L’article 12 du RGPD
“Article 12 – Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée
Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.
Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; oub) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
Sans préjudice de l’article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.
La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées.”
L’article 12 vous oblige à prévoir des procédures et des mécanismes permettant aux personnes concernées d’exercer leurs droits.
Mais cela ne suffit pas car cet article définit un des éléments fondamentaux du RGPD : le principe de “transparence”.
Toutes les informations doivent être :
- aisément accessibles
- faciles à comprendre
- dans une forme concise
- formulée en termes simples et clairs
L’ensemble des droits définis dans les articles suivants devront respecter cette règle.
Pour rappel voici la liste des droits devant respecter ces règles avec leurs articles respectifs :
- l’exercice du droit à l’information (art. 13 et 14)
- l’exercice du droit d’accès (art. 15)
- l’exercice des droits de rectification et d’effacement (art. 16 et 17)
- l’exercice du droit à la limitation du traitement (art. 18)
- l’exercice du droit à la portabilité des données (art. 20)
- l’exercice du droit d’opposition (art. 21)
- l’exercice du droit de ne pas être soumis à une décision individuelle automatisée (art. 22)
- l’exercice du droit d’être informé d’une fuite de données à caractère personnel (art. 34)
Ce qui fait beaucoup de droits à pouvoir respecter…. Comme le dit une certaine publicité “on est mal patron, on est mal”.
L’exercice de ces droits doit être gratuit, mais pour ceux qui abusent, notamment en raison de demandes trop répétées, vous pouvez soit exiger le paiement de frais raisonnables, soit refuser d’y donner suite.
Dans les deux cas, il vous incombe de démontrer le caractère infondé ou excessif.