infographics, or flowcharts (Guidelines on Transparency). Another means of providing the information is through a secure “self-service system” which would give an individual access to her/his data (recital 63). Information can even be communicated orally if requested so, provided that the data subject proves her/his identity by other means.

The form and structure of the information are also addressed by the European regulation. Privacy-related information must be clearly differentiated from other legal information such as the general terms of use (Guidelines on Transparency). It can be separated into different logic paragraphs, each one of them preceded with a heading stating its actual content. It is sometimes referred to as the “layered” approach in European documentation. The use of headings, bullets, or indents to logically structure the document – whether it is a privacy notice or an answer to a request – is a pragmatic answer to a legal obligation.

Access to information should be facilitated by controllers. They should maintain mechanisms (recital 59) through which data subjects can exercise their rights (Articles 15 to 22), receive information – where personal data are collected from them (Article 13) or obtained from third parties (Article 14) – or be informed of data breaches (Article 34). The information obligation extends to situations where the exchange of data takes place between two administrative bodies (CJEU, Smaranda Bara e.a./Președintele Casei Naționale de Asigurări de Sănătate).

Facilitating access to information can be done by resorting to a standard form. It could ease the formulation of a request by the data subject, but also the work of the controller who will receive a structured message with the needed information to process the request. It has to be noted that the use of the form cannot be made mandatory, as any other forms of requests are valid (orally, by email, through a letter, etc.).

Controllers must act quickly on data subjects’ requests. Article 12(3) imposes strict delays to provide the information requested or inform data subjects on action taken upon their request. The general rule is that controllers should proceed “without undue delay”, but the GDPR does not define the expression. It must be understood as “as soon as possible”, but at least within a calendar month after receiving the request.

Exceptionally, the period may be extended by two further months. It is possible only if the request is complex or there are many requests to be answered at the same time. The controller in such an event has to inform the data subject within the initial period of one month of her/his intention of prolonging the delay. The computation of the delay starts the day the request is received or, if applicable, after getting the confirmation of the identity of the person requesting the information or the payment of the fee.

There are circumstances where controllers may refuse to answer a request (recital 59). If they deny the request, they have to inform the data subject in the same delays mentioned above of the reasons why they refuse to act. They must also notify the data subject of the possibility of lodging a complaint with a supervisory authority or seeking a judicial remedy.

A request can be denied if it “manifestly unfounded or excessive” [Article 12 (5)]. It can be the case, for example, when a data subject made repetitive requests over a short period of time. It can also happen if the person is making a request simply to get something in return from the organization or the individual is using data protection laws to harass the organization. The adjective “manifestly” used in the GDPR means that the request must be clearly or obviously excessive or unfounded. The burden to demonstrate that the request is “manifestly” excessive or unfounded rests on the controller’s shoulders.

It would be a better option to open a dialogue with the data subject than refusing to act on the request. A request may seem excessive or unfounded simply because it is not correctly formulated or the data subject does not fully understand her/his rights. Controllers may ask for additional details, for example, to help find the requested information. A refusal to act should be kept for extreme cases to make sure that the controller does not expose herself/himself to sanctions.

Every request should be answered free of charge [Article 12 (5) and recital 59]. A reasonable fee – based on the administrative costs necessary to provide the answer – may be imposed only in cases where the demand is deemed excessive. A data subject’s request will not be deemed excessive if s/he wants to receive additional copies of information already provided, but a fee can be charged in these circumstances. The data subject should be informed about the amount payable and the controller has the right to wait until the payment is cleared before providing the information.

If the controller has a “reasonable doubt” about the identity of the person making the request, s/he may require additional information to confirm that s/he is replying to the right person. The requested information should be proportionate to the aim of completing the identification of the person and not go beyond what is necessary to do so.

Auteur

Louis-Philippe Gratton PhD, LLM

Expert en protection de la vie privée

Poser une question

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 12 GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.

[…]

Se connecter
lire le texte complet

Considérants

Lignes directrices & Jurisprudence

Document

Groupe de travail «Article 29», Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 (2018).

Jurisprudence

CJUE, Smaranda Bara e.a./Președintele Casei Naționale de Asigurări de Sănătate, aff. C-201/14 (2015).

Laisser un commentaire

[js-disqus]