Article 12

Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:

(a)

exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

(b)

refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

6. Sans préjudice de l’article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.

7. Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées.

Qu'est-ce que ça veut dire?

L’article 12 exige des organisations qu’elles communiquent toujours clairement sur la manière dont elles traitent les données à caractère personnel des personnes. Il s’agit d’expliquer les choses dans un langage simple, en particulier lorsque l’on communique avec des enfants.

Les entreprises doivent fournir ces informations par écrit, par exemple dans les politiques de protection de la vie privée ou dans des courriels d’information, ou oralement si la personne le demande.

L’article 12 du RGPD stipule que les organisations doivent permettre aux individus d’exercer facilement leurs droits, comme indiqué au chapitre 3. Il s’agit notamment de faciliter l’accès des personnes à leurs données, leur rectification et leur limitation.

Une organisation doit répondre et se conformer à la demande d’une personne dans les meilleurs délais, et au plus tard dans un délai d’un mois.

Dans les situations complexes, l’organisation peut prendre jusqu’à trois mois pour répondre à la demande. Toutefois, ils doivent notifier le retard à l’intéressé dès que possible et en expliquer les raisons.

Non, c’est gratuit. La seule exception se produit si les demandes deviennent excessivement fréquentes ou répétitives. Dans ce cas, l’entreprise peut facturer une somme modique ou refuser la demande.

Il incombe alors à l’organisation de justifier pourquoi la demande a été jugée déraisonnable.

L’individu a le droit de déposer une plainte auprès d’une autorité de contrôle, qui sont les agences officielles de protection des données dans chaque pays de l’UE. Ils ont également le droit d’intenter une action en justice.

Conformément à l’article 12, si une organisation a des doutes raisonnables sur l’identité de la personne qui fait la demande, elle peut demander un complément d’information pour confirmer son identité.

L’identification d’une personne peut se faire de différentes manières, par exemple en demandant une copie d’une pièce d’identité, et cela dépend de la situation spécifique.

L’organisation n’est pas obligée de répondre à une demande si elle ne peut pas identifier la personne. Toutefois, il incombe à l’organisation de démontrer qu’elle ne peut pas identifier la personne.

Formation de sensibilisation

Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.

Discover

About

Get Started within 24 hours.

Once you have submitted your details, you’ll be our top priority!